Rätt information på rätt plats i rätt tid

Del 1

Slutbetänkande av Utredningen om rätt information i vård och omsorg

Stockholm 2014

SOU 2014:23

SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Beställningsadress: Fritzes kundtjänst 106 47 Stockholm

Orderfax: 08-598 191 91 Ordertel: 08-598 191 90 E-post: order.fritzes@nj.se Internet: www.fritzes.se

Svara på remiss – hur och varför. Statsrådsberedningen (SB PM 2003:2, reviderad 2009-05-02)

– En liten broschyr som underlättar arbetet för den som ska svara på remiss. Broschyren är gratis och kan laddas ner eller beställas på http://www.regeringen.se/remiss

Textbearbetning och layout har utförts av Regeringskansliet, FA/kommittéservice.

Omslag: Elanders Sverige AB.

Tryckt av Elanders Sverige AB.

Stockholm 2014

ISBN 978-91-38-24107-3

ISSN 0375-250X

Till statsrådet och chefen för Socialdepartementet Göran Hägglund

Vid regeringssammanträde den 15 december 2011 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten (dir. 2011:111). Utredaren fick även ett deluppdrag bestående i att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårds- personal (HOSP-registret).

Till särskilt utredare förordnades hälso- och sjukvårdsdirektören Lena Lundgren. Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).

Den 29 mars 2012 beslutade regeringen genom tilläggsdirektiv till utredningen (dir. 2012:23) att deluppdraget angående HOSP- registret skulle redovisas senast den 31 maj 2012. Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.

Genom beslut i tilläggsdirektiv vid regeringssammanträde den 2 maj 2013 beslutade regeringen att utredaren i ett deluppdrag ska utreda om det är lämpligt att beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. (dir. 2013:43). Regeringen beslutade att denna del av uppdraget ska redovisas i ett delbetänkande senast den 5 juni 2013.

Utredningen överlämnade delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.

Regeringen beslutade även att utredaren ska, för den del av uppdraget som handlar om att identifiera nödvändiga förutsättningar

för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten, i en del- redovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen överlämnades till regeringen den 31 december 2013 och återfinns i bilaga 4 till detta slutbetänkande.

Regeringen beslutade vidare att utredningstiden förlängs för huvuddelen av uppdraget som ska redovisas senast den 30 april 2014.

Som huvudsekreterare i utredningen anställdes fr.o.m. den 6 februari 2012 juristen Patrik Sundström. Som sekreterare i utredningen anställdes fr.o.m. den 13 februari 2012 juristen Maria Jacobsson. Som sekreterare på halvtid i utredningen anställdes fr.o.m. 1 april 2012 rådmannen Eva Karlsson Helghe och fr.o.m. 23 april 2012 läkaren Inger Nordin Olsson. Inger Nordin Olsson entledigades som sekreterare den 1 juni 2013.

Utredningen får härmed överlämna slutbetänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23).

Till betänkandet fogas ett särskilt yttrande av experten Maria Bergdahl.

Uppdraget är härmed slutfört.

Stockholm i april 2014.

Lena Lundgren

/Maria Jacobsson

Eva Karlsson Helghe

Patrik Sundström

Förteckning över vilka som deltagit i utredningens arbete

Om inte annat anges har förordnandet gällt från och med den 12 mars 2012.

Experter

Medicinskt ansvariga sjuksköterskan Eva Backlund Juristen Maria Bergdahl, fr.o.m. 4 september 2013 Juristen Marit Birk, fr.o.m. 20 september 2012 Handläggaren Annica Blomsten Verksamhetschefen Mats Brådman

Landstingsdirektören Mats Brännström, t.o.m. 7 juli 2013 Socialdirektören Karl Gudmundsson

Tillsynschefen Erik Janzon, t.o.m. 4 september 2013 Juristen Tora Nissen, t.o.m. 20 september 2012 Överläkaren Mikael Rolfs

Juristen Febe Westberg

Chefläkaren Karin Strandberg Nöjd, fr.o.m. 7 juli 2013

Enhetschefen Inger Nordin Olsson, fr.o.m. 24 oktober 2013 Vice vd, Anders Ekholm, fr.o.m. 1 november 2013

Sakkunniga

Rättssakkunnige Maria Arnell, t.o.m. 4 september 2013 Kanslirådet Rickard Broddvall, t.o.m. 10 september 2012.

Departementssekreteraren Anna Brooks, fr.o.m. 10 september 2012

Departementsrådet Anders Ekholm, t.o.m. 1 november 2013 Ämnesrådet Jimmy Järvenpää

Ämnesrådet Gert Knutsson, t.o.m. 10 september 2012. Kanslirådet Henrik Moberg, fr.o.m. 10 september 2012 Departementssekreteraren Maria Wästfelt

Innehåll

Sammanfattning ................................................................

27

 

 

Bakgrund

 

1

Vårt uppdrag och arbete..............................................

51

1.1

Vårt uppdrag.............................................................................

51

1.2

Utredningens arbete ................................................................

53

 

1.2.1

Sakkunnig- och expertgrupp........................................

54

 

1.2.2 Samråd med statliga utredningar .................................

55

 

1.2.3

Metodstöd m.m. ...........................................................

55

 

1.2.4

Delbetänkandet Bättre behörighetskontroll...............

56

 

1.2.5 Delbetänkandet Rätt information – Kvalitet och

 

 

 

patientsäkerhet för vuxna med nedsatt

 

 

 

beslutsförmåga..............................................................

56

 

1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd

 

 

 

vid tillämpningen av gällande rätt ................................

58

1.3

Betänkandets disposition.........................................................

59

2

Rätt information på rätt plats i rätt tid – några

 

 

utgångspunkter ..........................................................

61

2.1

Inledning...................................................................................

61

2.2

Individen och individens behov i centrum .............................

62

2.3Informationshantering som en integrerad del i

verksamheten............................................................................

64

7

Innehåll

SOU 2014:23

2.4Informationshantering rörande personer med nedsatt

beslutsförmåga..........................................................................

64

2.5 Den tekniska utvecklingen ger nya möjligheter.....................

65

2.6Bättre resultat för individen – en balansgång mellan

 

kvalitet, säkerhet och personlig integritet ..............................

66

3

Kort om regelverket och om ansvaret för tillsynen...........

69

3.1

God vård och omsorg ..............................................................

69

 

3.1.1 Målen för hälso- och sjukvården och

 

 

 

socialtjänsten .................................................................

69

 

3.1.2

Ledningssystem för kvalitet .........................................

70

3.2

Informationshantering och personuppgiftsbehandling .........

72

 

3.2.1 Informationshantering för en god vård och

 

 

 

omsorg ...........................................................................

72

3.3

Tystnadsplikt och sekretess.....................................................

75

3.4

Tillsyn av vård och omsorg......................................................

76

 

 

Hälso- och sjukvård

 

4

En hälso- och sjukvård i utveckling...............................

79

4.1

Inledning...................................................................................

79

 

4.1.1

Riksrevisionens rapport................................................

80

4.2

Hälso- och sjukvårdens organisation......................................

80

 

4.2.1

Landstingens ansvar ......................................................

81

 

4.2.2

Kommunernas ansvar....................................................

82

 

4.2.3

Privata vårdgivare m.m. ................................................

83

 

4.2.4

Vårdval och valfrihetssystem........................................

85

 

4.2.5 Ett växande antal privata vårdgivare.............................

86

 

4.2.6

Ökad specialisering .......................................................

88

 

4.2.7 Vårdval – ökade möjligheter för medborgarna............

88

 

4.2.8 Vårdprocesser sträcker sig allt mer över

 

 

 

vårdgivargränser ............................................................

89

 

4.2.9

Sammanfattande reflektioner .......................................

90

8

SOU 2014:23 Innehåll

5

Informationshantering inom hälso- och sjukvården.........

91

5.1

Bakgrund ..................................................................................

91

5.2

Den rättsliga regleringen av informationshanteringen ..........

93

 

5.2.1

Begreppet vårdgivare ....................................................

93

 

5.2.2 Informationshantering inom en vårdgivares

 

 

 

verksamhet (inre sekretess) .........................................

94

 

5.2.3

Informationshantering mellan vårdgivare ...................

95

 

5.2.4 Informationshantering mellan vårdgivare –

 

 

 

sammanhållen journalföring.........................................

97

 

5.2.5 Enskilds möjlighet att ta del av uppgifter genom

 

 

 

direktåtkomst..............................................................

100

 

5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14).........

100

 

5.2.7 Verksamhetsuppföljning m.m. inom en

 

 

 

vårdgivares verksamhet...............................................

101

 

5.2.8

Verksamhetsuppföljning över vårdgivargränser .......

102

 

5.2.9 Särskilt om nationella kvalitetsregister......................

103

6

En ändamålsenlig informationshantering –

 

 

iakttagelser och reflektioner ......................................

107

6.1

Bakgrund ................................................................................

107

 

6.1.1 Vårt uppdrag och våra utgångspunkter .....................

109

6.2Strukturförändringarna i vården påverkar behov och

 

möjligheter till informationsutbyte ......................................

110

6.3

Informatik och it-frågor........................................................

112

6.4

Patientdatalagen och tillämpningsproblemen ......................

115

6.5

Bristande efterlevnad av regelverket .....................................

119

6.6

Kunskap, kompetens, ledning och styrning.........................

121

6.7

Sammanfattande reflektioner ................................................

122

7

En ny lag: hälso- och sjukvårdsdatalag .......................

123

7.1

Bakgrund ................................................................................

123

 

7.1.1 Kort om våra utgångspunkter för denna typ av

 

 

lagstiftning ..................................................................

124

 

7.1.2 Vårt uppdrag m.m.......................................................

125

 

 

9

Innehåll

SOU 2014:23

7.2 Våra överväganden och förslag..............................................

126

 

7.2.1 En ny lag ersätter patientdatalagen ............................

126

 

7.2.2 Lagens innehåll, tillämpningsområde och

 

 

 

förhållande till personuppgiftslagen ..........................

128

 

7.2.3

Lagens syfte.................................................................

131

 

7.2.4

Viktiga definitioner.....................................................

133

 

7.2.5 Övriga bestämmelser som förs över från

 

 

 

patientdatalagen ..........................................................

139

8

Grundläggande bestämmelser om behandling av

 

 

personuppgifter ........................................................

141

8.1

Bakgrund.................................................................................

141

8.2

Våra överväganden och förslag..............................................

142

 

8.2.1 Vissa grundläggande bestämmelser förs över

 

 

 

oförändrade från patientdatalagen .............................

142

 

8.2.2

Personuppgiftsansvar..................................................

144

 

8.2.3

Sökbegrepp..................................................................

145

 

8.2.4 Tillåtna ändamål för behandling av

 

 

 

personuppgifter m.m. .................................................

150

 

8.2.5 Att antalsberäkna och identifiera personer för

 

 

 

forskning inom hälso- och sjukvården ......................

158

9

Säker och ändamålsenlig hantering av personuppgifter.171

9.1

Bakgrund.................................................................................

171

9.2

Våra överväganden och förslag..............................................

172

 

9.2.1 Ansvar för den som arbetar hos en vårdgivare –

 

 

 

inre sekretess ...............................................................

173

 

9.2.2 Ansvar för att uppgifter är tillgängliga när de

 

 

 

behövs ..........................................................................

177

 

9.2.3 Ansvar för att skydda uppgifterna vid överföring

 

 

 

via internet m.m. .........................................................

178

 

9.2.4 Ansvar för informationssystemens utformning........

181

 

9.2.5

Ansvar för behörighetstilldelning ..............................

184

 

9.2.6 Ansvar för kontroll av elektronisk åtkomst ..............

187

 

9.2.7 Tillsyn över en säker och ändamålsenlig hantering

 

 

 

av personuppgifter ......................................................

189

10

SOU 2014:23

Innehåll

10 Skydd för personuppgifter vid samverkan mellan

 

 

personuppgiftsansvariga............................................

193

10.1

Bakgrund ................................................................................

193

 

10.1.1 Vårt uppdrag ...............................................................

195

10.2

Generellt om personuppgiftsansvar......................................

196

10.3

Personuppgiftsansvar vid samverkan mellan olika

 

 

aktörer.....................................................................................

198

 

10.3.1 Patientdatautredningens resonemang m.m...............

200

 

10.3.2 Några exempel från Datainspektionens tillsyn

 

 

m.m..............................................................................

203

10.4

Våra överväganden och förslag..............................................

206

 

10.4.1 Krav på risk- och sårbarhetsanalys,

 

 

överenskommelse och tydliggörande av

 

 

personuppgiftsansvar..................................................

206

11

Elektroniskt utlämnande av personuppgifter................

221

11.1

Bakgrund ................................................................................

221

11.2

Våra överväganden och förslag..............................................

222

 

11.2.1 Vissa bestämmelser om utlämnande förs över

 

 

från patientdatalagen ..................................................

222

 

11.2.2 Grundläggande bestämmelser om direktåtkomst

 

 

förs över till hälso- och sjukvårdsdatalagen ..............

224

 

11.2.3 Direktåtkomst vid källdatagranskning i samband

 

 

med kliniska prövningar m.m. ...................................

230

12 Ett tydligare ansvar för patientjournalen och dess

 

 

innehåll...................................................................

237

12.1

Vårt uppdrag m.m..................................................................

237

12.2

Gällande rätt om ansvaret för patientjournalen och dess

 

 

innehåll ...................................................................................

240

 

12.2.1 Grundläggande förutsättningar .................................

240

 

12.2.2 Ansvaret för uppgifterna i patientjournalen .............

241

 

12.2.3 Patientens avvikande mening ska antecknas .............

242

 

12.2.4 Patientjournalen som allmän handling ......................

244

 

12.2.5 Bevarande och gallring av journalhandlingar ............

245

 

 

11

Innehåll

SOU 2014:23

12.2.6 Signeringskravet – kontrolläsning och bekräftelse

 

av uppgifternas riktighet.............................................

248

12.2.7 Rättelse av felaktiga uppgifter ....................................

251

12.2.8 Att ta bort uppgifter från patientjournalen...............

253

12.3 Kort om patientjournalens utformning ................................

254

12.4 Våra överväganden och förslag..............................................

256

12.4.1 Vissa bestämmelser om journalföring förs över

 

från patientdatalagen...................................................

256

12.4.2 Ny bestämmelse om patientjournalen.......................

259

12.4.3 Patientjournalen är även en informationskälla vid

 

undervisning och utbildning.......................................

260

12.4.4 Förtydliganden i fråga om vem bestämmelserna

 

om patientjournalen riktar sig till ..............................

261

12.4.5 Patientens möjlighet att bidra med uppgifter i

 

patientjournalen ..........................................................

263

12.4.6 Vårdgivarens ansvar för patientjournalen m.m.

 

förtydligas....................................................................

264

12.4.7 Vårdgivarens ansvar för utformningen av

 

patientjournalen förtydligas .......................................

266

12.4.8 Vårdgivaren ska säkerställa att uppgifter är

 

korrekta och att felaktigheter rättas ..........................

268

12.4.9 Den som för journal ska kontrollera sina

 

uppgifter ......................................................................

271

12.4.10 Vårdgivare ska få utplåna uppenbara

 

felaktigheter i patientjournalen ..................................

274

13 En informationshantering med patienten i centrum ......

281

13.1 Bakgrund.................................................................................

281

13.2 Några utgångspunkter för utredningen ................................

282

13.3 Utredningens reflektioner kring gällande rätt......................

284

13.3.1 Exempel 1. Konsekvenser för

 

informationsutbytet beroende på olika

 

driftformer inom ett landstings ansvarsområde........

285

13.3.2 Exempel 2. Möjligheterna till aktiv hälsostyrning

 

i län med liten eller stor mångfald av aktörer ............

288

13.3.3 Exempel 3. Möjligheterna att kvalitetssäkra

 

vårdprocesser över vårdgivargränser..........................

290

12

SOU 2014:23

Innehåll

 

13.3.4 Exempel 4. Hantering av vårddokumentation i

 

 

samband med byte av utförare...................................

291

13.4 Våra överväganden och förslag..............................................

294

 

13.4.1 Inledning .....................................................................

294

 

13.4.2 Förbättrade möjligheter till direktåtkomst mellan

 

 

vårdgivare inom en huvudmans ansvarsområde........

294

 

13.4.3 Patientens rätt att spärra information inom och

 

 

mellan vårdgivare inom huvudmannens

 

 

ansvarsområde.............................................................

305

 

13.4.4 Ökade möjligheter för kommuner och landsting

 

 

att fullgöra sitt ansvar för hälso- och sjukvården .....

317

 

13.4.5 Informationsöverföring vid

 

 

verksamhetsövergångar ..............................................

323

 

13.4.6 Kommunalt ansvar för omhändertagna

 

 

patientjournaler i kommunal hälso- och sjukvård

 

 

eller hos elevhälsan .....................................................

328

 

13.4.7 Bevarande och gallring vid direktåtkomst inom

 

 

en huvudmans ansvarsområde....................................

330

14

En ny sammanhållen journalföring .............................

333

14.1

Bakgrund ................................................................................

333

 

14.1.1 Kort om behovet av ett förändrat och förenklat

 

 

regelverk ......................................................................

336

14.2 Våra överväganden och förslag om att göra uppgifter

 

 

tillgängliga i system för sammanhållen journalföring..........

337

 

14.2.1 Tydligare reglering av regelverkets

 

 

tillämpningsområde och innebörd.............................

337

 

14.2.2 Förenklad utformning av bestämmelserna................

341

 

14.2.3 Grundläggande bestämmelse om att göra

 

 

uppgifter tillgängliga...................................................

342

 

14.2.4 Grundläggande bestämmelse om patienten inte

 

 

endast tillfälligt saknar förmåga att ta ställning ........

347

 

14.2.5 Patientens rätt att motsätta sig sammanhållen

 

 

journalföring ...............................................................

353

 

14.2.6 Förbud för vårdnadshavare att motsätta sig

 

 

sammanhållen journalföring.......................................

359

14.3

Våra överväganden och förslag om åtkomst till uppgifter

 

 

i sammanhållen journalföring................................................

362

 

 

13

Innehåll

SOU 2014:23

 

14.3.1 Våra inledande reflektioner kring gällande rätt.........

362

 

14.3.2 En ny reglering för åtkomst till uppgifter i

 

 

sammanhållen journalföring (skede 2) ......................

371

 

14.3.3 Åtkomst till uppgifter i samband med vård av

 

 

vuxna med nedsatt beslutsförmåga ............................

384

 

14.3.4 Åtkomst till uppgifter i samband med vård av

 

 

vuxna med tillfälligt nedsatt beslutsförmåga.............

385

 

14.3.5 Att ta del av uppgifter om vilken vårdgivare som

 

 

ansvarar för uppgifter som inte är tekniskt

 

 

åtkomliga .....................................................................

388

 

14.3.6 Bevarande och gallring................................................

391

 

14.3.7 Övriga bestämmelser ..................................................

392

15 Rätt information om läkemedel – på väg mot en

 

 

samlad läkemedelslista .............................................

395

15.1

Bakgrund.................................................................................

395

 

15.1.1 Vårt uppdrag................................................................

397

 

15.1.2 Kort om nationell läkemedelsstrategi........................

398

15.2

Kort om läkemedelsbehandling.............................................

400

 

15.2.1 Omfattning m.m. ........................................................

400

 

15.2.2 Kort om risker och läkemedelsrelaterade problem

 

 

m.m. .............................................................................

401

15.3 Hur ser ordinatörens beslutsunderlag ut? ............................

404

 

15.3.1 Våra reflektioner .........................................................

408

15.4 Hur ser patientens informationsunderlag ut? ......................

410

 

15.4.1 Våra reflektioner .........................................................

413

15.5 På väg mot en samlad läkemedelslista – Nationell

 

 

ordinationsdatabas..................................................................

414

15.6 Problembeskrivning – våra reflektioner av gällande rätt......

415

 

15.6.1 Åtkomst till journaluppgifter/läkemedelslista ..........

415

 

15.6.2 Åtkomst till läkemedelsförteckningen ......................

423

 

15.6.3 Särskilt om utbyte av läkemedel (generikabyte).......

427

 

15.6.4 Åtkomst till receptregistret........................................

432

 

15.6.5 Våra sammanfattande reflektioner kring gällande

 

 

rätt................................................................................

435

15.7 Våra överväganden och förslag..............................................

436

14

 

 

SOU 2014:23 Innehåll

 

15.7.1 Utredningens förslag i andra delar m.m....................

436

 

15.7.2 Behov av åtgärder som leder till harmoniserade

 

 

regler............................................................................

440

 

15.7.3 Patientens spärrmöjligheter bör inte omfatta

 

 

uppgifter om ordinerade läkemedel...........................

442

 

15.7.4 Ändringar som görs på apotek...................................

459

 

15.7.5 Uttag av läkemedel som görs utomlands ska

 

 

registreras i Läkemedelsförteckningen......................

465

 

15.7.6 Bevarande och gallring av uppgifter ..........................

467

 

15.7.7 Farmaceuters tillgång till

 

 

läkemedelsförteckningen............................................

468

 

15.7.8 Övriga rekommendationer för utvecklingen mot

 

 

en samlad läkemedelslista m.m. .................................

474

16

Förbättrad tillgång till varningsinformation..................

477

16.1

Bakgrund ................................................................................

477

 

16.1.1 Informationshanteringen ...........................................

478

 

16.1.2 Vårt uppdrag m.m.......................................................

479

16.2

Våra överväganden och förslag..............................................

480

 

16.2.1 Varningsinformation bör undantas från

 

 

patientens spärrmöjligheter........................................

480

 

16.2.2 Nationella insatser för en strukturerad, entydig

 

 

och enhetlig varningsinformation..............................

488

17 Kvalitetsutveckling och förbättringsarbete i hälso-

 

 

och sjukvården.........................................................

491

17.1

Bakgrund ................................................................................

491

17.2

Nationella kvalitetsregister....................................................

494

 

17.2.1 Exempel på användning av nationella

 

 

kvalitetsregister...........................................................

495

 

17.2.2 Kort om regelverket och dess framväxt ....................

497

17.3

Reflektioner kring möjligheterna att använda

 

 

patientuppgifter i lokalt kvalitetsarbete................................

500

 

17.3.1 Lagstiftningen ger möjligheter till

 

 

kvalitetssäkring och kvalitetsutveckling....................

501

17.4

Våra överväganden och förslag rörande nationella

 

 

kvalitetsregister ......................................................................

505

 

 

15

Innehåll

SOU 2014:23

 

17.4.1 Bestämmelser om nationella kvalitetsregister förs

 

 

över till hälso- och sjukvårdsdatalagen ......................

505

 

17.4.2 Patientens möjlighet att bidra med uppgifter i

 

 

registreringen...............................................................

512

 

17.4.3 Tydligare bestämmelser om personuppgiftsansvar

 

 

för nationella kvalitetsregister....................................

513

 

17.4.4 Kvalitetsregister ska få användas för att följa upp

 

 

vård som ges av flera olika vårdgivare........................

519

 

17.4.5 Kvalitetsregister ska kunna användas för

 

 

patienter med nedsatt beslutsförmåga .......................

528

 

17.4.6 Att utvidga ett nationellt kvalitetsregister ................

535

 

17.4.7 Förändringar av personuppgiftsansvaret för

 

 

central behandling av personuppgifter ......................

542

 

Socialtjänst

 

18

En socialtjänst i utveckling ........................................

547

18.1

Vad är socialtjänst?.................................................................

547

18.2

Kommunernas ansvar för socialtjänsten ...............................

548

18.3

Ansvar för Statens institutionsstyrelse (SiS)........................

554

18.4

Ansvar för landstingen...........................................................

554

18.5

Samverkan med andra huvudmän..........................................

555

18.6

Privata utförare i socialtjänsten .............................................

556

 

18.6.1 Valfrihetssystem i socialtjänsten................................

557

18.7

Sammanfattande reflektioner ................................................

560

19

Informationshantering inom socialtjänsten ..................

563

19.1

Bakgrund.................................................................................

563

19.2

Dokumentation och handläggning för rättssäkerhet,

 

 

kvalitet och insyn ...................................................................

564

19.3

Informationshantering i olika skeden...................................

565

19.4

Den rättsliga regleringen av dokumentation och

 

 

personuppgiftsbehandling .....................................................

567

16

 

 

SOU 2014:23

Innehåll

 

19.4.1 Socialstyrelsens föreskrifter SOSFS 2006:5 ..............

568

 

19.4.2 Lagen om behandling av personuppgifter inom

 

 

socialtjänsten...............................................................

569

 

19.4.3 Förordningen om behandling av personuppgifter

 

 

inom socialtjänsten .....................................................

573

 

19.4.4 Direktåtkomst och utlämnande på medium för

 

 

automatiserad behandling ..........................................

575

19.5

Sekretess på socialtjänstens område......................................

576

 

19.5.1 Sekretess mellan myndigheter och självständiga

 

 

verksamhetsgrenar ......................................................

578

 

19.5.2 Sekretess i förhållande till privata utförare av

 

 

socialtjänst...................................................................

579

20

En ändamålsenlig informationshantering –

 

 

iakttagelser och reflektioner ......................................

581

20.1

Bakgrund ................................................................................

581

20.2

Informatik och it....................................................................

581

20.3

Samtycke till insatser – en utgångspunkt för

 

 

informationshanteringen .......................................................

583

20.4

Övergripande nämndstruktur påverkar

 

 

informationshanteringen .......................................................

585

20.5

Valfrihet och mångfald påverkar

 

 

informationshanteringen .......................................................

586

20.6

Informationshantering i samband med rådgivning och

 

 

annat stöd ...............................................................................

587

20.7

Verksamhetsuppföljning och kvalitetssäkring .....................

589

20.8

SoLPUL och SoLPULF – ett svårtillgängligt regelverk......

591

20.9

Kunskap, kompetens, ledning och styrning.........................

592

20.10Sammanfattande reflektioner ................................................

593

21 En mer ändamålsenlig sekretessreglering i

 

 

socialtjänsten ..........................................................

595

21.1

Bakgrund ................................................................................

595

 

 

17

Innehåll

SOU 2014:23

21.1.1 Kort om kommunens ansvar och organisation .........

597

21.1.2 Något om tidigare lagstiftningsarbeten.....................

598

21.2 Våra överväganden och förslag rörande

 

sekretessregleringen i socialtjänsten .....................................

599

21.2.1 Omotiverade konsekvenser av dagens reglering .......

599

21.2.2 Alternativa lösningar...................................................

602

21.2.3 Förslag till en mer ändamålsenlig

 

sekretessreglering i socialtjänsten .............................

604

21.2.4 Frågan om sekretess mellan LSS och övrig

 

socialtjänstverksamhet................................................

607

21.2.5 Frågan om sekretess mellan LSS och den

 

kommunala hälso- och sjukvården i boenden med

 

särskild service.............................................................

609

21.2.6 Frågan om sekretess mellan hemtjänst och

 

kommunal hemsjukvård .............................................

611

21.2.7 Frågan om en sekretessbrytande regel i

 

förhållande till hälso- och sjukvården m.m. ..............

613

21.2.8 Förslag till en sekretessbrytande regel när den

 

enskilde inte kan samtycka.........................................

616

21.3Våra överväganden och förslag om kommunens möjligheter att följa upp socialtjänst i enskild

 

verksamhet..............................................................................

622

 

21.3.1 Det kommunala huvudmannaansvaret ......................

623

 

21.3.2 Förslag om uppgiftsskyldighet från enskilda

 

 

verksamheter till kommunen......................................

625

22

En ny lag: socialtjänstdatalag.....................................

631

22.1

Bakgrund.................................................................................

631

 

22.1.1 Kort om våra utgångspunkter för denna typ av

 

 

lagstiftning...................................................................

633

22.2

Våra överväganden och förslag..............................................

635

 

22.2.1 En samlad reglering i en ny lag...................................

635

 

22.2.2 Bestämmelser om handläggning och

 

 

dokumentation ligger kvar i befintlig lagstiftning ....

636

 

22.2.3 Lagens tillämpningsområde........................................

637

 

22.2.4 Definition av socialtjänst............................................

643

 

22.2.5 Syftet med lagen..........................................................

645

 

22.2.6 Förhållandet till personuppgiftslagen........................

647

18

 

 

SOU 2014:23 Innehåll

23

Grundläggande bestämmelser om

 

 

personuppgiftsbehandling inom socialtjänsten ............

651

23.1

Bakgrund ................................................................................

651

23.2

Våra överväganden och förslag..............................................

652

 

23.2.1 Tillåtna ändamål för behandlingen av

 

 

personuppgifter...........................................................

652

 

23.2.2 Sammanställningar av personuppgifter .....................

663

 

23.2.3 Personuppgifter som får behandlas i

 

 

socialtjänsten...............................................................

670

 

23.2.4 Den enskildes inställning till

 

 

personuppgiftsbehandlingen......................................

674

 

23.2.5 Behandling av personuppgifter vid råd och

 

 

service ..........................................................................

677

 

23.2.6 Personuppgiftsansvar .................................................

679

 

23.2.7 Sökbegrepp..................................................................

680

24

Säker och ändamålsenlig hantering av personuppgifter 685

24.1

Bakgrund ................................................................................

685

24.2

Våra överväganden och förslag..............................................

686

 

24.2.1 Ansvar för den som arbetar i socialtjänsten – inre

 

 

sekretess ......................................................................

688

 

24.2.2 Ansvar för att uppgifter är tillgängliga när de

 

 

behövs..........................................................................

690

 

24.2.3 Ansvar för att skydda uppgifterna vid överföring

 

 

via internet m.m..........................................................

691

 

24.2.4 Ansvar för informationssystemens utformning .......

696

 

24.2.5 Ansvar för behörighetstilldelning..............................

698

 

24.2.6 Ansvar för kontroll av elektronisk åtkomst..............

701

25

Skydd för personuppgifter vid samverkan mellan

 

 

personuppgiftsansvariga............................................

705

25.1

Bakgrund ................................................................................

705

 

25.1.1 Vårt uppdrag m.m.......................................................

707

25.2

Våra överväganden och förslag..............................................

708

 

25.2.1 Krav på risk- och sårbarhetsanalys,

 

 

överenskommelse och tydliggörande av

 

 

personuppgiftsansvar..................................................

708

 

 

19

Innehåll

SOU 2014:23

26 Elektroniskt utlämnande av personuppgifter ................

717

26.1

Bakgrund.................................................................................

717

26.2

Våra överväganden och förslag..............................................

718

 

26.2.1 Utlämnande på medium för automatiserad

 

 

behandling ...................................................................

718

 

26.2.2 Utlämnande genom direktåtkomst............................

720

 

26.2.3 Utlämnande av uppgifter till tredje land....................

723

 

26.2.4 Vissa bestämmelser om utlämnande från Statens

 

 

institutionsstyrelse......................................................

724

27

Nya möjligheter till informationsutbyte i socialtjänsten.727

27.1

Bakgrund.................................................................................

727

27.2

Våra överväganden och förslag..............................................

728

 

27.2.1 Direktåtkomst mellan myndigheter i samma

 

 

kommun.......................................................................

728

 

27.2.2 Direktåtkomst mellan olika utförare i

 

 

socialtjänsten ...............................................................

732

 

27.2.3 Personer med nedsatt beslutsförmåga .......................

738

 

27.2.4 Tillåtna ändamål vid direktåtkomst till uppgifter

 

 

hos annan verksamhet.................................................

740

 

27.2.5 Personuppgiftsansvar..................................................

743

 

27.2.6 Bevarande och gallring................................................

744

 

27.2.7 Sekretessbrytande regel ..............................................

745

28 Kvalitetsutveckling och verksamhetsuppföljning i

 

 

socialtjänsten...........................................................

751

28.1

Bakgrund.................................................................................

751

28.2

Våra överväganden .................................................................

754

29 Allmänna frågor om enskildas rättigheter m.m. ............

763

29.1

Bakgrund.................................................................................

763

29.2

Våra överväganden och förslag..............................................

764

 

29.2.1 Enskildas rätt att ta del av uppgifter ..........................

764

 

29.2.2 Information om personuppgiftsbehandlingen ..........

764

20

SOU 2014:23

Innehåll

 

29.2.3 Information om åtkomst till den enskildes

 

 

uppgifter......................................................................

766

 

29.2.4 Rättelse........................................................................

768

 

29.2.5 Skadestånd...................................................................

769

30 Socialstyrelsens behandling av personuppgifter ...........

771

30.1

Bakgrund ................................................................................

771

30.2 Våra överväganden och förslag..............................................

771

 

30.2.1 Ny lag om Socialstyrelsens behandling av

 

 

personuppgifter i verksamhet avseende

 

 

utredningar av vissa dödsfall ......................................

771

 

30.2.2 Lagens tillämpningsområde .......................................

772

 

30.2.3 Personuppgiftsansvar .................................................

773

 

30.2.4 Tillåten personuppgiftsbehandling............................

773

Informationsutbyte mellan hälso- och sjukvården och

 

 

socialtjänsten

 

31 Behov av en mer sammanhållen

 

 

informationshantering...............................................

775

31.1

Bakgrund ................................................................................

775

 

31.1.1 Individens behov som utgångspunkt.........................

775

 

31.1.2 Det delade ansvaret för hälso- och sjukvård och

 

 

socialtjänst...................................................................

777

 

31.1.3 Stora krav på informationsöverföringen ...................

783

31.2 Rättsliga krav på samverkan mellan huvudmän....................

784

 

31.2.1 Samverkan på övergripande nivå................................

785

 

31.2.2 Samverkan på individuell nivå....................................

786

31.3

Utredningens iakttagelser och reflektioner när det gäller

 

 

integrerade verksamheter ......................................................

788

 

31.3.1 Vård och omsorg om äldre i särskilt boende och i

 

 

hemmet........................................................................

789

 

31.3.2 Vård och omsorg om personer med psykisk

 

 

sjukdom och funktionshinder....................................

796

 

31.3.3 Vård och omsorg om personer med missbruk och

 

 

beroendeproblem........................................................

800

 

31.3.4 Vård och omsorg om barn och unga .........................

803

 

 

21

Innehåll

SOU 2014:23

32

En ändamålsenlig informationshantering mellan

 

 

hälso- och sjukvård och socialtjänst...........................

807

32.1

Bakgrund.................................................................................

807

32.2

Vilka förändringar behövs?....................................................

808

 

32.2.1 Kort om nuvarande regelverk.....................................

809

 

32.2.2 Kort om utredningens förslag i övriga delar .............

809

 

32.2.3 Vad behövs ytterligare? ..............................................

811

32.3 Våra överväganden och förslag..............................................

811

 

32.3.1 Inledande utgångspunkter..........................................

811

 

32.3.2 Två alternativa möjligheter bör tillhandahållas .........

812

 

32.3.3 Särskilda kapitel i lagstiftningen.................................

814

 

32.3.4 Utlämnande genom direktåtkomst mellan hälso-

 

 

och sjukvård och socialtjänst ska vara möjligt ..........

815

 

32.3.5 Direktåtkomst avseende vuxna med inte endast

 

 

tillfälligt nedsatt beslutsförmåga................................

825

 

32.3.6 Direktåtkomst är tillåten endast så länge det

 

 

konkreta behovet finns...............................................

828

 

32.3.7 Direktåtkomst ska föregås av risk- och

 

 

sårbarhetsanalys och överenskommelse om

 

 

skyddet för uppgifterna ..............................................

829

 

32.3.8 Bevarande och gallring vid direktåtkomst .................

830

 

32.3.9 Fråga om absolut sekretess.........................................

831

 

32.3.10 Gemensam vård- och omsorgsjournal för

 

 

personer med behov av både socialtjänst och

 

 

hälso- och sjukvård ...................................................

832

 

32.3.11 Innehållet i en gemensam vård- och

 

 

omsorgsjournal m.m. ................................................

842

 

32.3.12 Överenskommelse om gemensam vård- och

 

 

omsorgsjournal..........................................................

844

 

32.3.13 Att ta del av uppgifter genom direktåtkomst

 

 

eller i en gemensam vård- och omsorgsjournal .......

845

 

32.3.14 Bevarande och arkivering av gemensam vård och

 

 

omsorgsjournal..........................................................

849

 

32.3.15 Sekretessbrytande bestämmelser för att

 

 

möjliggöra förslagen .................................................

850

 

32.3.16 Gemensam vård- och omsorgsjournal och

 

 

sammanhållen journalföring.....................................

852

22

SOU 2014:23

Innehåll

 

Ökad kommunikation med medborgare

 

33 Kommunikation mellan vård- och omsorgsaktörer och

 

 

medborgare .............................................................

855

33.1

Bakgrund ................................................................................

855

 

33.1.1 Vårt uppdrag ...............................................................

856

 

33.1.2 En utveckling med flera mål.......................................

857

33.2 Några utvecklingsarbeten inom området .............................

859

 

33.2.1 E-tjänster och erfarenheter från landstinget i

 

 

Uppsala........................................................................

859

 

33.2.2 Mina vårdkontakter ....................................................

861

 

33.2.3 Omsorgsdagboken......................................................

863

 

33.2.4 Mina vårdflöden..........................................................

863

 

33.2.5 Din journal på nätet – förstudien ..............................

864

 

33.2.6 Hälsa för mig – ett personligt hälskonto ..................

868

 

33.2.7 Internationell utblick..................................................

869

33.3

Några reflektioner kring informationsflöden och

 

 

aktörer.....................................................................................

871

33.4 Kort genomgång av gällande rätt ..........................................

875

 

33.4.1 Patientens rätt att ta del av sin journal i hälso-

 

 

och sjukvården ............................................................

876

 

33.4.2 Elektroniskt utlämnande av uppgifter till

 

 

patienten......................................................................

877

 

33.4.3 Krav på säkerhetsåtgärder m.m. i hälso- och

 

 

sjukvården ...................................................................

878

 

33.4.4 Individens rätt till uppgifter om uthämtade

 

 

läkemedel.....................................................................

880

 

33.4.5 Individens rätt till information i socialtjänsten ........

880

 

33.4.6 Elektroniskt utlämnande till individen i

 

 

socialtjänsten...............................................................

881

 

33.4.7 Krav på säkerhetsåtgärder m.m. i socialtjänsten.......

882

33.5 Våra överväganden och förslag..............................................

883

 

33.5.1 Direktåtkomst för enskilda i socialtjänsten ..............

883

 

33.5.2 Direktåtkomst för patienter och frågan om

 

 

sekretess mot patienten själv......................................

886

 

33.5.3 Tydlig information och överenskommelser med

 

 

den enskilde.................................................................

894

 

 

23

Innehåll

SOU 2014:23

 

33.5.4 Begreppet personligt hälskonto – behov av

 

 

definition?....................................................................

896

 

33.5.5 Personuppgiftsansvar för vårdgivare och den som

 

 

bedriver socialtjänst ....................................................

899

 

33.5.6 Personuppgiftsansvar när utlämnade uppgifter

 

 

lagras i ett personligt hälsokonto...............................

900

 

33.5.7 Hantering av uppgifter i ett personligt

 

 

hälsokonto – för privat bruk ......................................

902

 

33.5.8 Personuppgiftsansvar för den som tillhandahåller

 

 

ett personligt hälskonto..............................................

903

 

33.5.9 Hälsokonto och allmänna handlingar........................

906

 

33.5.10 Vem kan tillhandahålla ett personligt

 

 

hälsokonto? ...............................................................

910

 

33.5.11 Den enskildes möjlighet att förfoga över sin

 

 

direktåtkomst m.m....................................................

911

 

Övriga överväganden och förslag

 

34

Internationellt informationsutbyte ..............................

925

34.1

Bakgrund.................................................................................

925

34.2 Våra överväganden om elektroniskt utlämnande till

 

 

vårdgivare i andra länder ........................................................

926

 

34.2.1 Utlämnande med den enskildes samtycke.................

926

 

34.2.2 Elektroniskt utlämnande på medium för

 

 

automatiserad behandling till andra länder................

928

 

34.2.3 Får ett elektroniskt utlämnande göras genom

 

 

direktåtkomst? ............................................................

933

 

34.2.4 Är detta förenligt med EU-rätten?............................

938

34.3 Våra övervägande om elektroniskt utlämnande till

 

 

apotek i andra länder ..............................................................

942

 

34.3.1 Utlämnande med den enskildes samtycke.................

942

 

34.3.2 Får ett elektroniskt utlämnande göras genom

 

 

direktåtkomst? ............................................................

946

 

34.3.3 Är detta förenligt med EU-rätten?............................

949

35

Socialstyrelsens läkemedelsregister ............................

951

35.1

Bakgrund.................................................................................

951

 

35.1.1 Vårt uppdrag................................................................

952

24

 

 

SOU 2014:23

Innehåll

35.2

Rättslig reglering av läkemedelsregistret ..............................

952

 

35.2.1 Hälsodataregistren......................................................

954

35.3

Läkemedelsregistrets användning m.m.................................

957

35.4

Uppföljning, utvärdering och kvalitetssäkring m.m............

961

35.5

Våra överväganden och förslag..............................................

966

 

35.5.1 Utvecklingen på området...........................................

966

 

35.5.2 Nya ändamål bör införas i läkemedelsregistret.........

969

 

35.5.3 Uppgift om förskrivningsorsak bör få registreras

 

 

i läkemedelsregistret ...................................................

972

36

Patientrapporterade mått ..........................................

977

36.1

Bakgrund ................................................................................

977

 

36.1.1 Att mäta och samla in patientupplevelser .................

978

36.2

Vårt uppdrag...........................................................................

980

36.3

Våra överväganden .................................................................

980

37

Datainspektionens befogenheter ................................

985

37.1

Vårt uppdrag...........................................................................

985

 

37.1.1 Datainspektionens befogenheter...............................

986

 

37.1.2 Datainspektionens skrivelse till regeringen ..............

987

37.2

Datainspektionens praxis ......................................................

988

37.3

Bakgrunden till nuvarande reglering.....................................

990

37.4

Våra överväganden och förslag om utökade

 

 

befogenheter för Datainspektionen......................................

993

25

Sammanfattning

Inledning

Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. För den enskilde individen är ett bra och samlat omhändertagande ofta beroende av stöd och insatser från såväl landsting och kommun som privata vårdgivare eller privat utförare av socialtjänst. Det gäller även i äldreomsorgen, psykiatrin, missbruks- och beroendevården och i verksamheter för funktionshindrade. Arbetet med barn och unga ställer också stora krav på samverkan mellan hälso- och sjukvården och socialtjänsten.

Stora strukturförändringar har genomförts inom hälso- och sjukvården och socialtjänsten de senaste åren. Reformer som bl.a. fritt vårdval och omreglering av apoteksmarknaden har lett till många nya vårdmottagningar, vårdcentraler och apotek där verk- samheten i allt större utsträckning utförs av privata aktörer. Även inom socialtjänsten har andelen privata utförare ökat, bl.a. som en följd av lagen (2008:962) om valfrihetssystem. En individ som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter därför allt fler vårdgivare och utförare inom socialtjänsten både nationellt och internationellt.

Hälso- och sjukvården och socialtjänsten är två av de mest informationsintensiva och komplexa sektorerna i samhället. Det medför nya och ökade behov och krav på hur information ska hanteras. Idag spänner informationshanteringen därför över ett mycket större område än tidigare. Vi har gått från en tid när det många gånger har handlat om att uppgifter om enskilda ska dokumenteras, till en tid när det i större utsträckning även handlar om hur uppgifter som har dokumenterats kan och bör användas för att skapa bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna och den ständigt ökande informationstillgången har bland annat medfört att det idag

27

Sammanfattning

SOU 2014:23

är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras. Det kan handla om att information om den enskilde individen elektroniskt sambearbetas med andra kunskapskällor, t.ex. nationella riktlinjer, och resulterar i att yrkesutövaren snabbt och säkert får en direkt rekommendation för sitt ställningstagande. Inte minst inom hälso- och sjukvården finns flera exempel på framväxten av olika former av kliniska beslutsstöd där en effektiv informationshantering på systemnivå kan bidra till öka säkerheten och kvaliteten i vården.

Den tekniska utvecklingen har även medfört helt nya möjlig- heter att arbeta preventivt för att förebygga ohälsa. Med hjälp av information om enskilda och deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att sjukdomar upptäcks tidigare och kan behandlas snabbare samt att enskilda individer får ett mer individanpassat stöd och omhänder- tagande. Informationshanteringen i hälso- och sjukvården och socialtjänsten är därför av avgörande betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet.

Centralt i hälso- och sjukvården och socialtjänsten är också att ständigt utveckla och säkra kvaliteten i verksamheten i syfte att skapa ännu bättre resultat för de som idag och i framtiden har behov av vård och omsorg. Inte sällan behöver dokumenterade uppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av insatser och enskildas och närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett sådant förbättringsarbete. Det är såväl ett grund- läggande allmänt intresse som ett uttryckligt krav i lagstiftningen att systematiskt och fortlöpande utveckla och säkra kvaliteten i socialtjänsten och hälso- och sjukvården.

Sammantaget är en effektiv och ändamålsenlig informations- hantering en av grundförutsättningarna för en jämlik vård och omsorg av hög kvalitet i hela landet. Det innebär att satsningar och förbättringsarbeten för säkerhet, tillgänglighet och evidensbaserade arbetssätt i vård och omsorg även behöver inkludera frågor om informationshantering.

För att medborgare ska få säkra insatser av hög kvalitet behöver yrkesutövare inom hälso- och sjukvården och socialtjänsten på ett säkert och ändamålsenligt sätt ha tillgång till uppgifter om individen

28

SOU 2014:23

Sammanfattning

och information om de insatser som han eller hon fått tidigare. Utan tillgång till sådana uppgifter ökar risken för bl.a. bristande besluts- underlag, felbehandlingar och allvarliga interaktioner mellan läkemedel och andra insatser. I det dagliga arbetet med att ge individer den vård och de insatser som i enskilda fall behövs är personalens hantering av information om dessa individer även integrerat med de konkreta arbetsuppgifterna. Personalen behöver såväl ta del av uppgifter som dokumentera uppgifter för att kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt. Om verksamheten exempelvis använder elektroniska beslutsstöd där information om individen sambearbetas med andra kunskapskällor för att ge specifik vägledning eller behandlingsrekommendationer, blir informationshanteringen närmast en oskiljaktig del av själva arbetets utförande. De regler som gäller avseende själva utförandet av insatserna för individen måste därför vara i harmoni med de regler som gäller för hantering av informationen om honom eller henne.

De organisatoriska gränser som finns mellan olika aktörer i hälso- och sjukvården och socialtjänsten för med sig juridiska och tekniska hinder när det gäller hantering av personuppgifter. Men den enskilde ska inte riskera att få mindre säkra insatser eller insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har tillgång till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde.

Bra samverkande verksamheter kan ge fördelar för individen. Genom samarbete i tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete med övriga stödfunktioner och tillgång till personal dygnet runt m.m. kan den enskildes behov tillgodoses på ett sätt som uppfyller krav på kontinuitet, säkerhet och respekt för den enskilde. För att detta ska vara möjligt behövs det ett regelverk för informationshanteringen som har individen och individens behov i centrum.

Ytterligare en förutsättning för hög kvalitet och säkerhet hälso- och sjukvård och socialtjänst är att både själva insatserna och informationshanteringen bygger på respekt för den enskildes självbestämmande och integritet. Med hänsyn till såväl individens integritet som till förtroendet för hälso- och sjukvården och social- tjänsten kan det aldrig bli fråga om att information om individen ska kunna spridas okontrollerat. De fördelar som ett utlämnande av eller tillgång till uppgifter innebär måste alltid vägas mot de nackdelar och

29

Sammanfattning

SOU 2014:23

risker som kan uppkomma. Det handlar om att upprätthålla en balans mellan olika intressen som framför allt integritetsskydd, hälsa, livskvalitet, autonomi och jämlikhet.

Utredningens utgångspunkt är att värden som kvalitet och säkerhet inte står i motsats till behovet av skydd för den personliga integriteten. I själva verket handlar det om ett samspel där ett väl- balanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Den relevanta frågan handlar därför om hur integritets- skyddet närmare bör utformas för att stimulera en socialtjänst och hälso- och sjukvård där medborgare får insatser av så hög kvalitet och säkerhet som möjligt.

Utredningens förslag i korthet

Två nya lagar; en socialtjänstdatalag och en hälso- och sjukvårdsdatalag

Socialtjänstdatalagen

En särskild s.k. registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet när det gäller behandlingen av integritetskänsliga personuppgifter. Därutöver ger en sådan författning även möjligheter att utforma närmare förut- sättningar för hur personuppgiftsbehandlingen bör gå till för att de övergripande syftena med informationshanteringen ska kunna uppnås. Personuppgiftsbehandling som rör ett stort antal registrerade personer och har ett särskilt integritetskänsligt innehåll bör vara reglerade i lag. Det ligger i linje med 2 kap. 6 § regeringsformen

Utredningen föreslår att en ny lag om behandling av person- uppgifter inom socialtjänsten ska införas, med namnet socialtjänst- datalag. Lagen ska gälla för kärnverksamheten i socialtjänsten, d.v.s. det som utförs av kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse. Sådan personuppgiftsbehandling som görs av andra aktörer på socialtjänstens område, t.ex. Socialstyrelsen och Inspektionen för vård och omsorg ska inte regleras av socialtjänstdatalagen.

Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet i socialtjänsten. På en övergripande nivå ska förutsättningarna öka för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan socialtjänsten och hälso- och sjukvården. Det handlar både

30

SOU 2014:23

Sammanfattning

om att se till att personuppgifter kan behandlas för att se till att individer i behov av socialtjänst får insatser av hög kvalitet och om att säkerställa behovet av skydd för den personliga integriteten. Författningsstrukturen och det materiella innehållet bör överens- stämma i stort med den författningsreglering om behandling av personuppgifter som vi föreslår för hälso- och sjukvården.

Det innebär att socialtjänstdatalagen bland annat innehåller bestämmelser om personuppgiftsansvar, vilka personuppgifter som får behandlas, tillåtna ändamål för personuppgiftsbehandlingen, utlämnande genom direktåtkomst, inre sekretess, behörighets- styrning, åtkomstkontroll och rättigheter för den enskilde.

Hälso- och sjukvårdsdatalagen

I detta betänkande finns ett stort antal förslag som syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som ska minska tillämpningsproblemen med nuvarande lagstiftning, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. Utredningens förslag i sin helhet kommer därför att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen (2008:355). Under arbetets gång har det blivit uppenbart att våra förslag skulle medföra så många förändringar att det skulle inverka negativt på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig.

Utredningen lämnar i betänkandet förslag som ska underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten underlättas om vi lämnar förslag till en ny lagstiftning för båda dessa områden samtidigt.

Utredningen anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämpningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och för de som ska tillämpa lagstiftningen.

Vårt förslag innebär att många bestämmelser ska överföras materiellt oförändrade från patientdatalagen till den nya lagen. Det

31

Sammanfattning

SOU 2014:23

har gett oss tillfälle att överväga och vid behöv föreslå förenklad utformning och språkliga justeringar i paragraferna. Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårds- datalag.

En informationshantering som utgår från individens behov

Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde

Behovet av informationsutbyte om en patient är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet i hälso- och sjukvården är att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att han eller hon ska få en god och säker vård.

Dagens organisationsinriktade lagstiftning motverkar dock ett sådant informationsutbyte. Även om i princip all hälso- och sjukvård är offentligt finansierad av kommuner och landsting uppställer lagstiftningen hinder för informationsutbytet mellan vårdgivare som är offentligt finansierade. För patienter som bor i kommuner eller landsting med få privata leverantörer i det offentligfinansierade systemet ger lagstiftningen bättre förutsättningar för en ändamålsenlig och sammanhållen informationshantering än för patienter som bor i ett landsting eller en kommun med en stor mångfald av vårdgivare.

Vi anser att alla medborgare som väljer vårdgivare, t.ex. en privat vårdcentral med offentlig finansiering, ska kunna lita på att den vårdgivaren har lika goda legala möjligheter som en landstings- driven vårdcentral att t.ex. utbyta information med det landstingsdrivna sjukhuset. För att möjliggöra detta föreslår utredningen att det ska vara tillåtet att utbyta nödvändiga uppgifter om en patient på samma enkla sätt oavsett hur vården i ett landsting eller i en kommun är organiserad. Vi föreslår att det ska bli tillåtet för offentligfinansierade vårdgivare inom en huvudmans ansvarsområde att utbyta uppgifter om en patient med hjälp av direktåtkomst med stöd av samma regler oavsett om verksamheten drivs offentlig eller privat. Inom det egna landstinget eller inom

32

SOU 2014:23

Sammanfattning

den egna kommunen ska informationen kunna följa patienten på ett enkelt och säkert sätt som är till nytta för honom eller henne.

För att tillgodose patienternas behov av integritetsskydd föreslår vi att patienten ska få en rätt att begränsa den elektroniska åtkomsten inom och mellan dessa vårdgivare, på ett sådant sätt att verksamheter som i praktiken inte heller deltar i patientens vård och behandling inte heller får ta del av uppgifterna. En sådan spärr kan sedan hävas med patientens samtycke eller i en nödsituation där patienten inte kan lämna samtycke.

Jämlik tillgång till sammanhållen journalföring

En konsekvens av utredningens förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en och samma huvudmans ansvarsområde är att tillämpningsområdet för reglerna om sammanhållen journalföring krymper. Istället för som idag gälla vid allt informationsutbyte genom direktåtkomst mellan vårdgivare kommer reglerna att tillämpas för informationsutbytet mellan vårdgivare som finansieras av olika huvudmän, t.ex. en kommunalt finansierad vårdgivare och en landstingsfinansierad vårdgivare eller två vårdgivare som finansieras av olika landsting.

Genom sammanhållen journalföring kan viktig information om patienterna finnas tillhands i den stund och på den plats behovet för patienten uppstår. En förutsättning för det är dock att patienten inte motsatt sig informationsutbytet. I sådant fall får uppgifterna inte finnas tekniskt åtkomliga för andra vårdgivare i systemet för sammanhållen journalföring. Med hänsyn till patientens rätt till självbestämmande och integritetsskydd ska den förutsättningen enligt utredningens förslag alltjämt vara gällande, men med två undantag. Utredningen föreslår att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga så att uppgifterna kan nås i de situationer det behövs för patientens vård.

Ett problem med gällande bestämmelser om sammanhållen journalföring är att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de fördelar det kan medföra. En person som i det aktuella avseendet har

33

Sammanfattning

SOU 2014:23

nedsatt beslutsförmåga kan varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet.

För att den som har nedsatt beslutsförmåga ska ha samma möjligheter som andra individer att dra nytta av ett mer patient- säkert och effektivt informationsutbyte föreslår vi ett undantag i hälso- och sjukvårdsdatalagen som innebär att vårdgivare, under vissa förutsättningar, kan göra personuppgifter tillgängliga i system för sammanhållen journalföring även om patienten inte kan ta emot information och ta ställning till åtgärden.

För att en vårdgivare, som står i begrepp att ge patienten vård och behandling, ska få ta del av uppgifter i system för sammanhållen journalföring krävs idag att patienten lämnar ett särskilt samtycke till själva åtkomsten och användandet av uppgifterna. Utredningen föreslår att kravet på särskilt samtycke till personuppgifts- behandlingen inte överförs till hälso- och sjukvårdsdatalagen. I stället ska patientens samtycke till själva hälso- och sjukvårdsinsatserna utgöra grunden för vilka uppgifter hos andra vårdgivare som det är tillåtet att ta del av. Om patienten har kommit överens med vård- givaren om en viss hälso- och sjukvårdsinsats, t.ex. ordination av läkemedel mot sömnproblem, ska hälso- och sjukvårdspersonalen även få ta del av den information om patienten som behövs för att med en hög patientsäkerhet kunna fatta bästa möjliga beslut om patientens behandling. Patienten ska därmed fortfarande på en övergripande nivå förfoga över vilka uppgifter som hälso- och sjuk- vårdspersonalen får ta del av. Eftersom hälso- och sjukvårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens självbestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Yrkesutövaren får bara ta del av de uppgifter som behövs för att kunna ge den vård som patienten vill ha. Förslaget innebär alltså ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.

En konsekvens av detta förslag är att det blir möjligt att ta del av uppgifter genom sammanhållen journalföring även i samband med vård och behandling av en person som har nedsatt beslutsförmåga. Om hälso- och sjukvårdspersonalen anser att en viss vårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att den aktuella vården ska kunna ges på ett patientsäkert sätt och med hög kvalitet.

34

SOU 2014:23

Sammanfattning

Vidare föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.

Nya former för informationsutbyte inom socialtjänsten

Även när det gäller informationshanteringen inom socialtjänsten finns anledning att göra den mer ändamålsenlig genom att låta informationen följa individen i stället för organisationsgränserna.

Utredningen anser att socialtjänsten behöver ha legala förutsätt- ningar för en ändamålsenlig samverkan i den individinriktade verk- samheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. De olika utförarna av socialtjänst behöver en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för att tillgodose individens behov av kontinuitet kan tillgång till rätt information i rätt tid vara avgörande.

Utredningen föreslår därför att det i en kommun som väljer att organisera socialtjänsten i flera olika nämnder och kommunalägda bolag ska vara tillåtet att utbyta personuppgifter mellan nämnderna och bolagen genom direktåtkomst. De kommuner som i dag har organiserat socialtjänsten i en och samma nämnd, har redan stora möjligheter till ett sådant ändamålsenligt och effektivt informations- utbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar om att öka förutsätt- ningarna för en jämlik socialtjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i de olika kommunerna ser ut.

För att ytterligare förbättra möjligheterna till ändamålsenliga arbetssätt inom socialtjänsten föreslår utredningen att det under vissa förutsättningar även ska vara tillåtet med direktåtkomst mellan olika utförare av socialtjänst oavsett om de är kommunala eller privata. Denna form av direktåtkomst ska endast omfatta det informations- utbyte som behövs i samband med genomförandefasen i social- tjänsten, exempelvis när den enskilde får insatser genomförda av två eller flera utförare. Med hänsyn till behovet av självbestämmande och skydd för den personliga integriteten ska den enskildes samtycke krävas för informationsutbytet.

35

Sammanfattning

SOU 2014:23

Med våra förslag får alla kommuner – oavsett hur myndighets- strukturen ser ut och oavsett i vilken mån privata utförare av social- tjänst anlitas – samma möjlighet att arrangera informations- hanteringen inom socialtjänsten på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, får utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretessprövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, d.v.s. att samma uppgift behöver dokumenteras flera gånger på flera ställen, minskar.

Genom utredningens förslag får socialtjänsten motsvarande möjligheter att hantera och utbyta information som hälso- och sjukvården har haft sedan 2008.

Direktåtkomst mellan hälso- och sjukvård och socialtjänst och gemensam vård- och omsorgsjournal

Många individer har idag behov av insatser både från hälso- och sjuk- vården och socialtjänsten. Inte minst för äldre personer, personer med funktionshinder, personer med missbruks- eller beroendeproblematik eller personer med psykisk ohälsa krävs ofta en omfattande samverkan över organisatoriska och professionella gränser för att den enskilde individen ska få sina behov av hälso- och sjukvård och socialtjänst tillgodosedda. Det har även under en längre tid införts nya rättsliga krav på samverkan mellan huvudmännen i dessa frågor. För att sådan samverkan ska fungera och leda till bättre resultat för den enskilde måste det finnas rättsliga förutsättningar som medger en ömsesidig tillgång till relevant information över vårdgivargränser, utförargränser och huvudmannagränser.

En utgångspunkt för utredningen är att regelverket om informationshantering ska ge verksamheterna möjlighet att arbeta integrerat fullt ut för att så långt som möjligt kunna använda den gemensamma kompetensen för att ge god och säker vård och omsorg till den enskilde. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Där är vi inte idag.

Trots att det exempelvis i samband med Ädelreformen uttalades att många personer har så sammansatta behov av hälso- och sjuk-

36

SOU 2014:23

Sammanfattning

vård och socialtjänst att det inte går att skilja på vad som är vad, innebär dagens regler för informationshantering att yrkesutövare i vård och omsorg ändå måste ta ställning till dessa svåra gräns- dragningsfrågor och dela upp dokumentation om en och samma individ i två olika delar. Beroende på var uppgifter om den enskilde sedan dokumenteras uppstår risker genom bristande tillgång till relevant information och avsaknad av en samlad bild av individens hälsosituation. Utredningen lägger därför förslag om ett regelverk som i större utsträckning utgår ifrån individen och individens behov istället för organisations- och verksamhetsgränser.

För att tillgodose behoven i en sådan komplex verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket tillhandahålla flera olika möjligheter till en mer effektiv, ändamålsenlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som ger de bästa förutsättningarna för att kunna tillgodose enskildas behov av en god och säker vård och omsorg. Utredningen föreslår därför att vårdgivare i hälso- och sjukvården och utförare i socialtjänsten ska kunna välja form för gemensam informationshantering; antingen i form av direkt- åtkomst mellan hälso- och sjukvård och socialtjänst eller i form av en gemensam vård- och omsorgsjournal.

Utredningens förslag innebär att t.ex. ungdomsmottagningar kan välja att använda möjligheten till direktåtkomst mellan hälso- och sjukvård och socialtjänst som ett sätt att utbyta uppgifter mellan de olika aktörer som deltar i insatserna för den unge. Det kan vara en ändamålsenlig form för informationshantering i den verksamheten så att de unga får insatser av god kvalitet. Genom förslaget blir det även möjligt för en primärvårdsläkare att med direktåtkomst ta del av det som dokumenterats om den äldre på ett särskilt boende i form av exempelvis hur den äldre sovit, ätit, druckit och i övrigt mått. Sådant som kan vara helt avgörande vid exempelvis ordination av läkemedel eller utvärdering av redan ordinerade behandlingar.

Andra verksamheter som bedrivs integrerat mellan hälso- och sjukvård och socialtjänst kan ha så stora behov av att dokumentera på ett samlat sätt att en gemensam vård- och omsorgsjournal är ett bättre alternativ än direktåtkomst. Utredningen gör bedömningen att det inte minst i särskilda boenden för äldre kan förenkla och förbättra informationsförsörjningen för de deltagande aktörerna om alla dokumenterar i en gemensam vård- och omsorgsjournal. På så sätt

37

Sammanfattning

SOU 2014:23

skapas bättre förutsättningar för en god och säker verksamhet för de äldre som får sina behov av vård och omsorg tillgodosedda på boendet. Innehållet i en gemensam vård- och omsorgsdokumentation ska motsvara både det som ska dokumenteras i en patientjournal och det som ska noteras i en social journal.

Den enskilde individens tillgång till uppgifter om sig själv och möjligheterna att förfoga över dessa

Utredningens utgångspunkt är att våra förslag ska stimulera en utveckling av fler e-tjänster som på olika sätt kan öka servicen och tillgängligheten gentemot medborgarna samt stärka individens inflytande och delaktighet i hälso- och sjukvården och social- tjänsten. Enligt gällande rätt får en vårdgivare ge en patient direktåtkomst uppgifter om sig själv. Vi föreslår även uttryckliga bestämmelser som ger den som bedriver verksamhet inom social- tjänsten möjlighet att ge individen direktåtkomst till sina person- uppgifter. Individen ska även få medges direktåtkomst till dokumentation om den åtkomst som förekommit (loggar).

Normalt gäller inte sekretess till skydd för en enskild individ i förhållande till individen själv. I hälso- och sjukvården finns dock bestämmelser i offentlighets- och sekretesslagen (2009:400) samt patientsäkerhetslagen (2010:659) som i vissa fall medför att sekretess eller tystnadsplikt kan bedömas föreligga även mot individen själv. Motsvarande sekretessbestämmelse mot individen själv finns inte för uppgifter inom socialtjänsten.

Utredningen anser att bestämmelsen om sekretess mot patienten själv är inte är förenlig med ett tidsenligt förhållande mellan hälso- och sjukvården och patienten. Eventuella risker med att ta bort sekretessen väger förhållandevis lätt jämfört med de vinster det för med sig, såväl vad gäller ökade fundamentala patienträttigheter som möjligheten för patienten att med hjälp av effektiva och säkra e-tjänster kunna ta del av viktig information om sitt hälsotillstånd. Förslaget medför också att dessa möjligheter kommer att vara likvärdiga avseende uppgifter såväl inom hälso- och sjukvården som socialtjänsten. Vi föreslår därför att bestämmelserna om sekretess och tystnadsplikt mot patientens själv tas bort. Förslaget innebär ingen förändring i vilka övriga uppgifter som får lämnas ut till en enskild. Exempelvis kan det, precis som idag, föreligga sekretess för uppgifter om andra personer som nämns i den enskildes patientjournal eller personakt i socialtjänsten.

38

SOU 2014:23

Sammanfattning

Vidare bedömer utredningen att många individer kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får närstående bättre förutsättningar att vara ett stöd i frågor om hälso- och sjukvård och socialtjänst samt får ökade möjligheter att bevaka den enskildes intressen. Hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att individen kan förfoga över sin direktåtkomst. Det ska vara möjligt för individen att låta någon annan ta del av korrekta och aktuella uppgifter på ett ändamålsenligt sätt. Det kan exempelvis vara värdefullt när närstående hjälper till att stödja familjemedlemmar eller andra med sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara behjälplig med individens medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att hjälpa till med att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om individen.

En informationshantering som stödjer tillgänglighet, säkerhet och skyddet för den personliga integriteten

Förtydligat ansvar för hantering av personuppgifter inom hälso- och sjukvården och socialtjänsten

Utredningen föreslår att socialtjänstdatalagen och hälso- och sjuk- vårdsdatalagen ska innehålla flera bestämmelser om ansvaret för en säker och ändamålsenlig hantering av personuppgifter. Det handlar både om att se till att uppgifter finns tillgängliga och att uppgifter hanteras så att obehöriga, vare sig det är inom eller utom verksam- heten, inte kan komma åt dem. I de respektive lagarna ska finnas flera bestämmelser som uttrycker vad som innefattas i detta ansvar för säker hantering av personuppgifter.

En vårdgivare och den som bedriver verksamhet inom social- tjänsten är ytterst ansvariga för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete. Själva syftet med dokumentationen går förlorad om uppgifterna inte finns tillgängliga där de behövs, exempelvis för att se till att enskildas behov tillgodoses. Därför måste de ansvariga

39

Sammanfattning

SOU 2014:23

vara medvetna om sitt ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.

Mot bakgrund av behovet av ett starkt skydd för den personliga integriteten ska även uttryckas ett ansvar för att uppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem och för att överföring av uppgifter görs på ett säkert sätt så att ingen obehörig kan ta del av dem.

Krav på behörighetsstyrning och åtkomstkontroll

På socialtjänstens område saknas idag, till skillnad mot hälso- och sjukvården, uttryckliga regler om krav på att anpassa yrkesutövarnas behörigheter för elektronisk åtkomst till uppgifter om enskilda efter de behov av uppgifter som yrkesutövaren har för att kunna utföra sitt arbete. Det saknas även uttryckliga bestämmelser om krav på loggning och kontroll av att ingen otillåten åtkomst till uppgifter om enskilda har förekommit. Med hänsyn till behovet av skydd för den personliga integriteten ska det både i socialtjänstdatalagen och i hälso- och sjukvårdsdatalagen finnas tydliga bestämmelser om krav på behörig- hetsstyrning och åtkomstkontroll. Yrkesutövare i hälso- och sjukvården och socialtjänsten ska så långt möjligt ha en behörighet som är begränsad och anpassad till vad som behövs för att en god och säker hälso- och sjukvård eller socialtjänst kan utföras.

Genom utredningens förslag tydliggörs exempelvis att det, även om sekretessen mellan myndigheter i socialtjänsten i samma kommun tas bort, alltid finns ett ansvar för den som bedriver verksamheten att se till att den interna elektroniska tillgången till uppgifter inte är större än den enskilda yrkesutövarens behov.

Yrkesutövarens ansvar – inre sekretess

I socialtjänstdatalagen ska, på motsvarande sätt som redan idag gäller inom hälso- och sjukvården, tydliggöras när en yrkesutövare får ta del av uppgifter om enskilda individer. Den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom

40

SOU 2014:23

Sammanfattning

socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen, exempelvis för att handlägga ärenden om enskilda. Motsvarande bestämmelse överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.

Skydd för personuppgifter vid samverkan mellan flera personuppgiftsansvariga

I nuvarande regelverk saknas uttryckliga krav som anger hur vård- givare inom hälso- och sjukvården eller utförare i socialtjänsten som samverkar kring behandling av känsliga personuppgifter ska agera tillsammans för att se till att uppgifterna skyddas. Enligt utredningens uppfattning är det viktigt att samverkande aktörer tar ett gemensamt ansvar för informationssäkerheten och skyddet för personuppgifterna, så att inte integritetsförluster uppstår för enskilda.

Mot den bakgrunden föreslås att samverkande aktörer inom hälso- och sjukvård och socialtjänst som medger varandra direkt- åtkomst eller på annat sätt samarbetar vid behandling av person- uppgifter ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för person- uppgifterna ska tillgodoses. Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.

Krav på informationssystemens utformning

I de båda lagarna som föreslås ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, under- lättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. Dessutom ska informations- systemen vara utformade på ett sådant sätt att de enskildas integritets- skydd tillgodoses.

41

Sammanfattning

SOU 2014:23

En informationshantering som bidrar till bättre resultat för individer i behov av hälso- och sjukvård och socialtjänst

Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling inom en huvudmans ansvarsområde i hälso- och sjukvården

Genom vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde blir förutsättningarna för informations- hantering i den individinriktade patientverksamheten lika för alla vårdgivare inom detta område, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Det blir alltså möjligt hålla ihop informationshanteringen på ett lokalt och regionalt plan, såväl i den individinriktade verksamheten som när det gäller olika över- gripande kvalitets- och förbättringssträvanden i landstinget eller kommunen. Inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen nu kunna följa patienten på ett enkelt och säkert sätt. Utredningen anser att informationen i verksamheterna ska kunna bidra till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad.

För att ytterligare förstärka dessa möjligheter föreslår utred- ningen en tystnadspliktsbrytande uppgiftsskyldighet som gör att en privat vårdgivare kan lämna ut de uppgifter till huvudmannen som behövs för att denne ska kunna leva upp till sitt ansvar som huvudman enligt hälso- och sjukvårdslagen (1982:763). Förslaget syftar till att förbättra kommuner och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvaret för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vård- givare med offentlig finansiering. Det blir möjligt att följa upp patientens vårdprocesser oavsett hur vården i landstinget eller kommunen är organiserat. Det ger också förutsättningar för alla huvudmän att planera och erbjuda preventiva insatser på ett jämlikt sätt till alla invånare.

42

SOU 2014:23

Sammanfattning

Viss kvalitetssäkring möjlig i system för sammanhållen journalföring

Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är idag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten av sina insatser föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.

Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling i socialtjänsten

Våra förslag till förbättrade möjligheter till informationsutbyte inom socialtjänsten ger på flera olika sätt bättre möjligheter till kvalitetssäkring och verksamhetsuppföljning inom socialtjänstens område. Förslagen ger ökade möjligheter till ett lokalt kvalitets- arbete exempelvis hos enskilda utförare av socialtjänst, genom att det i socialtjänstdatalagen tydliggörs att enskilda verksamheter får behandla personuppgifter för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Detta gäller redan för de offentliga verksamheterna idag och med utredningens förslag får alla som bedriver socialtjänst samma möjligheter.

Dessutom ger flera av utredningens förslag ökade möjligheter till ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. Genom förslaget att ta bort sekretessgränserna mellan olika nämnder på socialtjänstens område i en och samma kommun, ges nya möjligheter för kommunen att göra en mer samlad verksamhetsuppföljning och kvalitetssäkring. Förslaget innebär att

43

Sammanfattning

SOU 2014:23

alla kommuner, oavsett hur de valt att organisera sin myndighets- struktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i den socialtjänst invånarna erbjuds.

Vidare föreslår utredningen att en kommun, som i egenskap av huvudman ansvarar för socialtjänsten, ska ha samma möjligheter att följa upp kvaliteten i socialtjänsten oavsett om den enskildes insatser utförs av en privat eller av en offentlig utförare. För att möjliggöra detta föreslås en tystnadspliktsbrytande uppgifts- skyldighet för enskilda verksamheter på socialtjänstens område att lämna ut de uppgifter som den ansvariga kommunen behöver. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för det systematiska kvalitetsarbetet, men gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänstverksamhet som kommunen ansvarar för gentemot dess invånare.

I praktiken innebär våra förslag även förutsättningar för att implementera system för kvalitetssäkring och uppföljning som gör det möjligt att följa upp och jämföra socialtjänstens verksamhet i olika delar av landet.

Förbättrad möjlighet att använda nationella kvalitetsregister för att kvalitetssäkra den hälso- och sjukvård som ges av flera vårdgivare

Många patienter får idag sitt behov av hälso- och sjukvård tillgodosett av flera olika vårdgivare. Det är inte ovanligt exempelvis att en patient med cancer vårdas växelvis på ett sjukhus i det egna landstinget och växelvis på ett universitetssjukhus i ett annat landsting. Även den hälso-och sjukvård som riktar sig till äldre, personer med missbruks- och beroendeproblematik och till personer med psykisk ohälsa är ett typexempel på processer som går över vårdgivargränser.

Det är viktigt att lagstiftningen tillhandahåller goda möjligheter för vårdgivare att ta ansvar för och kvalitetssäkra den hälso- och sjukvård som patienter får i dessa situationer. Patienter ska inte riskera att få en osäkrare vård eller vård av lägre kvalitet bara för att flera olika vårdgivare är iblandade i patientens process. Utredningen föreslår därför förbättrade möjligheter att använda nationella eller regionala kvalitetsregister för att kvalitetssäkra den hälso-och sjukvård som patienten erbjuds och som utförs av flera vårdgivare. En vårdgivare ska få ha direktåtkomst till sådana uppgifter om en patient som vård-

44

SOU 2014:23

Sammanfattning

givaren själv registrerat i ett kvalitetsregister och till uppgifter om samma patient som andra vårdgivare registrerat i samma register.

Säkra läkemedelsförskrivningar och tillgång till varningsinformation

Läkemedelsbehandlingar är förenade med stora risker. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet. Det behov av vård som orsakas av felaktigt använda läkemedel utgör en allt större del av de samlade hälso- och sjuk- vårdskostnaderna. Målet och intentionen med en samlad information om patientens läkemedelsbehandling är att kunna ge honom eller henne en adekvat och anpassad behandling utifrån det tillstånd och det behov av vård som patienten har. Det förutsätter att den som exempelvis ska ordinera ett läkemedel har tillgång till en samlad information om patientens aktuella läkemedelsbehandling.

För patientens liv och hälsa är det även särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger överkänsligheten. För en patient som exempelvis är så överkänslig mot vissa läkemedel att en felaktig läkemedelsordination kan leda till bestående eller allvarliga men eller till patientens död, är hälso- och sjukvårdspersonalens tillgång till sådan varningsinformation helt nödvändig.

Utredningen föreslår därför att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga för en vårdgivare så att uppgifterna kan nås i de situationer det behövs för patientens vård. En patient kan därmed inte motsätta sig att sådan information finns tekniskt åtkomlig. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkes- utövares åtkomst i journalsystemens läkemedelslistor även i stort överensstämmande med vad som gäller för åtkomst till mot- svarande uppgifter i receptregistret och läkemedelsförteckningen.

45

Sammanfattning

SOU 2014:23

En informationshantering som ger förutsättningar för forskning och kliniska prövningar

Utredningen föreslår en möjlighet till direktåtkomst för källdata- granskning (monitorering) vid forskning inom hälso- och sjukvården. Sådant utlämnande får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den person- uppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen. Denna form av direktåtkomst är integritetsvänlig eftersom monitoreringen kan bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och genomföras med hjälp av moderna tekniska lösningar.

Utredningen föreslår även att det av hälso- och sjukvårds- datalagens ändamålsbestämmelse uttryckligen ska framgå att personuppgiftsbehandling för att antalsberäkna möjliga deltagare i forskning inom hälso- och sjukvården är tillåtet. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i en forskningsstudie, om studien är godkänd av regional eller central etikprövningsnämnd. Förslaget innefattar även ett krav på vårdgivare att ta fram närmare riktlinjer som beskriver hur den här personuppgiftsbehandlingen ska gå till. Det bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet att antalsberäkna och identifiera personer inför kliniska prövningar.

En informationshantering som stödjer yrkesutövare inom hälso- och sjukvård och socialtjänst i deras arbete

Kunskap, kompetens, ledning och styrning

Utredningen har uppfattat att det såväl inom hälso- och sjukvården som socialtjänsten finns ett behov av ökad kunskap och kompetens när det gäller förutsättningarna för att hantera och utbyta information. Det finns såväl en osäkerhet om vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som finns och är tillåtna enligt lagstiftningen.

Det finns därför behov av en mer aktiv och målmedveten ledning och styrning i dessa frågor. Vi bedömer att behovet av kompetensutveckling och kunskapsstyrning på detta område finns

46

SOU 2014:23

Sammanfattning

såväl på den mer verksamhetsnära nivån som på de olika lednings- nivåerna i hälso- och sjukvården och socialtjänsten. Vårdgivare och de som bedriver verksamhet inom socialtjänsten behöver bygga upp strukturer som på olika sätt stödjer ett ändamålsenligt arbets- sätt vad gäller dokumentation och informationshantering. Dessa ansvariga aktörer måste förmedla till medborgarna och till personalen på vilket sätt de vill använda information i verksam- heten, vilka verktyg som ska användas i detta syfte, hur säkerhets- kraven ska uppfyllas och vad verksamheterna vill åstadkomma med informationshanteringen.

Mot denna bakgrund har utredningen i en delredovisning (bilaga 4) beskrivit de möjligheter som befintlig lagstiftning erbjuder för att hantera uppgifter inom och mellan hälso- och sjukvård och socialtjänst. I stället för en traditionell och mer teoretisk genom- gång av gällande lagstiftning har vi valt att utforma delredovis- ningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg

Ändamålsenliga former för informationsutbyte

Utredningen olika förslag för att underlätta ett säkert och ändamålsenligt informationsutbyte vid samverkan inom och mellan hälso- och sjukvård och socialtjänst kommer att ge yrkesutövarna bättre förutsättningar att ge enskilda individer god och säker hälso- och sjukvård och socialtjänst och på det sättet en större trygghet i arbetssituationen. De rättsliga förutsättningarna för samverkan avseende informationshanteringen kommer att bli mer överens- stämmande med de krav på samverkan runt individen som finns i lagstiftningen.

Rätt information på rätt plats i rätt tid

Utredningen har ovan redovisat flera förslag som medför ökade förutsättningar för yrkesverksamma att utföra sitt arbete på ett sätt som ger bästa möjliga resultat för individer i behov av hälso- och sjukvård eller socialtjänst. Utöver det kan även nämnas att hälso-

47

Sammanfattning

SOU 2014:23

och sjukvårdsdatalagen och socialtjänstdatalagen föreslås innehålla bestämmelser om vad som gäller för yrkesutövarnas åtkomst till uppgifter om enskilda. Det ska bland annat vara tydligt att vård- givaren och den som bedriver verksamhet inom socialtjänsten ansvarar för att anpassa och begränsa behörigheten för åtkomst till vad som behövs för att den som arbetar i hälso- och sjukvården eller socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Genom en välutvecklad behörighetsstyrning kan en yrkesutövare snabbt och säkert få tillgång till den information som behövs för att fatta bästa möjliga beslut kring en individ, utan att samtidigt exponeras för uppgifter som är oväsentliga i sammanhanget.

Utredningen föreslår även att det i de båda lagarna ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. För att medborgare ska få en god och säker hälso- och sjukvård och socialtjänst krävs att de som ansvarar för verksam- heten även tar ett tydligt ansvar för att se till att yrkesutövarna i praktiken får de verktyg och förutsättningar för informations- hantering som behövs för att de mål som gäller för verksamheten ska kunna uppnås.

Ett tydligare ansvar för patientjournalen och dess innehåll

Det ska framgå av hälso- och sjukvårdsdatalagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vårdgivaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att uppgifter används på ett sådant sätt att de bidrar till en god och säker vård.

De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är därför nödvändigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.

Den som för journal ansvarar idag för sina uppgifter och att de är korrekta, oavsett om en administrativ kvittens (signering) är synlig eller inte. Utredningen föreslår att signeringskravet, som det

48

SOU 2014:23

Sammanfattning

är utformat i dag, ska tas bort. Av lagen ska följa att den som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. Denna kontroll ska antingen göras i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in. Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsningen gjorts. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet.

Vårdgivaren ska ha tydliga rutiner för hur ansvaret för uppgifternas riktighet ska upprätthållas i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verk- samheter och vårdgivare att det finns tillit till att dokumentationen är korrekt och användbar. Vårt förslag innebär att såväl vårdgivaren som yrkesutövaren även fortsättningsvis har ett ansvar för att uppgifterna i en patientjournal är korrekta.

49

1 Vårt uppdrag och arbete

1.1Vårt uppdrag

Regeringen beslutade den 15 december 2011 (dir. 2011:111, bilaga 1) att tillsätta en särskild utredare för att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.

Utgångspunkter för uppdraget ska bland annat vara att efter en avvägning mellan verksamheternas behov av information och skyddet för den enskildes personliga integritet kartlägga vilken typ av information som bedöms vara nödvändig att behandla genom till exempel utlämnande genom direktåtkomst. I uppdraget ingår att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I uppdraget ingår även att peka ut vilka hinder för en sådan informationshantering som finns i dag och i förekommande falla i vilka lagar dessa hinder finns. Med utgångspunkt från kartläggningen och de identifierade förutsätt- ningarna och hindren ska utredaren föreslå sådana lagstiftnings- åtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter för den aktuella behandlingen inom eller över både organisatoriska och nationella gränser.

I utredningens uppdrag ingår bland annat att utreda hur person- uppgiftsansvaret ska regleras i framtiden och då även person- uppgiftsansvaret för känsliga personuppgifter som den enskilde själv rapporterar in. Utredningen ska också analyser vilka hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut personuppgifter till andra länder. Utredningen ska även se över om det är lämpligt att införa regler i patientdatalagen (2008:355) beträffande personer som saknar förmåga att motsätta sig eller samtycka till nödvändig behandling av personuppgifter. I upp-

51

Vårt uppdrag och arbete

SOU 2014:23

draget ingår även att undersöka om det är lämpligt att införa sekretessbrytande bestämmelser i socialtjänsten motsvarande de som redan gäller i hälso- och sjukvården.

Vidare ska utredningen föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassa till ändamål som gäller för övriga hälsodataregister. Slutligen ska utredningen överväga om det bör införas en möjlighet för vårdgivare att ansöka om journal- förstöring och, om det behövs lämna förslag till sådan reglering. Utredaren har även möjlighet att ta upp frågor som inte nämns i direktivet men som denne anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredställande sätt.

Utredaren fick även som deluppdrag att analysera förutsätt- ningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).

I tilläggsdirektiv den 29 mars 2012 (dir. 2012:23, bilaga 2) beslutade regeringen att klargöra och delvis förändra gränsdragningen mellan utredningen och Utredningen om stärkt ställning för patienten genom nu patientlagstiftning (S 2011:03, dir. 2001:25)och att förlänga tiden för överlämnande av delbetänkandet avseende utredningsfrågorna om register över hälso- och sjukvårdspersonal (HOSP-registret) till den 31 maj 2012.

Utredningen överlämnade delbetänkandet Bättre behörighets- kontroll (SOU 2012:42) den 31 maj 2012.

I tilläggsdirektiv den 2 maj 2013 (dir. 2013:43, bilaga 3) beslutade regeringen att förkorta tiden för den del av uppdraget som handlar om att utreda om det är lämpligt att införa regler i patientdatalagen beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av person- uppgifter så att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. Denna del av uppdraget skulle redovisas i ett delbetänkande senast den 5 juni 2013. I den del som av uppdraget som handlar om att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten skulle utred- ningen i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen skulle lämnas till regeringen senast den 31 december 2013. För huvuddelen av uppdraget förlängdes utredningstiden att redovisas senast den 30 april 2014.

52

SOU 2014:23

Vårt uppdrag och arbete

Utredningen överlämnade i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.

Den 31 december 2013 överlämnade utredningen en delredo- visning om vilka möjligheter som gällande rätt ger för att kunna hantera och utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.

1.2Utredningens arbete

Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).

Det övergripande uppdraget är enligt direktivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningen har på olika sätt inhämtat kunskap och fått del av erfarenheter om de frågor som behandlas i utredningens arbete. Arbetet har bedrivits öppet och utåtriktat och har fort- löpande kommunicerats med berörda statliga myndigheter, kommuner, landsting, Sveriges Kommuner och Landsting, privata utförare och organisationer.

Utredningen har genomfört ett flertal möten och studiebesök i landsting och kommuner. Studiebesök har även gjorts hos privata vårdgivare, privata utförare av socialtjänst och hos olika organisationer.

Utredningen har haft möten och dialoger med Data- inspektionen, Socialstyrelsen, Sveriges Kommuner och Landsting och Inspektionen för vård och omsorg. Samtal har ägt rum med eHälsomyndigheten (f.d. Apotekens Service Aktiebolag) kring utvecklingen av det personliga hälsokontot, Hälsa för mig.

Utredningen har även haft ett stort antal möten med företrädare för olika organisationer, vårdgivare och huvudmän. Kontakter har även tagits med vård- och omsorgsproducenter och enskilda patientorganisationer, yrkesföreningar, fackliga organisationer, patient- och brukarorganisationer och arbetsgivare- och intresse- organisationer. Flera olika typer av referensgruppsmöten har arrangerats på initiativ av utredningen.

Utredningen har även aktivt deltagit och hållit föredrag vid ett stort antal konferenser och seminarier såsom bland annat Almedalen, Normkonferansen (Norge), Senior i Centrum, Vitalis, konferensen

53

Vårt uppdrag och arbete

SOU 2014:23

för Nationell Ehälsa, Datainspektionens konferens om patient- datalagen, konferensen Dagar om Lagar, Sveriges Kommuner och Landstings konferens Barnen och lagen, Nationella rådslaget om aktiv hälsostyrning, Nationella Kvalitetsregisterkonferensen, Stockholms läns landstings seminarium om informationssäkerhet och seminarier arrangerade av Svenska Läkaresällskapet.

Utredningen har vid en studieresa till USA tagit del av erfarenheter från hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare.

Utredningens arbete har bedrivits med den övergripande målsätt- ningen att skapa förutsättningar för en informationshantering som bidrar till bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst. I detta har vi inriktat arbetet på att

särskilt beakta vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker vård och omsorg,

se över hur behandlingen av personuppgifter regleras inom hälso- och sjukvården och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering,

se över hur behandlingen av personuppgifter regleras inom socialtjänsten och föreslå författningsändringar för att möjlig- göra en välfungerande och sammanhållen reglering, och

möjliggöra ett utökat utbyte av personuppgifter mellan social- tjänsten och hälso- och sjukvården.

1.2.1Sakkunnig- och expertgrupp

Utöver utredningens sekretariat har en expertgrupp deltagit i utredningsarbetet. I februari 2012 tillsatts en expertgrupp med representanter från berörda departement, myndigheter och organisationer. Till gruppen förordnades sakkunniga från Social- departementet, Justitiedepartementet och Utbildningsdepartementet. Därutöver förordnades experter från Sveriges Kommuner och Landsting (SKL), Socialstyrelsen, Inspektionen för vård och omsorg, Datainspektionen, Statens Medicinsk-Etiska Råd (SMER), Famna, Karolinska Universitetssjukhuset, Vårdföretagarna, Norrköpings kommun, Landstinget i Jämtland, Norrbottens läns landsting.

54

SOU 2014:23

Vårt uppdrag och arbete

Expertgruppen har träffats för sammanträden vid 10 tillfällen under utredningens arbete. Under utredningstiden har även två tvådagars internatsammanträde hållits.

1.2.2Samråd med statliga utredningar

Utredningen har under arbetets gång haft dialog med ett stor antal statliga utredningar, bland annat följande.

Statistikutredningen 2012 (Fi 2011:05).

Informationshanteringsutredningen (Ju 2011:11).

Statens vård- och omsorgsutredning (S 2011:01).

Läkemedels- och apoteksutredningen (S 2011:07).

Patientmaktsutredningen (S 2011:03).

Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskning (S 2012:06).

Utredningen om en kommunallag för framtiden (Fi 2012:07).

Utredningen om tillgänglig och säker information i hälso- och sjukvård och socialtjänst (E-hälsokommittén) (S 2013:17).

Utredningen om framtida valfrihetssystem inom socialtjänsten (S 2012:08).

Utredningen om nationell samordning av kliniska studier (U 2013:04).

E-delegationen (N Fi 2009:01).

Utredningen en nationell samordnare för effektivare resurs- utnyttjande inom hälso- och sjukvården (S 2013:14).

1.2.3Metodstöd m.m.

I utredningsuppdraget har vi sett behov av en tankemodell för hur man kan göra avvägningar mellan de olika etiska värden som representeras av patientintegritet och patientsäkerhet. Prioriteringscentrum vid Linköpings universitet har fått i uppdrag att ta fram en sådan modell, vilken presenteras i rapporten Att prioritera mellan olika värden – En modell för avvägningar mellan

55

Vårt uppdrag och arbete

SOU 2014:23

patientintegritet, patientsäkerhet och andra etiska värde inom hälso- och sjukvården (Prioriteringscentrums rapportserie 2013:4) Arbetet har genomförts av professor Lars Sandman i dialog med företrädare för utredningen, medarbetare inom Prioriterings- centrum samt den expertgrupp kring behörighet, spärr och logg inom ramen för patientdatalagen som finns i Västra Götalands- regionen.

1.2.4Delbetänkandet Bättre behörighetskontroll

Den 21 maj 2012 överlämnade utredningen delbetänkandet Bättre behörighetskontroll (SOU 2012:42).

Legitimation för yrke inom hälso- och sjukvården är förbehållen sådana yrkesgrupper som har kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Socialstyrelsen är ansvarig för ett register (HOSP-registret) över dessa yrkesutövare.

Flera olika intressenter frågar efter uppgifter ur registret. Det grundläggande syftet med att hämta in uppgifter om hälso- och sjukvårdspersonalens behörighet är gemensamt; att på olika sätt trygga patientens säkerhet.

Utredningen lämnade i betänkandet olika förslag för att möjlig- göra direktåtkomst till uppgifter registret för allmänheten, vård- givare, Apotekens Service AB (i dag eHälsomyndigheten) och Transportstyrelsen.

1.2.5Delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga

Den 5 juni 2013 överlämnade utredningen delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45).

Dagens regelverk om informationshantering i hälso- och sjukvården medför att personer som inte själv kan ta ställning till frågor om informationsutbyte riskerar att få vård på osäkrare villkor och av lägre kvalitet än personer som har förmåga att ta ställning i dessa frågor.

Utredningen lämnade i betänkandet förslag till ändringar i patientdatalagen för att göra det möjligt för vuxna med nedsatt

56

SOU 2014:23

Vårt uppdrag och arbete

beslutsförmåga att dra nytta av fördelarna med sammanhållen journalföring.

Utredningen föreslog att vårdgivare ska få göra uppgifterna tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att förstå information om sammanhållen journalföring och ta ställning till person- uppgiftsbehandlingen. Av respekt för den enskildes rätt till självbestämmande och integritetsskydd får detta endast göras under förutsättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling. Om det för vård- givaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring ska ett tillgängliggörande av uppgifter inte vara tillåtet. Sådana omständlig- heter kan exempelvis handla om att närstående lämnar välgrundad information om saken, exempelvis i samband med vårdplanering, inflyttning på särskilt boende eller inför planerad hälso- och sjukvård m.m. För hälso- och sjukvårdspersonalen handlar det således om att agera utifrån vad som är känt om den enskildes inställning och personalens bedömning av vad som är bäst för patienten.

Utredningen föreslog vidare att vårdgivare ska få en möjlighet att i enskilda situationer när patienten är i behov av vård ta del av vårddokumentation, t.ex. uppgifter om vilka läkemedel patienten har, som en annan vårdgivare gjort tillgängliga i system för sammanhållen journalföring, även om patienten inte endast tillfälligt saknar förmåga lämna samtycke till personuppgifts- hanteringen. Av hänsyn till behovet av skydd för den personliga integriteten får personuppgiftsbehandlingen endast genomföras under förutsättning att uppgifterna kan antas ha betydelse för den vård och behandling som är nödvändig med hänsyn till patientens hälsotillstånd. Det handlar således om sådan informationshantering som behövs för att patienten i enskilda fall ska få bästa möjliga vård och omhändertagande.

När det gäller deltagande i nationella och regionala kvalitets- register föreslog utredningen att det ska vara tillåtet för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till den information som lämnas om registreringen. Av hänsyn till behovet av skydd för den personliga integriteten bör sådan personuppgiftsbehandling endast få göras under förutsättning att den enskildes inställning till person-

57

Vårt uppdrag och arbete

SOU 2014:23

uppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan person- uppgiftsbehandling. Precis som när det gäller sammanhållen journalföring är patientens närstående en viktig informationskälla när personalen ska försöka utreda vilken inställning patienten kan tänkas ha i frågan. Om det med ledning av vad som går att ta reda på om den enskildes inställning framstår som uppenbart att patienten hade motsatt sig, får personuppgiftsbehandlingen inte genomföras.

Förslaget gör det möjligt att använda personuppgifter avseende en person som har nedsatt beslutsförmåga i kvalitetsregister i syfte att förbättra kvaliteten i vården, både för den enskilde patienten själv och för andra med liknande sjukdomar eller skador. Genom förslaget tillhandahålls därmed lika goda förutsättningar att förbättra vården, omhändertagandet och livskvaliteten för personer med nedsatt beslutsförmåga och deras närstående, som det finns för personer som kan ge uttryck för sin inställning i dessa frågor.

1.2.6Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt

Den 31 december 2013 överlämnande utredningen en delredovis- ning som beskriver de möjligheter som befintlig lagstiftning ger för att kunna utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.1 Delredovisningen återfinns i bilaga 4.

Utredningen valde att ta fram ett praktiskt användbart verktyg i form av frågor och svar. Syftet med materialet är att ge stöd till den verksamhetsnära nivån i hälso- och sjukvården och socialtjänsten. Materialet speglar utredningen bedömning av gällande rätt den 31/12 2013.

Delredovisningen består av en omfattande powerpoint- presentation med omkring 80 frågor och svar om informations- hanteringen inom och mellan hälso- och sjukvården och social- tjänsten samt tre promemorior. De tre promemoriorna behandlar studerandes möjligheter att ta del av och använda patientuppgifter, möjligheten att använda patientuppgifter för att följa upp, säkra och utveckla resultatet för patienterna i hälso- och sjukvården och möjligheten att ta del av andra vårdgivares uppgifter i system för sammanhållen journalföring. Promemoriorna förklarar mer utför-

1 Delredovisningen återges i bilaga 4 till detta betänkande

58

SOU 2014:23

Vårt uppdrag och arbete

ligt vad som gäller för användningen av personuppgifter inom dessa områden än vad som är möjligt att inom ramen för en powerpoint- presentationen.

Materialet med frågor och svar är fritt för var och en att använda och anpassa efter de behov och förutsättningar som finns i den egna verksamheten. Utredningen betraktar därför denna del av delredovisningen som ett råmaterial som kan förädlas och vidare- utvecklas för att på ett ändamålsenligt sätt användas i samband med utbildning av personal, vid framtagandet av IT-stöd och när verk- samhetsnära riktlinjer för informationshanteringen utformas m.m. Materialet finns att hämta på http://www.sou.gov.se/sb/d/18347.

Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.

1.3Betänkandets disposition

Utredningens uppdrag består av tre huvuddelar; informations- hanteringen inom hälso- och sjukvården, informationshanteringen inom socialtjänsten och informationshanteringen mellan hälso- och sjukvården och socialtjänsten. Utredningen har valt att låta betänkandets disposition ge uttryck för uppdragets olika delar.

I kapitel 4–17 redogör utredningen för utgångspunkter, över- väganden och förslag rörande hälso- och sjukvårdens informations- hantering. I kapitel 18–30 behandlar utredningen motsvarande frågor inom socialtjänstens område. Informationshanteringen rörande personer som har behov av både hälso- och sjukvård och socialtjänst avhandlas i kapitel 31 och 32. I kapitel 33 återfinns utredningens utgångspunkter, överväganden och förslag med avseende på hälso- och sjukvårdens och socialtjänstens ökade elektroniska kommunikation med medborgare. I kapitel 34–37 samlas överväganden och förslag rörande ett antal övriga frågor; internationellt informationsutbyte, patientrapporterade mått, Datainspektionens befogenheter och Socialstyrelsens läkemedels- register.

Utredningens författningsförslag redovisas i kapitel 38. Frågor om ikraftträdande och konsekvenser av utredningens förslag återfinns i kapitel 39 och 40. I kapitel 41 återfinns författnings- kommentaren.

59

2Rätt information på rätt plats i rätt tid – några utgångspunkter

2.1Inledning

Den hälso- och sjukvård och socialtjänst som utförs av landsting, kommuner och privata utförare kräver ett tätt och fortlöpande samarbete både i frågor som rör enskilda individer och i frågor som rör planering, kvalitetssäkring, förebyggande hälsoarbete m.m. För att individer ska få säkra insatser av hög kvalitet behöver behörig personal ha tillgång till rätt uppgifter på rätt plats i rätt tid, över organisatoriska och andra gränser. Samtidigt har utmaningarna för att åstadkomma detta blivit än större i takt med en ökad mångfald av aktörer, en ökad valfrihet för de enskilda, en ökad subspecialisering och en ökad rörlighet hos dem som söker hälso- och sjukvård och socialtjänst. Utredningen har även vid möten med patient- och anhörigföreningar samt vid genomgångar av tillsynsrapporter kunnat konstatera att den information som behövs för att en individ ska få en god vård och omsorg inte alltid finns tillhands.

Utredningens övergripande uppdrag har varit att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder mot en sådan informationshantering som finns i dag. Den uttalade målsättningen har varit att skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst.

61

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

2.2Individen och individens behov i centrum

Utredningen har i arbetet med att ta fram förslag för att skapa bättre förutsättningar för en ändamålsenlig informationshantering inom och mellan hälso- och sjukvård och socialtjänst särskilt beaktat vad som krävs för att äldre personer, personer med miss- bruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker hälso- och sjukvård och socialtjänst.

I detta arbete har vår utgångspunkt varit att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personal- kategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar, exempelvis tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner och personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.

Om individen och hans eller hennes behov lyfts fram blir det uppenbart att informationshanteringen bör vara anpassad till hur det konkreta arbetet för att tillgodose behoven ser ut. I dag utgår de regler som gäller för hantering och utbyte av information från hur hälso- och sjukvården är organiserad i stället från hur informationen behöver vara tillgänglig för att erbjuda säkra insatser till individen.

Vi har försökt att lyfta blicken och så långt möjligt bortse från de organisatoriska aspekterna och i stället ställa oss frågan: hur skulle en sådan verksamhet bäst byggas upp om den inte behövde ta hänsyn till befintliga organisationsgränser eller befintlig lag- stiftning om informationshantering? Under hela utredningens arbete har vi i samtal med utredningens experter och sakkunniga samt i möten med myndigheter och olika organisationer återvänt till denna frågeställning. För oss har det handlat om att försöka skapa en kreativitet som inte är begränsad av de hinder som uppställs i dag, utan som är inspirerad av den möjlighet som utredningen har fått att försöka skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer i hälso- och sjukvård och socialtjänst.

62

SOU 2014:23

Rätt information på rätt plats i rätt tid – några utgångspunkter

Om vi, för att endast ta ett exempel, tänker oss att vi skulle starta en verksamhet för äldre personer med omfattande behov av hälso- och sjukvård och socialtjänst, hur skulle den på bästa sätt utformas för att skapa förutsättningar för ett samarbete mellan olika kompetenser för att ge goda insatser till individen? Vi är inte övertygade om att vi skulle sträva efter att bygga upp en verk- samhet med inbyggda sekretessgränser och olika hinder för utbyte av information mellan olika personalgrupper eller med olika hinder för att utbyta information med hjälp av modern teknik eller hinder genom krav på att information ska dokumenteras på olika ställen. I stället ser vi framför oss en verksamhet där all personal har goda förutsättningarna att ge den äldre personen de allra bästa insatserna. Det förutsätter att både dokumenterandet och utbytet av information mellan de som arbetar i verksamheten fungerar på ett ändamålsenligt sätt. Det måste vara tillåtet att ge information och ta emot information om den enskilde individen och hans eller hennes behov och vilka insatser som planeras och har genomförts. För att informationsutbytet ska kunna göras på ett snabbt, säkert och enkelt sätt behöver de som samarbetar kring den enskilde kunna använda modern informationsteknik.

Utredningen har med hjälp av denna ideala verksamhet som målbild försökt hitta lösningar som utgår från individens behov i stället från hur hälso- och sjukvården och socialtjänsten är organiserad i dag. Det handlar om att stödja en utveckling som ser till att rätt information finns på rätt plats i rätt tid.

Många faktorer måste samspela

Utredningen inser att många olika faktorer behöver samspela för att det ska vara möjligt att utveckla en informationshantering som bidrar till att skapa ännu bättre resultat för individer i hälso- och sjukvården och socialtjänsten. Förutom att lagstiftningen behöver stimulera en önskad utveckling finns även behov av att nödvändiga faktorer som ledning och styrning, professionskulturer, arbetssätt, IT-utveckling, informatik m.m. drar åt samma håll. Det vilar därmed ett stort ansvar på hälso- och sjukvårdens och social- tjänstens aktörer att tillsammans vidta åtgärder och arbeta tillsammans över organisatoriska och professionella gränser för att i praktiken kunna ta tillvara lagstiftningens intentioner.

63

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

2.3Informationshantering som en integrerad del i verksamheten

Enligt utredningens erfarenheter finns i dagsläget inte alltid överensstämmelse mellan förutsättningarna för att ge hälso- och sjukvård eller socialtjänst och förutsättningarna för att hantera den information om individer som behövs för att vården eller insatserna ska kunna ges på bästa möjliga sätt. I våra möten med företrädare för olika verksamheter och med personal inom hälso-och sjuk- vården och socialtjänsten framkommer inte sällan att man upplever att regelverket för informationshantering inte stimulerar det faktiska arbetet.

Utredningen har i olika sammanhang försökt analysera detta. Problembilden är komplex och det finns utmaningar i flera olika dimensioner. En utmaning handlar sannolikt om det rättsliga regel- verkets utformning. Det finns därför skäl att överväga hur regel- verket kan utformas så att frågor om yrkesutövningen i hälso- och sjukvården och socialtjänsten vad gäller ställningstagandet till vård eller andra insatser, går hand i hand med ställningstaganden till informationshantering.

2.4Informationshantering rörande personer med nedsatt beslutsförmåga

Personer med nedsatt beslutsförmåga behöver enligt utredningens uppfattning särskild uppmärksamhet från lagstiftarens sida. Begreppen integritet och självbestämmande är centrala både i hälso- och sjukvårdslagstiftningen och i socialtjänstlagstiftningen. Det grundläggande kravet är att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. De båda begreppen kompletterar varandra – från livets början till livets slut. Däremot kan förmågan att vara självbestämmande skifta under en människas liv, och den kan skifta från individ till individ. Personer som har förmåga att vara självbestämmande kan också bestämma över och försvara sin integritet. Om förmågan till självbestämmande sviktar är det nödvändigt att andra människor blir det skydd som bevarar och försvarar, upprättar och återupprättar integriteten.

Såväl vård- och behandlingsinsatser och insatser inom social- tjänsten liksom en stor del av informationshanteringen i dessa verksamheter förutsätter att den enskilde själv kan ta ställning och

64

SOU 2014:23

Rätt information på rätt plats i rätt tid – några utgångspunkter

ge uttryck för sin vilja i olika avseenden. Men personal inom hälso- och sjukvården och socialtjänsten möter varje dag personer som av en eller annan anledning tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin vilja att exempelvis få en viss vård- och behandlingsinsats eller hemtjänstinsats. En sådan person har ofta även nedsatt förmåga ta emot information och lämna samtycke till den informationshantering som sådana insatser ibland förut- sätter.

Utredningen utgångspunkt är att en individ som av en eller annan anledning saknar möjlighet att samtycka till eller motsätta sig en viss informationshantering ska inte, varken nu eller i framtiden, få sämre insatser eller insatser på osäkrare villkor än andra individer.

Vi anser de förutsättningar som gäller för att kunna genomföra insatser i hälso- och sjukvården och socialtjänsten måste överens- stämma med de som gäller för att hantera den information som behövs i en sådan situation. I situationer där det exempelvis är möjligt att ge vård till någon som inte kan samtycka till åtgärden, måste lagstiftningen även göra det möjligt för den som ska ge vården att ta del av den information som behövs för en god och säker vård.

Det handlar om nödvändiga förutsättningar för individens säkerhet och om personalens möjlighet att göra gott och undvika skada. Samtidigt måste både insatserna och informations- hanteringen utföras med respekt för den enskildes självbestäm- mande och integritet.

2.5Den tekniska utvecklingen ger nya möjligheter

Informationshanteringen i vård- och omsorgssektorn handlar i dag om så mycket mer än att yrkesutövare ska dokumentera sina bedömningar, ställningstaganden, åtgärder och beslut kring enskilda individer och att någon annan yrkesutövare i ett senare skede ska ta del av dessa för eventuellt vidare utredning och beslut.

Enligt utredningens uppfattning har vi gått från en tid när det många gånger har handlat om att dokumentera uppgifter om enskilda, till en tid när det i större utsträckning även handlar om hur uppgifter som har dokumenterats kan användas för att skapa bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna har bland annat medfört

65

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

att det i dag är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras.

Det kan handla om att med teknikens hjälp, på systemnivå, hantera information om enskilda individer tillsammans med inbyggda kunskapskällor för att få bättre stöd för beslut i mötet med patienter i hälso- och sjukvården eller individer i social- tjänsten. I stället för en manuell eller elektronisk hantering som förutsätter att en fysisk person tar del av all tillgänglig information för att försöka göra korrekta bedömningar, t.ex. avseende en patients risk att drabbas av en viss sjukdom, finns i dag möjligheter att utföra ett sådant arbete på systemnivå så att yrkesutövaren endast får del av själva resultatet och de rekommendationer som föranleds av det. Med hjälp av tillgänglig information om patienter, deras sjukdomshistoria, riskfaktorer och aktuella behandlings- riktlinjer m.m. kan tekniken bidra till att förebygga ohälsa. En effektiv informationshantering kan göra att sjukdomar upptäcks tidigare och kan behandlas snabbare.

Sammantaget kan konstateras att informationshanteringen i hälso- och sjukvården och socialtjänsten, med hjälp av den tekniska utvecklingen, kan ha en stor betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet. Samtidigt är nya möjligheter ofta förknippande med nya risker, exempelvis i form av otillräckligt skydd för den personliga integriteten. Det behöver därför göras en ständig avvägning mellan den nytta som en åtgärd syftar till att åstad- komma och de olika risker som en sådan åtgärd kan föra med sig.

2.6Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet

En effektiv informationshantering i syfte att skapa bästa möjliga resultat för de individer som har behov av hälso- och sjukvård eller socialtjänst ger även upphov till frågor om hur en sådan informationshantering förhåller sig till andra värden. Inte sällan uppstår ett behov av att finna en balans mellan sådant som kvalitet, säkerhet och skydd för den personliga integriteten.

Inte minst har relationen mellan patientsäkerhet och personlig integritet varit under debatt och diskussion. Alltsedan patientdata-

66

SOU 2014:23

Rätt information på rätt plats i rätt tid – några utgångspunkter

lagen trädde ikraft har det i den allmänna debatten höjts röster för att integritetsskyddet tillmäts en sådan stor betydelse att patient- säkerheten riskerar att hotas. Ibland har patientsäkerhet och integritetsskydd även framställts som varandras motsatser.

Enligt utredningens uppfattning är står värden som kvalitet och säkerhet inte nödvändigtvis i motsats till skyddet för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Skyddet för den personliga integriteten är, enligt vårt synsätt, viktigt för att åstadkomma en patientsäker hälso- och sjukvård och en god socialtjänst. Om målet är att skapa en god vård och omsorg, är skyddet för den personliga integriteten ett medel för att nå detta mål. Utredningen bedömer därför att integritetsskyddet hela tiden behöver anpassas för att på bästa sätt skydda dessa andra värden och möjliggöra en utveckling mot en god vård och omsorg.

Relationen kan också beskrivas på ett sådant sätt att hög kvalitet och säkerhet i de flesta fall förutsätter ett gott integritetsskydd, medan ett gott integritetsskydd är fullt möjligt att uppnå i en verk- samhet av låg kvalitet och säkerhet. Det skulle exempelvis innebära en förstärkning av patienternas integritetsskydd att förbjuda hälso- och sjukvården att föra patientjournaler, samtidigt som möjlig- heterna att bedriva en patientsäker verksamhet skulle bli väsentligt sämre eller rent av obefintliga.

Men en fullständig urholkning av integritetsskyddet skulle också ge betydligt sämre förutsättningar att bedriva en patientsäker hälso- och sjukvård eller en god socialtjänst, bland annat eftersom enskilda som inte känner trygghet med hur känsliga uppgifter om dem hanteras skulle kunna välja att undanhålla information för den som ska fatta ett viktigt beslut om den enskildes insatser, vård eller behandling.

Detta innebär att det inte är en fråga om antingen eller, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en verksamhet av hög kvalitet som ständigt utvecklas och förbättras. Det handlar om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att skydda och stimulera en god hälso- och sjukvård och socialtjänst. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i vård och omsorg. Å andra sidan är det, enligt utredningens perspektiv, inte heller helt ändamålsenligt att tala exempelvis om att patient-

67

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

säkerheten får företräde framför integritetsskyddet. Förslagen handlar om att öka förutsättningarna att skapa bättre resultat för individer i behov av hälso- och sjukvård eller socialtjänst. I detta ingår integritetsskydd som en viktig beståndsdel. Våra förslag avspeglar därmed den avvägning som vi bedömer är rimlig för att åstadkomma en – för individen – mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I förslagen inryms utredningens bedömningar av hur integritetsskyddet närmare bör utformas för att på bästa sätt skydda värden som kvalitet och säkerhet.

68

3Kort om regelverket och om ansvaret för tillsynen

3.1God vård och omsorg

3.1.1Målen för hälso- och sjukvården och socialtjänsten

Socialtjänstens och hälso- och sjukvårdens verksamheter har samma målsättning; att stärka människors hälsa i vid bemärkelse. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, en god hälsa och en vård på lika villkor för hela befolkningen. Tandvården har motsvarande mål enligt 2 § tandvårdslagen (1985:125), det vill säga en god tandhälsa och en tandvård på lika villkor för hela befolkningen.

Hälso- och sjukvården ska enligt 2 a § HSL bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den särskilt ska vara av god kvalitet med en god hygienisk standard och tillgodose patientens behov av trygghet, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet, främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen samt tillgodose patientens behov av kontinuitet och säkerhet i vården. Vården och behandlingen ska så långt möjligt utformas och genomföras i samråd med patienten. Olika insatser för patienten ska samordnas på ett ändamålsenligt sätt. Varje patient som vänder sig till hälso- och sjukvården ska, om det inte är uppenbart obehövligt, snarast ges en medicinsk bedömning av sitt hälso- tillstånd.

De övergripande målen och grundläggande värderingarna för socialtjänstens samtliga verksamheter uttrycks i 1 kap. 1 § social- tjänstlagen (2001:453), förkortad SoL. I denna inledande paragraf sägs att samhällets socialtjänst ska främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet på demokratins och solidaritetens grund. Vidare ska

69

Kort om regelverket och om ansvaret för tillsynen

SOU 2014:23

socialtjänsten inriktas på att frigöra och utveckla enskildas och gruppers egna resurser, under hänsynstagande till människors ansvar för sin och andras sociala situation. Verksamheten ska bygga på respekt för människors rätt till självbestämmande och integritet.

I lagen (1993:387) om stöd och service till vissa funktions- hindrade, förkortad LSS, ställs krav på att verksamheten ska främja jämlikhet i levnadsvillkor och full delaktighet för de funktions- hindrade som omfattas av lagen. Målet är att den enskilde ska kunna leva som andra.

Dessa övergripande kvalitetskrav på vården och omsorgen specificeras sedan ytterligare i andra författningar som reglerar verksamheterna.

3.1.2Ledningssystem för kvalitet

Verksamheter som bedriver hälso- och sjukvård, tandvård, social- tjänst eller verksamhet enligt LSS är skyldiga att systematisk och fortlöpande arbeta med att göra sina verksamheter bättre och säkrare. I hälso- och sjukvårdslagen, tandvårdslagen, socialtjänst- lagen och lagen om stöd och service till vissa funktionshindrade finns likalydande bestämmelser som anger att kvaliteten i verksam- heten systematiskt och fortlöpande ska utvecklas och säkras.

I 3 kap. 1 § patientsäkerhetslagen (2010:650), förkortad PSL, finns bestämmelser som uttrycker att vårdgivaren ska planera, leda och kontrollera verksamheten på så sätt att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls. Vårdgivaren är alltså ytterst ansvarig för att verksamheten drivs på ett säkert sätt och med hög kvalitet. Enligt 1 kap. 3 § PSL är vårdgivare:

statlig myndighet, landsting eller kommun som bedriver hälso- och sjukvård i egenregi

annan juridisk person än staten, landsting eller kommun som bedriver hälso- och sjukvård, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av ett eller flera landsting eller kommuner

enskild näringsidkare som bedriver hälso- och sjukvård.

Varje sådan vårdgivare ska ha ett ledningssystem för den hälso- och sjukvårdsverksamhet som denne bedriver. Vårdgivaren ska även

70

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

enligt 2 kap. 1 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården säkerställa att det i ledningssystemet finns en dokumenterad informationssäkerhetspolicy.

Enligt definitionen i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete är den som bedriver socialtjänst:

socialnämnd eller motsvarande kommunal nämnd, i fråga om sådan socialtjänst som kommunen bedriver i egen regi

Statens institutionsstyrelse, då den myndigheten bedriver socialtjänst

annan juridisk person än staten eller kommun som bedriver socialtjänst, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av en eller flera kommuner, och

enskild näringsidkare som bedriver socialtjänst.

Alla som bedriver socialtjänst ska ha ett ledningssystem för sin verksamhet. Det gäller både vid myndighetsutövning till exempel ärendehandläggning och vid genomförandet av vård eller insatser. Motsvarande skyldighet har vårdgivare och den som bedriver verksamhet enligt LSS.

Socialstyrelsens föreskrifter och allmänna råd om lednings- system för systematiskt kvalitetsarbete är gemensamma för hälso- och sjukvård, tandvård, socialtjänst och verksamhet enligt LSS. Tanken är att gemensamma reglera ska underlätta för verksamheter som bedriver både hälso- och sjukvård och socialtjänst eller verksamhet enligt LSS att ta fram av ändamålsenliga och verksam- hetsanpassade ledningssystem.

Ledningssystemet ska användas för att systematiskt och fort- löpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten.

Det är alltid vårdgivaren eller den som bedriver socialtjänst eller verksamhet enligt LSS som har ansvaret för att det finns ett ledningssystem.

71

Kort om regelverket och om ansvaret för tillsynen

SOU 2014:23

Socialstyrelsen har gett ut ett meddelandeblad1 och en handbok2 till stöd i arbetet med att ta fram ett ledningssystem för kvalitet.

3.2Informationshantering och personuppgiftsbehandling

3.2.1Informationshantering för en god vård och omsorg

För att den enskilde individen ska kunna erbjudas god vård och omsorg måste de ansvariga verksamheterna dokumentera och i övrigt hantera information om individen och hans eller hennes behov och om de insatser som planeras och genomförs. Även resultaten för individen måste dokumenteras och följas upp. För att verksamheten ska kunna utveckla sin kvalitet behöver resultaten också följas upp på verksamhetsnivå.

När en person får insatser inom vård och omsorg är dokumentationen en integrerad del av genomförandet. Vård- och omsorgspersonal tar del av nödvändiga uppgifter om individen innan mötet med honom eller henne samt även under och efter arbetets genomförande. Uppgifter kan behöva dokumenteras och på olika sätt användas under hela detta förlopp. I bästa fall kan informationssystemet fungera som beslutsstöd direkt arbets- situationen. Det är därför naturligt att se de konkreta insatserna för en individ inom vård och omsorg och den informationshantering som hör ihop med dessa, som beståndsdelar av samma insats. Verksamhetsfrågor och frågor om informationshantering hör ihop. De är tillsammans nödvändiga för att tillgodose den enskildes behov.

Generellt kan sägas att informationshanteringen i vård och omsorg har gått från en tid när ett stort fokus låg på att uppgifter om enskilda dokumenterades, till en tid när mer och mer uppmärksamhet även riktas på hur dokumenterade uppgifter kan användas för att skapa bästa möjliga resultat för enskilda individer och för nästkommande i liknande situationer. Den elektroniska utvecklingen har gett hälso- och sjukvården och socialtjänsten möjligheter att bedriva en bättre, säkrare och mer effektiv verksamhet än vad som tidigare var möjligt.

1Meddelandeblad nr 11/2011, Information om Socialstyrelsens nya föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9).

2Ledningssystem för systematiskt kvalitetsarbete, Handbok för tillämpningen av före- skrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete.

72

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

En ändamålsenlig informationshantering bidrar därmed inte endast till att upprätthålla verksamhetens kvalitet och säkerhet, utan även till att kvaliteten och säkerheten kontinuerligt utvecklas.

Informationshantering i hälso- och sjukvården

Förutsättningarna för hälso- och sjukvårdens informations- hantering regleras i ett antal olika regelverk. På en övergripande nivå har lagstiftning som offentlighets- och sekretesslagen (2009:400), förkortad OSL, arkivlagen (1990:782) och tryckfrihets- förordningen (1949:105) betydelse.

När vård- och omsorgspersonal dokumenterar, tar del av eller följer upp resultat m.m. innefattar det även behandling av person- uppgifter. För hälso- och sjukvårdens personuppgiftsbehandling finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare, oavsett huvudman, och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informations- hanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Lagen innehåller även bestämmelser om patientjournaler och om nationella och regionala kvalitetsregister. Kompletterande bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informations- hantering och journalföring i hälso- och sjukvården. Socialstyrelsen har även gett ut en handbok till stöd för tillämpningen av före- skrifterna. 3 Därtill gäller personuppgiftslagen (1998:204) utöver bestämmelserna i patientdatalagen.

Även i samband med förskrivning och uttag av läkemedel hanteras personuppgifter. I lagen (1996:1156) om receptregister anges att E-hälsomyndigheten med hjälp av automatiserad behandling får föra ett register över förskrivningar av läkemedel och andra varor för människor (receptregister). Lagen är tillämplig på den behandling av personuppgifter som E-hälsomyndigheten gör i samband med utlämnande av uppgifter om förskrivningar. I lagen finns även bestämmelser bland annat om att uppgifter från receptregistret får lämnas till Socialstyrelsens läkemedelsregister som reglerar i förordningen (2005:363) om läkemedelsregister. I

3 Handboken – Ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuk- sköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

73

Kort om regelverket och om ansvaret för tillsynen SOU 2014:23

förordningen (2009:625) om receptregister finns närmare bestämmelser.

Läkemedelsförteckningen innehåller uppgifter om samtliga läkemedel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret talar om ifall patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patient- journalen. Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning.

Informationshantering i socialtjänsten

Den rättsliga regleringen för informationshantering i socialtjänsten är inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentationsfrågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författningsbestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i social- tjänsten återfinns framför allt i förvaltningslagen (1986:223), socialtjänstlagen och de särskilda lagarna med särskilda bestämmelser vid vård av unga (1990:52), förkortad LVU, om vård av missbrukare (1988:870) i vissa fall, förkortad LVM, samt om stöd och service till vissa funktionshindrade. Därutöver har lagstiftning som offentlighets- och sekretesslagen, arkivlagen och tryckfrihetsförordningen även betydelse för socialtjänstens informationshantering.

Socialstyrelsen har utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS. Det finns även en handbok som syftar till att underlätta tillämpningen av det regelverk som gäller för handläggning av ärenden och dokumentation av socialtjänstens insatser för enskilda.4

Socialtjänstens hantering av personuppgifter regleras av person- uppgiftslagen och av närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) och förordningen (2001:637) om behandling av personuppgifter i socialtjänsten (SoLPULF).

4 Handläggning och dokumentation inom socialtjänsten (Socialstyrelsen).

74

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

3.3Tystnadsplikt och sekretess

Såväl hälso- och sjukvårdspersonal som personal i verksamheter inom socialtjänsten och LSS kommer i kontakt med uppgifter om enskilda personer. För att var och en med tillit och trygghet ska kunna vända sig till vården och omsorgen måste uppgifter om enskilda skyddas mot obehörig åtkomst.

Offentlighets- och sekretesslagen, innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Lagen innehåller inskränkningar i den offentlighetsprincip som regleras i tryckfrihetsförordningen Sekretess inom den offentliga vården regleras alltså i offentlighets- och sekretesslagen.

Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjuk- vården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Regler om tystnadsplikt för hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården finns i 6 kap. PSL.

I patientdatalagen finns bestämmelser om hur den som arbetar i vården får använda sin åtkomst till personuppgifter i informations- systemen. Den som arbetar åt en vårdgivare får enligt 4 kap. 1 § PDL endast ta del av dokumenterade personuppgifter om han eller hon deltar i vården av en patient eller av annat skäl behöver uppgifterna i sitt arbete inom hälso- och sjukvården.

Inom socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men (26 kap. 1 § första stycket OSL). Bestämmelser som reglerar sekretessen i privat drivna verksamheter finns i 15 kap. SoL.

I verksamhet enligt SoL samt LSS ska handlingar som rör enskildas personliga förhållanden enligt 11 kap. 5 § andra stycket SoL samt 21 a § LSS förvaras så att obehöriga inte får tillgång till dem.

Det skydd som personuppgifter har av reglerna om sekretess och tystnadsplikt kan den enskilde själv förfoga över genom att ge tillstånd till att skyddade uppgifter ändå får lämnas ut (12 kap. 2 § OSL).

Det finns bestämmelser om självbestämmande och integritet för den enskilde individen i socialtjänsten (inklusive verksamhet enligt LSS) och hälso- och sjukvården. I dessa framgår att vården och

75

Kort om regelverket och om ansvaret för tillsynen

SOU 2014:23

omsorgen ska bygga på respekt för individens självbestämmande och integritet. Det innebär i korthet att man behöver en persons samtycke för att utföra åtgärder, till exempel om man behöver samverka kring en individ. Bestämmelserna gäller helt oberoende av sekretess, men de påverkar möjligheten att lämna ut uppgifter om den enskilde individen. Det gäller såväl inom som mellan myndigheter. Bestämmelserna finns i 2 a § HSL, 1 kap. 1 § tredje stycket SoL samt 6 § LSS. Om samverkan över sekretessgränser behövs kan det vara lämpligt att, i samband med inhämtandet av samtycke till den åtgärden, samtidigt inhämta det samtycke som i många fall behövs för att kunna lämna ut sekretessbelagda uppgifter över sekretess- eller tystnadspliktsgränser. Bestämmel- serna gäller även för verksamhet i privat regi, det vill säga för privata vårdgivare och enskilda verksamheter.

I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Motsvarande sekretessbrytande bestämmelse finns inte för socialtjänsten.

3.4Tillsyn av vård och omsorg

Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt LSS. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter.

Säker vård och omsorg omfattar även säker hantering av person- uppgifter. För att en säker verksamhet ska kunna bedrivas måste uppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården och socialtjänsten förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och den enskilde.

76

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

I förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg beskrivs myndighetens tillsynsansvar. Bestämmel- ser om IVO:s tillsyn finns också i patientsäkerhetslagen, social- tjänstlagen och i lagen om stöd och service till vissa funktions- hindrade.

Datainspektionen ska verka för att skydda människors personliga integritet vid behandling av personuppgifter. Datainspektion utövar i detta syfte tillsyn över personuppgiftsbehandlingen inom vård och omsorg. Bestämmelser om Datainspektionens tillsyn finns i förord- ningen (2007:975) med instruktion för Datainspektionen och i PUL.

Såväl IVO som Datainspektionen har alltså tillsyn över informationshanteringen inom vård och omsorg och ska samverka i dessa tillsynsfrågor.5

Läkemedelsverket har tillsyn inom bland annat området läke- medel och medicintekniska produkter. I förordning (2007:1205) med instruktion för Läkemedelsverket beskrivs tillsynsuppdraget. Enligt förordningen (1993:876) om medicintekniska produkter har Läkemedelsverket tillsyn över att lagen (1993:584) om medicin- tekniska produkter följs. I tillämpningsområdet för Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården ingår informationssystem som är anslutna till medicintekniska produkter.

Arbetsmiljöverket har tillsyn över att vårdgivare och att de som bedriver socialtjänst och verksamhet enligt LSS följer arbetsmiljö- lagen (1977:1160). I arbetsmiljölagen finns regler om skyldigheter för arbetsgivare och andra skyddsansvariga om att förebygga ohälsa och olycksfall i arbetet.

Det är alltså åtminstone fyra olika myndigheter som bedriver tillsyn av de verksamheter som är ansvariga för god vård och omsorg. Det förutsätts i förvaltningslagen (1986:223) att myndig- heter ska samverka med varandra.

5 Prop. 2007/08:126 s. 216.

77

4En hälso- och sjukvård i utveckling

4.1Inledning

Behovet av informationsutbyte kring individen är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. De verksamheter som bedriver sjukvård behöver alla ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation. Huvudmannen som har ansvar för befolk- ningen i området och finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer alldeles oavsett om individens resa har passerat offentliga och privata aktörer.

Det övergripande uppdraget är enligt utredningsdirektivet att utreda och lämna förslag till en mer sammanhållen och ändamåls- enlig informationshantering inom och mellan hälso- och sjuk- vården och socialtjänsten.

I direktivet anför regeringen att en enskild som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter allt fler vårdgivare, utförare inom socialtjänsten etc., både nationellt och internationellt. Med nuvarande lagstiftning innebär fler aktörer fler gränser mellan aktörer, vilket kan skapa juridiska och andra hinder för tillgång till personuppgifter.

Vidare anförs att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar som exempelvis tvär-

79

En hälso- och sjukvård i utveckling

SOU 2014:23

professionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner, personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.

4.1.1Riksrevisionens rapport

Under 2011 presenterade Riksrevisionen sin rapport Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?1. I rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anför i granskningen bl.a. att vårdens organisering har kommit att bli avgörande för informationsutbytet:

Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation. Granskningen visar att det i ett landsting med få vårdgivare är enklare att få tillgång till patientinformation då patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare.

Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de konsekvenser som det ökade antalet privata vård- givare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författ- ningsreglering.

4.2Hälso- och sjukvårdens organisation

Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Begreppet hälso- och sjukvård omfattar således såväl de sjukdomsförebyggande och hälsofrämjande åtgärderna som den egentliga sjukvården. I fråga om tandvård finns särskilda bestämmelser.

Den svenska hälso- och sjukvården karaktäriseras av en stark decentralisering. Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken, men det är de 21 landstingen/regionerna samt

1 RiR 2011:19.

80

SOU 2014:23

En hälso- och sjukvård i utveckling

de drygt 290 kommunerna som tillsammans ansvaret för hälso- och sjukvården i landet. Den svenska modellen innebär att i princip all hälso- och sjukvård som ges i landet är offentligt finansierad antingen av landsting eller av kommuner. Detta gäller alldeles oavsett om det sedan är landstinget, kommunen eller en privat vårdgivare som bedriver själva hälso- och sjukvårdsverksamheten. Den rent privata hälso- och sjukvården, d.v.s. som inte finansieras med offentliga medel, är visserligen något på framväxt men utgör fortfarande en mycket liten del av den totala hälso- och sjukvårds- produktionen.

Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Vidare ska vården ges med respekt för alla människors lika värde och för den enskilda människans värdighet (2 § HSL).

4.2.1Landstingens ansvar

Landstingen har enligt hälso- och sjukvårdslagen ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården (tillgänglighets- garanti), besöka läkare inom primärvården (besöksgaranti), besöka den specialiserade vården (besöksgaranti), och planerad vård (behandlingsgaranti).

I landstingens planeringsansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.

Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vård- inrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom

81

En hälso- och sjukvård i utveckling

SOU 2014:23

landstingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem). Sådana vårdvalssystem ska utformas så att alla utförare behandlas lika, om det inte finns skäl för annat. Ersättningen från landstinget till utförare inom ett vårdvalssystem ska följa den enskildes val av utförare.

I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vårdplatser. För primärvården finns drygt 1 000 vårdcentraler.

Landstingens ansvar för läkarinsatser

Landstingen har ett särskilt ansvar för läkarinsatser. Det ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst.

Av hälso- och sjukvårdslagen följer att landstingen ska till kommunerna inom landstinget avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjukvården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.

4.2.2Kommunernas ansvar

Varje kommun ska erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.

När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har fått befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överens- kommelse med en kommun, överlåta skyldigheten att erbjuda hem- sjukvård. I dag har samtliga län utom Stockholm kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten.

82

SOU 2014:23

En hälso- och sjukvård i utveckling

Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i hemmet har inte räknats som hemsjukvård (prop. 1990/91:14). Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.

Det är dock inte möjligt att inom ramen för en sådan överens- kommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkarinsatser som den enskilde behöver. Den kommunala hemsjukvården har då att samarbeta med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.

En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Kommunen ska planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov. Planeringen ska även avse den hälso- och sjukvård som erbjuds av privata och andra vårdgivare.

4.2.3Privata vårdgivare m.m.

Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvården har utvecklingen gjort att det blivit vanligare att landsting och kommuner anlitar privata aktörer som utförare av hälso- och sjukvård. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idéburna aktörer. Det ökade antalet privata vårdgivare återfinns framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Även i den kommunala hälso- och sjukvården ökar antalet privata utförare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hem- sjukvården. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård.

Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De offentliga aktörerna är som huvudmän och beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentlig- finansierade verksamheter. Utredningen om en ny kommunallag för framtiden anför i SOU 2013:53 att det av bestämmelser i bl.a.

83

En hälso- och sjukvård i utveckling

SOU 2014:23

kommunallagen (1991:900), hälso- och sjukvårdslagen, socialtjänst- lagen och lagen (1993:387) om stöd och service till vissa funktions- hindrade, förkortad LSS, framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare. När kommuner och landsting lämnar över verksamhet till privata utförare så kvarstår, enligt den utredningen, det kommunala huvudmannaskapet för verksamheten. Det kan indirekt utläsas av 6 kap. 7 § kommunallagen, i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredsställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.2 Ansvaret gentemot kommun- medlemmarna ligger alltjämt på kommunen eller landstinget som huvudman även om vissa uppgifter inom den kommunala verksamheten lämnats över till en privat utförare. Kommunen eller landstinget bestämmer om verksamhetens mål, inriktning, omfatt- ning och kvalitet när den utförs av en privat utförare. Den privata utföraren tillhandahåller en kommunal tjänst och kommunen eller landstinget behåller det övergripande ansvaret på samma sätt som när den bedriver verksamhet i egen regi.3 Kostnad och kvalitet för samma vårdinsats för den enskilde ska exempelvis inte skilja sig åt mellan en offentlig och en privat utförare.

Privata vårdgivare med offentlig finansiering grundar sin verksamhet på i huvudsak någon av följande avtalsrelationer med landstinget eller kommunen:

1.vårdval enligt lagen (2008:962) om valfrihetssystem, förkortad LOV,

2.upphandling enligt lagen (2007:1091) om offentlig upphandling, förkortad LOU,

3.ersättningsetablering enligt lagen (1993:1651) om läkarvårds- ersättning, förkortad LOL, och enligt lagen (1993:1652) om ersättning för fysioterapi,

4.direktavtal.

Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. Denna sektor av hälso- och sjuk- vården är emellertid mycket liten. I dessa fall ansvarar följaktligen

2SOU 2013:45 Privata utförare – Kontroll och insyn s. 99.

3SOU 2013:45 Privata utförare – Kontroll och insyn s. 105.

84

SOU 2014:23

En hälso- och sjukvård i utveckling

inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.

4.2.4Vårdval och valfrihetssystem

Riksdagen antog 2009 propositionen Vårdval i primärvården4. Detta har inneburit att landstingen och Gotlands kommun senast den 1 januari 2010 skulle ha infört vårdvalssystem som ger patienten rätt att välja mellan olika vårdgivare i primärvården. Alla vårdgivare, som uppfyller de krav landstingen ställer, har rätt att etablera sig i primärvården. Bestämmelserna i lagen om valfrihets- system ska följas när landstingen utformar sina valfrihetssystem.

Landstingen ska således, enligt 5 § HSL, organisera primär- vården så att alla som är bosatta inom landstinget kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt. Landstinget får inte begränsa den enskildes val till ett visst geografiskt område inom landstinget.

Hur det övergripande målet för vårdvalet formuleras kan skilja något mellan landstingen. I några betonas befolkningens tillgäng- lighet till vård och mångfald, medan andra framhåller målen att stärka patientens ställning och den nära vården.

I vårdvalsuppdraget framhåller alla landsting hälsofrämjande och sjukdomsförebyggande insatser, ökad tillgänglighet, att invånarnas behov ska vara styrande för verksamheten, att vårdenheten ska medverka till en samordnad eller sammanhållen vårdprocess, och att den vårdenhet som invånaren är listad hos ska vara ett naturligt förstahandsval när invånaren söker hälso- och sjukvård.

I exempelvis Stockholms läns landstings modell Vårdval Stockholm beslutas regler för auktorisering och vårdval av landstingsstyrelsen alternativt hälso- och sjukvårdsnämnden. Mot- tagningar som godkänns får avtal att driva sjukvård inom sitt område. Reglerna för auktorisering är desamma för privat och landstingsdriven verksamhet. Med den auktoriserade mottagningen sluts ett avtal där mottagningen förbinder sig att följa de åtaganden och regler som landstinget ställer. Avtalen gäller tills vidare och kan tidigast sägas upp efter fyra år.

Medan det för landstingen är obligatoriskt att införa valfrihets- system i primärvården är det frivilligt för kommunerna att göra det inom den kommunala hälso- och sjukvården och socialtjänsten.

4 Prop. 2008/09:74, bet. 2008/09:SoU9, rskr. 2008/09:172.

85

En hälso- och sjukvård i utveckling

SOU 2014:23

Samtidigt har många kommuner i dag infört valfrihetssystem inom vård och omsorgssektorn.

4.2.5Ett växande antal privata vårdgivare

Uppskattningsvis finns omkring 10 000 privata vård- och omsorgs- företag i landet i dag. Vid en kartläggning som gjordes av Vård- företagarna 2001 utfördes omkring 5 procent av vårduppdragen av privata företag. Enligt Vårdföretagarna svarar i dag privat vård och omsorg för cirka 12 procent av den totala hälso- och sjukvården. År 2010 drevs omkring 26 procent av primärvården och 14 procent av äldreomsorgen i privat regi.

Variationen i landet, mellan landsting och kommuner, är dock stor. I en del län förekommer endast ett ringa antal privata utförare, medan några län visar upp en stor mångfald aktörer.

Av hälso-och sjukvårdsnämnden i Stockholms läns landstings totala kostnader för köpt hälso- och sjukvård 2011 stod privata vårdgivare för 32 procent av de totala kostnaderna. Fördelningen mellan privat utförd och offentligt utförd hälso- och sjukvård, uppdelad på olika delar av hälso- och sjukvården, ser ut som följer inom SLL år 2011.

1.Somatisk specialistsjukvård, 81 % landsting, 19 % privat.

2.Psykiatri, 80 % landsting, 20 % privat.

3.Primärvård, 40 % landsting, 60 % privat.

4.Geriatrik, 49 % landsting, 51 % privat.

5.Övrig vård, 36 % landsting, 64 % privat.

Ytterligare uppgifter från Stockholms läns landsting gör gällande att det, förutom offentliga vårdleverantörer, finns drygt 3 000 verksamheter som bedriver hälso- och sjukvård i länet.5 Av dessa har 560 leverantörer olika vårdavtal med landstinget, 1 400 erbjuder vård med stöd av nationella taxan samt 1 100 utför tandvård med offentlig finansiering. Vidare visar utvecklingen en tendens i ett ökat antal leverantörer. År 2008 fanns det i länet 453 unika leverantörer som tillsammans hade 1 260 vårdavtal för driften av sina verksamheter. År 2011 hade antalet ökat till 564 leverantörer och 1 695 avtal. Vid en analys av utvecklingen i Stockholm mellan år 2000 och 2010 kan konstateras att de privata vårdgivarnas andel framför allt har ökat

5 Rapporten Vårdmarknad och företagsklimat, 2012, Stockholms läns landsting.

86

SOU 2014:23

En hälso- och sjukvård i utveckling

inom geriatriken, där cirka 50 procent av vården producerades av privata vårdgivare år 2010 jämfört med några få procent tio år tidigare. Även inom primärvården har ökningen varit stor, från omkring 30 procent år 2000 till 60 procent 2010.

Även i Landstinget i Östergötland har antalet privata vårdgivare ökat de senaste åren. Från 2008 till 2012 har antalet privat drivna vårdcentraler med finansiering från landstinget ökat med 50 procent, från sex stycken till nio vårdcentraler. Av landstingets 43 vårdcentraler drivs således drygt 20 procent i privat regi.

Vidare kan uppmärksammas Landstinget i Uppsala län där privata vårdgivare med offentlig finansiering står för omkring 40 procent av vårdutbudet i primärvården.

Socialstyrelsen har haft regeringens uppdrag att följa upp valfrihetssystemen inom primärvård och socialtjänst ur ett patient- och befolkningsperspektiv. I slutrapporten från 2012 framkommer bl.a. följande om den utveckling som har skett6.

Sedan landstingen införde sina respektive vårdvalssystem har 208 vårdcentraler i privat regi etablerats till och med oktober 2011. Under motsvarande tid har antalet vårdcentraler i offentlig regi minskat med 17 stycken. Nettotillskottet uppgår alltså till 191 vårdcentraler, vilket motsvarar omkring 19 procent av det totala antalet.

I de 191 vårdcentralerna ingår även filialer. En filial är en del av eller underavdelning till en vårdcentral och har inga listade patienter, utan dessa är listade hos ”huvudmottagningen”. Filialen bedriver verksamhet med fast adress på annan ort och har i de flesta fall ett mer begränsat utbud av primärvårdstjänster jämfört med huvudmottagningen.

Antalet vårdcentraler som drivs av privata utförare har mer än fördubblats efter vårdvalsreformen 2009. Det har skett dels genom att nya vårdcentraler har etablerats men framför allt genom att vårdcentraler som tidigare drivits i offentlig regi numera drivs i privat regi. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare. Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1 022 och av dem drevs 288 i privat regi. År 2011 finns det 1 213 vårdcentraler i landet och av dem drivs nu 602 i privat regi.

6 Socialstyrelsens rapport Valfrihetssystem ur ett befolknings- och patientperspektiv (2012).

87

En hälso- och sjukvård i utveckling

SOU 2014:23

Privatiseringen av primärvården har därmed gått i en snabb takt mellan 2009 och 2011.

4.2.6Ökad specialisering

Det råder ingen tvekan om att komplexiteten i hälso- och sjuk- vården ökar bland annat i takt med nya medicinska landvinningar och utvecklingen av nya läkemedel och medicintekniska produkter. Människans liv blir allt längre och i takt med tiden ökar före- komsten av kroniska sjukdomar och multisjuka patienter. Dagens hälso- och sjukvård ställer stora krav på samverkan och samarbete för att lösa de utmaningar som står för dörren. Det ställs stora krav på hälso- och sjukvårdens aktörer för att de ska kunna säkra framtidens vård, möta den snabba medicinska utvecklingen, till- godose behovet av hög kompetens på alla områden och samtidigt balansera kostnaderna för verksamheten och utvecklingen.

Detta har bl.a. lett till ökade behov av att koncentrera verk- samheter, eftersom resurser saknas för att med tillräckligt hög kvalitet tillhandahålla samma utbud överallt. Den rådande utveck- lingen i samhället och i hälso- och sjukvården har mot denna bak- grund medfört en ökad specialisering.

4.2.7Vårdval – ökade möjligheter för medborgarna

I och med valfrihetsreformen har samtliga medborgare fått rätten att välja en utförare av hälso- och sjukvårdstjänster. För många innebär det ett val av vårdcentral. Men även personer som bor i ordinärt boende och som samtidigt får hälso- och sjukvårdsinsatser i hemmet omfattas av vårdvalet oavsett om insatserna utförs under kommunens eller landstingets ansvar.

I en vårdgivares skyldigheter ingår i regel ansvar för läkar- insatser till enskilda personer som vårdas inom den kommunala hälso- och sjukvården. Läkarinsatser i särskilda boenden omfattas i de flesta landsting av ett grundåtagande i vårdvalet. Det innebär att den enskilde har rätt att välja vårdgivare även om man bor i särskilt boende.

Medborgarnas ökade valmöjligheter medför en del nya krav på vård- och omsorgsaktörerna. Förutsebarheten och möjligheten att planera och dimensionera olika verksamheter är i dag mer

88

SOU 2014:23

En hälso- och sjukvård i utveckling

komplicerad. Samtidigt som landsting och kommuner behöver ha en flexibilitet för att möta medborgarnas valfrihet måste den övergripande planeringen och nödvändiga stödsystem vara robusta och garantera en högkvalitativ och jämlik vård. Dagens mångfald av utförare gör tillsammans med medborgarnas valmöjligheter att behovet av att systematiskt hålla ihop de system, processer, rutiner etc. som är nödvändiga förutsättningar för en god och säker vård är ännu större än tidigare.

4.2.8Vårdprocesser sträcker sig allt mer över vårdgivargränser

En konsekvens av den ökade specialiseringen och mångfalden av utförare är att det i dag snarare är regel än undantag att patienten möter flera olika vårdgivare under en och samma vårdprocess. Patienten möter olika offentliga och privata utförare som tillsammans har uppdraget att leverera högkvalitativ vård för den enskildes bästa. För ett antal år sedan var situationen annorlunda. Då stod kommuner och landsting för i princip all hälso- och sjukvård som utfördes. Vårdprocesserna gick då typiskt sett inte över vårdgivargränser utan hölls i större utsträckning inom landstingets eller kommunens verksamhet. I takt med privatiseringen har detta dock kommit att förändras. Det är särskilt märkbart inom framför allt primärvården.

I dag kan patienten på sin resa genom vården, t.ex. inom ramen för en remisshantering, passera flera olika privata och offentliga aktörer. Det kan handla om att patienten remitteras från en privat driven vårdcentral för att först utredas på en landstingsdriven mottagning och efter det på en privat driven specialistmottagning för att sedan återvända till den remitterande vårdgivaren. Det kan även förekomma att patienten behöver söka vården akut för samma hälsoproblem och då få hjälp av ytterligare en aktör.

Vårdprocesser är inte heller alltid på förhand definierade på ett sådant sätt att det är möjligt att förutse vilka aktörer som kommer att vara inblandade i patientens vård och behandling. Vid exempelvis misstänkt cancer kan processen se olika ut och inledas utifrån symptom som inte omedelbart förknippas med cancer. Det kan i ett inledande skede vara fråga om en omfattande remisshantering, t.ex. från en primärvårdsmottagning till ett laboratorium, från akut- mottagning till röntgen, från vårdavdelning till MR-undersökning på länssjukhus och vidare till kirurgi, patologi och onkologi.

89

En hälso- och sjukvård i utveckling

SOU 2014:23

När det gäller primärvården pekar exempelvis Socialstyrelsen i sin rapport om Valfrihetssystem ur ett befolknings- och patient- perspektiv (2012) på att det ännu finns få svenska studier som visar hur olika befolkningsgrupper använder sig av de möjligheter ett valfrihetssystem kan ge och på vilka grunder eller kriterier enskilda personer väljer. Av en undersökning som Konkurrensverket låtit göra kring vårdval i primärvården7 framgår att kontinuitet generellt ansågs vara en viktig faktor i vård och omsorg av dem som deltog i undersökningen, men särskilt bland de äldre. Yngre personer lade större vikt vid att snabbt kunna få läkartid för sig eller sina barn. Patientens val och rörlighet kan därmed hänga mycket samman med faktorer som i vilket skede i livet patienten befinner sig, vilka socioekonomiska förutsättningar individen har etc. Vård-och omsorgsproducenterna måste därför kunna leverera en hög- kvalitativ vård och omsorg till individer med olika förutsättningar och som gör olika val för att initiera en vårdprocess.

4.2.9Sammanfattande reflektioner

Gemensamt för många av dagens vårdprocesser är att behoven av både tät samverkan och flexibilitet är stora. Inte sällan framförs risker med att mångfald, vårdvalssystem och vård- och omsorgsprocesser med flertalet aktörer kan medföra att individen får ta ett större eget ansvar för att hålla samman processen i gränssnitten mellan de olika aktörerna. I en alltmer specialiserad vård med en mångfald av utförare ökar behovet att hålla samman informationen i enskilda vård- och omsorgsprocesser. Tillgång till rätt information om patienten är kritiskt i varje del av kedjan, hos varje aktör som möter individen. IT- system måste kunna kommunicera, rutiner och arbetssätt måste vara ändamålsenliga och till viss del gemensamma, samma termer och begrepp måste användas av olika aktörer m.m. Det är avgörande för patientsäkerheten att ha en helhetsbild över patientens hälsoproblem oavsett hur patientens resa genom vård och omsorgssystemet har startat och oavsett vilka aktörer som passeras under resan. Det ligger även ytterst i varje medborgares intresse att vård- och omsorgsproducenterna kan hålla ihop de system, processer, rutiner och den information som krävs för att patienter ska få en god vård och omsorg.

7 Konkurrensverkets rapportserie 2010:3.

90

5Informationshantering inom hälso- och sjukvården

5.1Bakgrund

Informationshanteringen är av fundamental betydelse för hälso- och sjukvården. Grunden utgörs traditionellt sett av patientjournal- föringen, som har avgörande betydelse för kvaliteten och säkerheten i hälso- och sjukvården. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård för patienten. Patientjournalen är därmed primärt ett arbetsinstrument för hälso- och sjukvårdspersonalen. Samtidigt är journalen även en viktig informationskälla för patienten, t.ex. för att ge patienten större kunskap om sin hälsosituation och för att öka patientens delaktighet i vården. Den har även stor betydelse för möjligheterna till uppföljning och kvalitetssäkring av verksamheten samt för forskningen. Patientjournalen är också ett viktigt underlag vid tillsyn eller i rättsliga sammanhang.

Samtidigt kan konstateras att hälso- och sjukvårdens informations- hantering i dag är så mycket mer än den egentliga patientjournal- föringen. Det handlar inte längre endast om att i efterhand dokumentera bedömningar, ställningstaganden och vidtagna åtgärder kring enskilda patienter. I dag handlar det även mycket om hur hälso- och sjukvården kan använda redan dokumenterade uppgifter om patienter och information exempelvis om de landvinningar som görs inom den medicinska forskningen för att skapa ännu bättre resultat för patienterna.

Informationshanteringen kan därför sägas vara en grundläggande förutsättning för effektiva kunskaps- och beslutsstöd i den patientinriktade verksamheten. Nya tekniska lösningar har medfört att hälso- och sjukvården kan få bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än vad som över huvud taget är möjligt vid manuella genomgångar av patientjournaler och forskningsrön.

91

Informationshantering inom hälso- och sjukvården

SOU 2014:23

Den elektroniska utvecklingen har även medfört att det i dag kommit att handla mer och mer om hur informationen presenteras för användarna, dvs. hälso- och sjukvårdspersonalen, och hur informationssystemen i övrigt bör vara uppbyggda för att vara användbara i verksamheten.

Därutöver har frågor om hur uppgifter om patienter kan användas för att utveckla och säkra kvaliteten i hälso- och sjuk- vården under en längre tid ökat i aktualitet. Utvecklingen av nationella kvalitetsregister, öppna jämförelser m.m. har bland annat satt ljuset på hur viktigt det är att mäta vad som görs i verk- samheten för att få underlag till förbättringsarbeten.

Vidare har en stor utveckling kommit att ske vad gäller patienters tillgång till information om dem själva. Från att ha handlat om att lämna ut journalkopior manuellt på papper, handlar frågorna i dag om direkt tillgång till uppgifter på internet och särskilda tekniska lösningar som exempelvis gör att informationen kan förädlas och visualiseras på sätt som motsvarar enskilda patienters behov. Den dokumentation som skapas i hälso- och sjukvården är därmed även på väg att bli en grundförutsättning för att stärka patienters delaktighet i vården och öka patienters känne- dom om deras hälsosituation. En del av hälso- och sjukvårdens informationshantering handlar därför om att tillhandahålla förut- sättningar för patienter att förstå och kunna fatta informerade beslut som påverkar hälsa och livskvalitet.

Sammantaget kan konstateras att frågorna om hälso- och sjukvårdens informationshantering har blivit fler och kommit att spänna över bredare områden än tidigare. Det har även medfört ett större fokus på lagstiftningen på området och på frågan om vad som är rättsligt möjligt i frågor om användning av uppgifter om patienter.

I detta kapitel redogörs översiktligt för den nuvarande rättsliga regleringen av hälso- och sjukvårdens informationshantering. Längre fram i betänkandet återfinns utredningens närmare redo- görelser och analyser av olika delar av gällande rätt.

92

SOU 2014:23

Informationshantering inom hälso- och sjukvården

5.2Den rättsliga regleringen av informationshanteringen

För hanteringen av personuppgifter inom hälso- och sjukvården finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård.

Patientdatalagen kompletteras av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

5.2.1Begreppet vårdgivare

I patientdatalagen görs en åtskillnad mellan informationshanteringen inom en vårdgivares verksamhet respektive mellan olika vårdgivare. Förutsättningarna för informationshantering i ett enskilt fall är därmed bl.a. beroende av om det rör sig om en hantering uteslutande inom den egna vårdgivarens verksamhet eller om information exempelvis behöver inhämtas från en eller flera andra vårdgivare.

Med vårdgivare avses en fysisk eller juridisk person som bedriver hälso- och sjukvård. Det är statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndig- heten, landstinget eller kommunen har ansvar för (offentlig vård- givare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Inom den allmänna hälso- och sjukvården är det således den juridiska personen landstinget eller kommunen som är vårdgivare. Sådana kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är egna juridiska personer och utgör själv- ständiga vårdgivare. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB. Även privata utförare av offentligfinansierad hälso- och sjukvård, som exempel- vis Capio, Aleris och Praktikertjänst, är självständiga vårdgivare. Detsamma gäller för även enskilda personer som bedriver husläkar- mottagningar, mottagningar för sjukgymnastik m.m.

93

Informationshantering inom hälso- och sjukvården

SOU 2014:23

Några exakta uppgifter om hur många vårdgivare det finns i dag i Sverige har inte varit möjligt att få fram. En siffra som har nämnts i olika sammanhang är att det finns omkring 10 000 privata vård- och omsorgsföretag i Sverige. Om samtliga dessa är att betrakta som vårdgivare i lagstiftningens mening är emellertid oklart. Hur som helst kan dock konstateras att antalet sinsemellan självständiga vårdgivare har ökat väsentligt de senaste åren. Bara i Stockholm finns omkring 1 000 vårdgivare som driver sin verksamhet med offentlig finansiering.

5.2.2Informationshantering inom en vårdgivares verksamhet (inre sekretess)

Inom en vårdgivares verksamhet kan information utbytas mellan olika aktörer och olika enheter, exempelvis mellan sjukhus och vårdcentraler eller mellan olika enheter inom ett sjukhus, utan hinder av sekretess. Det finns således ingen sekretessgräns som hindrar ett informationsflöde inom en vårdgivares verksamhet, i det s.k. inre sekretessområdet.

Det betyder emellertid inte att det är fritt fram att utbyta information mellan alla som arbetar inom en och samma vård- givares verksamhet. Av den grundläggande bestämmelsen i 4 kap. 1 § PDL om inre sekretess följer att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient endast om han eller hon deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjuk- vården.

Vidare följer av kraven på behörighetsstyrning att personalens behörighet för åtkomst till patientuppgifter ska begränsas till vad som behövs för att den enskilde anställde ska kunna fullgöra sina arbetsuppgifter. Dessutom finns integritetsskyddande bestämmel- ser om åtkomstkontroll, som ställer krav på att åtkomsten till patientuppgifter dokumenteras (loggas) samt systematiskt och återkommande kontrolleras.

Även om det inte finns några sekretessgränser för informations- utbytet inom en vårdgivares verksamhet har patienten en möjlighet att själv begära att den elektroniska åtkomsten till patientens uppgifter begränsas. Den rätten beskrivs ofta som att patienten kan lägga en inre spärr. Rättigheten följer av 4 kap. 4 § PDL och innebär att vård- dokumentation som dokumenterats hos en vårdenhet eller inom en

94

SOU 2014:23

Informationshantering inom hälso- och sjukvården

vårdprocess inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.

En sådan spärr får hävas av behörig befattningshavare hos vård- givaren om patienten samtycker till det. Spärren får även hävas i sådana situationer där patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Lagstiftarens tanke med reglerna om inre spärrar har varit att skapa en bestämmelse som slår fast de principer som uttrycks i 2 § hälso- och sjukvårdslagen om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Patient- datautredningen anförde i sitt betänkande (s. 373) att det för en del patienter inte skulle räcka med en möjlighet att i efterhand kontrollera vilken åtkomst till patientens uppgifter som före- kommit. De patienterna bör enligt utredningen ha en möjlighet att motsätta sig att journaluppgifter görs elektroniskt tillgängliga för andra vårdenheter alternativt vårdprocesser än den vid vilken patienten vårdats under en specifik tidsperiod.

Den inre spärren handlar dock inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika vårdenheter, t.ex. kliniker eller sjukhus hos en och samma vårdgivare. Bestämmelsen reglerar endast själva sättet för informationsutbytet, dvs. elektronisk åtkomst. Några nya interna sekretessgränser uppstår inte och spärrarna innebär inget hinder mot att personal vid olika vård- enheter eller vårdprocesser tar kontakt med varandra på mot- svarande sätt som görs när förutsättningar för elektronisk åtkomst helt saknas.

5.2.3Informationshantering mellan vårdgivare

Av bestämmelserna om sekretess och tystnadsplikt i offentlighets- och sekretesslagen respektive patientsäkerhetslagen (2010:659) följer att sekretess råder mellan olika vårdgivare för uppgifter om hälsotillstånd eller andra personliga förhållanden. Det innebär något förenklat att det exempelvis råder sekretess mellan ett offentligt drivet sjukhus och en privat driven vårdcentral, eller mellan olika offentliga vårdgivare samt mellan olika privata vård- givare. Uppgifter om enskilds hälsotillstånd eller andra personliga

95

Informationshantering inom hälso- och sjukvården

SOU 2014:23

förhållanden får då i huvudsak utbytas med stöd av den enskildes samtycke eller genom att tillämpa en sekretessbrytande bestäm- melse.

I offentlighets- och sekretesslagen finns exempelvis sekretess- brytande bestämmelser som innebär att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande bestämmelse finns även för olika myndigheter som bedriver hälso- och sjukvård inom ett landsting. Dessa bestämmelser möjliggör för kommuner och landsting att organisera sin verksamhet i olika myndigheter utan att det för den skull uppstår sekretessgränser dem emellan. Bestämmelserna gäller dock enbart den hälso-och sjukvård som landstinget eller kommunen själv bedriver genom dessa myndigheter och kan inte tillämpas på sådan hälso- och sjukvård som utförs av privata vårdgivare med offentlig finansiering. Mellan de offentliga och privata aktörerna råder alltjämt sekretess.

Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte att en uppgift som behövs för att den enskilde ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare av socialtjänst. Det är en sekretessbrytande bestämmelse som inte ska tillämpas generellt och i vida omfattning, utan i stället med stor försiktighet då det framstår som direkt påkallat att bistå en enskild och den enskilde kan tänkas motsätta sig ett utlämnande eller att saken brådskar och det inte finns tid att inhämta ett samtycke.

Hur uppgifter får utbytas, vare sig uppgiftsutbytet grundas på ett samtycke eller en sekretessbrytande bestämmelse, regleras bl.a. i patientdatalagen. I lagen medges dels att uppgifter som får lämnas ut kan lämnas ut elektroniskt, dels att vårdgivare under vissa förut- sättningar får ha direktåtkomst till varandras vårddokumentation.

96

SOU 2014:23

Informationshantering inom hälso- och sjukvården

5.2.4Informationshantering mellan vårdgivare – sammanhållen journalföring

Genom patientdatalagen och sekretessbrytande bestämmelser i OSL har vårdgivare fått möjligheten att under vissa förutsättningar ta del av varandras vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring.

Kännetecknande för direktåtkomst är bl.a. att den som önskar ta del av information hos exempelvis en annan vårdgivare på eget initiativ kan bereda sig åtkomst till informationen. Uppgifterna finns således potentiellt tillgängliga att ta del av utan att den som gjort uppgifterna tillgängliga behöver fatta ett formellt beslut om utlämnande till förmån för den som önskar ta del av uppgifterna. Enkelt uttryckt handlar sammanhållen journalföring således om att dela med sig av sin egen vårddokumentation och/eller ta del av vårddokumentation som andra vårdgivare har gjort tillgänglig. Sammanhållen journalföring ger därmed inte uttryck för tanken om ”en patient – en journal”, utan regelverket förutsätter att vårdgivare för sin egen journal och ansvarar för hanteringen av den.

Det är frivilligt för vårdgivare att samarbeta och skapa system för sammanhållen journalföring. Samtidigt måste en rad förutsätt- ningar vara uppfyllda för att vårdgivare ska få nyttja möjligheterna att dela vårddokumentation genom direktåtkomst.

För det första gäller att patienten har en rätt att – efter ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare genom direktåtkomst. Det krävs således inget samtycke för att vårdgivare ska kunna dela med sig av patienternas uppgifter genom direktåtkomst, utan regleringen ger i stället uttryck för individens rätt att motsätta sig, s.k. opt-out.

Patienten har således att välja på att tyst samtycka eller uttryckligen motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom direktåtkomst. En grundläggande förutsättning i sammanhanget är dock att patienten informeras om att han eller hon faktiskt har något att ta ställning till. Sådan information ska lämnas innan uppgifterna görs tillgängliga i system för samman- hållen journalföring. Hur sådan information ska lämnas regleras inte i lagstiftningen, utan det är upp till hälso- och sjukvårdens aktörer att hitta lämpliga former som är väl avvägda och anpassade till olika förutsättningar.

97

Informationshantering inom hälso- och sjukvården

SOU 2014:23

Genom praxis från Datainspektionen har det tydliggjorts att vårdgivarnas informationsplikt är central och de informationsinsatser som väljs måste vara anpassade för att kunna nå de patienter vars uppgifter avses ingå i sammanhållen journalföring. Exempelvis förekommer informationsinsatser i de olika länstidningar som finns, i kallelser till patientbesök, genom affischer och broschyrer på sjukhus och vårdcentraler. Vårdgivare som avser att tillgängliggöra patient- uppgifter rörande patienter som finns i andra län än det i vilket vårdgivaren är verksam, kan även behöva använda sig av region- eller rikstäckande informationsinsatser för att nå patienterna. Som ett exempel på detta kan nämnas Karolinska Universitetssjukhuset som bl.a. informerat genom annonser i Dagens Nyheter.

Om patienten motsätter sig sammanhållen journalföring ska vårdgivaren spärra uppgifterna, dvs. se till att uppgifterna över huvud taget inte är elektroniskt tillgängliga genom direktåtkomst för andra vårdgivare. Åtkomst till sådana spärrade uppgifter får då ske på samma sätt som t.ex. då journaler fördes på papper, dvs. att uppgifterna kan lämnas ut efter sekretessprövning. Beslut om ett sådant utlämnande ska, efter förfrågan från patienten eller en vård- givare som önskar ta del av uppgifterna, fattas av den vårdgivare som har spärrat uppgifterna. Om uppgifterna får lämnas ut kan det ske manuellt eller elektroniskt.

Vårddokumentation rörande de patienter som efter att ha blivit informerade valt att inte motsätta sig den sammanhållna journal- föringen får däremot göras tillgängliga genom direktåtkomst. I sådant fall finns patientens uppgifter potentiellt tillgängliga för den som i en viss situation möter patienten och då har ett behov av att ta del av uppgifter en annan vårdgivare har gjort tillgängliga. För att personal i en sådan situation få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs att

1.uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med,

2.uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten, och

3.patienten samtycker till det.

Det första kravet ovan, att det finns en aktuell patientrelation, är inte en regel om s.k. inre sekretess utan anger endast under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst

98

SOU 2014:23

Informationshantering inom hälso- och sjukvården

som vårdgivaren medgetts genom systemet för sammanhållen journalföring. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares uppgifter till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Begreppet patientrelation är inte definierat i lagstiftningen. I Patientdatautredningens betänkande1 anförs att det normalt inte borde uppstå några tveksamheter huruvida en aktuell patientrelation föreligger eller inte. Enligt utredningen bör en patientrelation t.ex. anses avslutad då en intagen sjukhuspatient skrivs ut som färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Vidare ansåg utredningen att detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi och att man vid tveksamheter får överlåta till rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.

Vidare krävs att personalen som avser att ta del av uppgifter om patienten bedömer om uppgifterna kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett förhållandevis lågt ställt krav, men kräver ändå att ett ställnings- tagande görs. Genom bestämmelsen tydliggörs även att direkt- åtkomsten endast får användas för vårdändamål och inte för andra syften som exempelvis kvalitetssäkring och verksamhetsutveckling. Däremot får direktåtkomsten även användas för att utfärda sådant intyg om vården, som patienten begär.

Det tredje villkoret för åtkomst är att patienten samtycker till det. Med samtycke avses här ett aktivt samtycke från patienten till att direktåtkomst till en annan vårdgivares vårddokumentation används. Vidare följer att det ska vara fråga om ett samtycke enligt person- uppgiftslagen (1998:204), dvs. att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara ett samtycke enligt person- uppgiftslagen innebär bl.a. att det endast är patienten själv, eller en legal ställföreträdare, som kan lämna ett samtycke. Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras finns däremot inte.

1 Patientdatautredningens huvudbetänkande; Patientdatalag, SOU 2006:82 s. 301.

99

Informationshantering inom hälso- och sjukvården

SOU 2014:23

5.2.5Enskilds möjlighet att ta del av uppgifter genom direktåtkomst

I äldre lagstiftning fanns bestämmelser som omöjliggjorde för vård- givare att ge patienter direktåtkomst till journaluppgifter om patienten själv. Genom patientdatalagen har dock möjliggjorts för vårdgivare att medge en enskild direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Bestämmelsen inne- bär således en möjlighet för en vårdgivare, ingen skyldighet, att erbjuda patienten direktåtkomst till journaluppgifter.

För att understryka att en sekretessprövning i enlighet med 25 kap. 6 § OSL är nödvändig i samband med att uppgifter lämnas ut till patienten, vare sig det görs manuellt eller elektroniskt, anges i patientdatalagen att direktåtkomsten endast får avse uppgifter som får lämnas ut till patienten.

Under samma förutsättningar får patienten även medges direkt- åtkomst till dokumentation om den åtkomst till uppgifter som förekommit om den enskilde, s.k. logglistor.

5.2.6Socialstyrelsens föreskrifter (SOSFS 2008:14)

Socialstyrelsen har med stöd av bl.a. patientdataförordningen (2008:360) utfärdat föreskrifter som kompletterar patientdata- lagens bestämmelser om vårdgivares behandling av personuppgifter i hälso- och sjukvården.2

Föreskrifterna, som delvis har utfärdats efter samråd med Data- inspektionen, innehåller bestämmelser om ansvar för informations- säkerhet, rutiner för journalföring och rutiner för hantering av patientuppgifter. Dessutom finns särskilda bestämmelser om enskild verksamhets upphörande.

I kapitlet om informationssäkerhet finns exempelvis krav på behörighetsstyrning och åtkomstkontroll samt att vårdgivare som använder öppna nät (t.ex. Internet eller Sjunet) för att hantera patient- uppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att

2 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

100

SOU 2014:23

Informationshantering inom hälso- och sjukvården

1.överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och

2.åtkomst till patientuppgifter föregås av stark autentisering.

Vidare finns detaljerade krav på hur åtkomst till patientuppgifter får gå till såväl inom en vårdgivares verksamhet som när direkt- åtkomst till sammanhållen journalföring nyttjas. Bland annat ställs krav på att patientuppgifter inte görs tillgängliga utan att användaren gör ett antal aktiva val, dvs. ställningstaganden till om han eller hon har rätt att ta del av de aktuella uppgifterna.

Det finns även närmare bestämmelser som rör patientens möjlighet att genom direktåtkomst få ta del av sina patient- uppgifter, dvs. journaluppgifter som rör patienten själv. Vårdgivare som medger en enskild direktåtkomst ska även ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska lämnas ut genom direktåtkomst.

När en enskild verksamhet ska upphöra finns bestämmelser om att vårdgivaren ska säkerställa att de patientjournaler som finns i verksamheten tas om hand på ett sådant sätt att obehöriga inte kan ta del av dem. Om journalerna inte kan tas om hand på ett sådant sätt ska vårdgivaren ansöka hos Socialstyrelsen om omhänder- tagande av patientjournalerna.

5.2.7Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet

I och med patientdatalagens ikraftträdande undanröjdes några hinder i äldre lagstiftning för vårdgivares möjligheter att följa upp, utveckla och kvalitetssäkra sin verksamhet. Av lagens ändamåls- bestämmelse framgår att vårdgivare, inom sin egen verksamhet, får hantera personuppgifter för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Ofta innebär det att personuppgifter som dokumenterats för vård- och behandlings- ändamål i den individinriktade verksamheten, sedan används för verksamhetsuppföljning på olika nivåer inom vårdgivarens verk- samhet. Men det kan även vara aktuellt att hantera andra person- uppgifter, som inte samlats in i vården av patienten, för att utveckla verksamheten. De begränsningar till samkörning av olika register,

101

Informationshantering inom hälso- och sjukvården

SOU 2014:23

t.ex. journalsystem och patientadministrativa system, som fanns i tidigare lagstiftning har också tagits bort.

Dessutom har de sekretessbrytande bestämmelserna mellan olika nämnder i en kommun eller ett landsting gjort det möjligt för landsting och kommuner att följa upp sin verksamhet, även om verksamheten drivs av flera olika nämnder eller sådana kommunala företag som avses i 2 kap. 4 § OSL.

Även om det nu finns bättre förutsättningar för vårdgivare att hantera personuppgifter för att följa upp sin egen verksamhet gäller alltjämt de grundläggande kraven i personuppgiftslagen. Det inne- bär exempelvis att det bara är tillåtet att basera verksamhets- uppföljningen på personuppgifter om det inte är tillräckligt med hänsyn till ändamålet att använda indirekt utpekande eller avidentifierade uppgifter.

5.2.8Verksamhetsuppföljning över vårdgivargränser

I patientdatalagen finns, förutom regelverket för regionala och nationella kvalitetsregister, inga särskilda bestämmelser som syftar till att möjliggöra verksamhetsuppföljning över vårdgivargränser.

Patientdatautredningen ansåg exempelvis inte att det var motiverat att tillåta direktåtkomst vid sammanhållen journalföring för andra ändamål än patientvård eller för att på patientens begäran utfärda intyg. Inga andra ändamål är således tillåtna, inte ens med patientens samtycke.

Samtidigt anförde utredningen3att det sagda inte hindrar vård- givare A från att följa upp den egna verksamheten genom att använda den egna vårddokumentationen och, om det verkligen bedöms vara nödvändigt, den vårddokumentation hos vårdgivare B som vårdgivare A med patientens samtycke tagit del av genom sin direktåtkomst och som lagts till grund för det egna arbetet. Resonemanget utvecklades emellertid inte ytterligare och det får därmed anses oklart hur och under vilka närmare förutsättningar en sådan uppföljning skulle ske.

I övrigt är verksamhetsuppföljning över vårdgivargränser, åtminstone teoretiskt, möjligt om en sekretessprövning utfaller i bedömningen att uppgifterna kan lämnas ut till den vårdgivare som ska göra den gemensamma uppföljningen. Det låter sig dock inte göras några generella uttalanden kring i vilka fall ett sådant utläm-

3 SOU 2006:82 s. 424.

102

SOU 2014:23

Informationshantering inom hälso- och sjukvården

nande kan göras. Jämfört med vad som gäller i den individinriktade verksamheten torde en sekretessprövning enligt OSL oftare leda till bedömningen att uppgiften inte kan lämnas ut, om syftet med utlämnandet är verksamhetsuppföljning och inte att bereda den enskilde nödvändig vård och behandling.

5.2.9Särskilt om nationella kvalitetsregister

Genom patientdatalagen har hanteringen av personuppgifter i nationella och regionala kvalitetsregister reglerats. Med nationella kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Kvalitetsregistren ska även möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I linje med detta gäller bestämmelserna i 7 kap. patientdatalagen för nationella eller regionala kvalitetsregister i vilka personuppgifter samlats in från flera vårdgivare. Regelverket ger därmed stöd för en särskilt form av verksamhetsuppföljning över vårdgivargränser.

Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till medverkan i den verk- samhetsuppföljning som görs i ett kvalitetsregister är den person- uppgiftsansvarige skyldig att, innan uppgifterna registreras, lämna patienten utförlig information om den hantering av person- uppgifter som gäller för det aktuella kvalitetsregistret.

Informationsplikten innebär således att de personuppgifts- ansvariga aktivt måste uppmärksamma patienten på villkoren för registrering, t.ex. genom att hänvisa till och tillhandahålla den relevanta informationen. Information ska bl.a. lämnas om ända- målet med registret, vilka kategorier av uppgifter som behandlas, vem som är personuppgiftsansvarig, att registreringen är frivillig, att patienten när som helst har rätt att få uppgifter om sig själv utplånade ur registret, vilka kategorier av mottagare som person- uppgifter kan komma att lämnas ut till m.m.

När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens som i personuppgiftslagens mening, lämnas ut från den inrapporterande

103

Informationshantering inom hälso- och sjukvården

SOU 2014:23

vårdgivaren till den mottagande aktören. För att möjliggöra detta utlämnande har det införts en bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

Personuppgifter i nationella kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det handlar således i första hand om att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar för, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, t.ex. diabetes, eller för en viss åtgärd, t.ex. höftoperationer.

Samtidigt får de personuppgifter som samlats in för det primära ändamålet även behandlas för vissa andra, sekundära ändamål, nämligen för framställning av statistik och forskning inom hälso- och sjukvårdsområdet. Med det särskilda ändamålet framställning av statistik avses inte sådana uppgifter som sammanställs statistiskt t.ex. i de kontinuerliga återrapporteringar eller i de årsböcker som framställs i själva kvalitetssäkringsarbetet. Sådan statistikframställ- ning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet avser således statistik som kan användas för andra syften än att förbättra vårdens kvalitet.

Att det är tillåtet att personuppgifter som samlats in för kvalitets- säkring även används i forskning inom hälso- och sjukvårdsområdet innebär emellertid inget undantag från övriga rättsliga krav för att forskning på känsliga personuppgifter ska få äga rum. Det innebär att krav på etikprövning alltjämt gäller om forskning ska göras på uppgifter som registrerats i nationella kvalitetsregister.

Vidare anges i patientdatalagen att uppgifter även får behandlas för att lämnas ut till någon som ska använda uppgifterna för något av de tidigare nämnda tillåtna primära eller sekundära ändamålen. Dessutom anges som ett sista tillåtet ändamål visst fullgörande av uppgiftsskyldighet som följer av lag eller förordning.

Det är uttryckligen förbjudet att behandla personuppgifter i nationella kvalitetsregister för andra ändamål än de nämnda, dvs. för

1.att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet,

2.framställning av statistik,

104

SOU 2014:23

Informationshantering inom hälso- och sjukvården

3.forskning inom hälso- och sjukvården,

4.utlämnande till den som ska använda uppgifterna för något av ändamålen i punkterna 1–3, och

5.fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen.

Det ska uppmärksammas att det finns ett undantag från ovan- stående förbud att behandla personuppgifter för andra ändamål än de uppräknade, nämligen om den enskilde har lämnat ett särskilt och uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål.

Personuppgiftsansvaret för den behandling av personuppgifter som föranleds av registrering i nationella kvalitetsregister kan sägas vara uppdelad på två nivåer, en lokal och en central nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitetsregister, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta personuppgiftsansvar ingår att personuppgifterna hanteras i enlighet med patientdatalagens krav, exempelvis att information har tillhandahållits patienten, att patienten inte motsatt sig registrering, att uppgifterna är korrekta m.m.

För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara person- uppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL). Det har fått till följd att det för varje nationellt kvalitetsregister har utsett en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstingsstyrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att fel- aktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstift- ningen m.m.

Patientdatalagen medger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett regionalt eller nationellt kvalitetsregister. Direktåtkomsten kan användas av den

105

Informationshantering inom hälso- och sjukvården

SOU 2014:23

inrapporterande vårdgivaren för att lokalt arbeta med att utveckla och säkra verksamhetens kvalitet.

Till skillnad mot vad som gäller för vårddokumentationen anges som huvudregel att uppgifter i kvalitetsregister ska gallras när de inte längre behövs för ändamålet kvalitetssäkring. Arkivmyndig- heten kan dock genom beslut bestämma att uppgifterna ska bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål.

106

6En ändamålsenlig informationshantering – iakttagelser och reflektioner

6.1Bakgrund

När patientdatalagen (2008:355), förkortad PDL, trädde i kraft hade den varit efterlängtad i många år. Patientjournallagen (1985:562) och vårdregisterlagen (1998:544) som hade gällt fram till dess var omoderna och svåra att tillämpa på modern kommunikation. Regelverket för hälso- och sjukvårdens hantering av personuppgifter ansågs splittrad och otydlig.1 Det var därför många som såg fram mot den nya lagen. Nu skulle det äntligen bli möjligt att initiera utvecklingsarbeten för en modern informations- hantering där ändamålsenliga tekniska lösningar skulle användas för utbyte av information över vårdgivargränserna. Till viss del handlade det även om att sådant informationsutbyte som redan hade börjat utvecklats skulle bli laglig, exempelvis utbyte av upp- gifter genom direktåtkomst mellan vårdgivare.

Samtidigt med att patientdatalagen trädde i kraft den 1 juli 2008 började även Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården att gälla. I föreskrifterna finns mer detaljerade krav på vårdgivarna avseende informationssäkerhet och journalföring. Under våren 2009 gavs Socialstyrelsens handbok till föreskrifterna ut på internet.

Såväl Socialstyrelsen, Datainspektionen och Sveriges Kommuner och Landsting (SKL) genomförde under första åren olika satsningar för att informera om den nya lagen; konferenser, utbild- ningsdagar genomfördes och olika former av informationsmaterial togs fram.

1 SOU 2006:82 s. 151 f.

107

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

Entusiasmen var stor från myndighetshåll, i kommuner och landsting, bland privata vårdgivare och bland leverantörer och it- utvecklare. Patientdatalagen erbjöd nya möjligheter till informations- utbyte mellan olika vårdgivare och tydliggjorde hur vårdgivare måste arbeta med att tilldela behörigheter och kontrollera hur åtkomsten används. Lagen erbjöd dessutom nya möjligheter för patienterna att förfoga över hur åtkomsten till uppgifterna skulle få användas. Och gjorde det tillåtet för vårdgivarna att ge patienten själv elektronisk åtkomst till sin journal. En annan nyhet var att de nationella och regionala kvalitetsregistren blev reglerade i lag.

Sverige har kommit långt när det gäller användning av it-system som stöd i den dagliga verksamheten och för utveckling samt när det gäller säkerhet och behörighet. Staten och huvudmännen har gjort stora investeringar för att skapa goda grundförutsättningar för en mer ändamålsenlig informationshantering. Satsningar har gjorts och görs på exempelvis it-infrastruktur, säkerhetslösningar och för att införa en nationell informationsstruktur och ett nationellt fackspråk. Vidare håller man nu på att införa bl.a. nationell patientöversikt, samman- hållna journalsystem och elektroniska beslutsstöd inom hela vård- och omsorgssektorn.

Landstingen har arbetat med att införa it-stöd för vård- dokumentation under många år och i dagsläget finns elektroniska journalsystem vid i princip alla sjukhus samt inom hela primär- vården. It-kostnaderna i landstingen uppgick till uppskattningsvis 8 miljarder kronor 2012, vilket är 3 procent av den totala kostnaden för landstingens hela verksamhet. Antalet it-system inom hälso- och sjukvården är relativt stort. Utöver elektronisk journal- hantering, där det i dag finns sex större system i Sverige, finns en mängd olika dokumentationssystem, t.ex. för läkemedelshantering, mödrahälsovård, operationsplanering, akutsjukvård och patient- administration.

Det finns alltså i stort en positiv utveckling när det gäller e- hälsa. Men det finns också många utmaningar. Huvudmännen för vård och omsorg använder fortfarande många gamla system för informationshantering. System som inte är helt anpassade till de krav som måste ställas på modern informationshantering. Data- inspektionen har t.ex. i sin tillsyn observerat att vårdgivarna har haft problem med att anpassa it-systemen till de krav som ställs patientdatalagen. Även Riksrevisionen har pekat på ett antal

108

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

utmaningar för hälso- och sjukvårdens informationshantering.2 Vidare har i många olika sammanhang uppmärksammats att lag- stiftningen upplevs hindra en önskad utveckling. Utredningen har även kunnat konstatera att det, på flera olika nivåer i hälso- och sjukvården, finns en relativt utbredd osäkerhet kring hur patient- datalagen ska tillämpas. Nya organisatoriska förutsättningar är ytterligare en faktor som har kommit att påverka möjligheterna till en ändamålsenlig informationshantering i hälso- och sjukvården.

6.1.1Vårt uppdrag och våra utgångspunkter

Utredningen har som ett övergripande uppdrag att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer samman- hållen informationshantering inom och mellan hälso- och sjuk- vården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) för en sådan informationshantering som finns i dag och i förekommande fall i vilka lagar dessa hinder finns.

Under utredningens arbete har det blivit tydligt att många faktorer måste samspela om hälso- och sjukvården ska få till stånd en informationshantering som bidrar till ännu bättre resultat för patienterna. Lagstiftningen spelar naturligtvis en viktig roll för att tillhandahålla möjligheter och ställa krav som är väl anpassade till de behov som finns för att patienten ska få en god och säker vård alldeles oavsett vilka vårdgivare patienten möter på sin resa genom hälso- och sjukvården. Andra grundläggande faktorer som i olika grad har direkt påverkan på förutsättningarna för en ändamålsenlig informations- hantering är exempelvis hälso- och sjukvårdens organisatoriska strukturer, ledning och styrning, professionskulturer, arbetssätt, it- utveckling och informatik. Utredningens utgångspunkt är att alla dessa faktorer måste beaktas när frågor om informationshantering analyseras.

I det följande redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.

2 Riksrevisionens rapport (RiR 2011:19) Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan.

109

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

6.2Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte

Hälso- och sjukvården har alltsedan patientdatalagen trädde i kraft genomgått stora strukturförändringar, varav en av de mest markanta är ökningen av andelen privata vårdgivare. Siffror från SKL visar att landstingens köp av vårdtjänster från privata leverantörer har ökat från 18 miljarder kronor till cirka 32 miljarder kronor under perioden 2006–2012. Vi har i tidigare avsnitt redovisat att det bara i Stockholms läns landsting finns, förutom offentliga vårdleverantörer, omkring 3 000 privata verksamheter som bedriver hälso- och sjukvård (inklusive företagare på nationella taxan och inom tandvården). Även om mångfalden av privata och offentliga vårdgivare skiljer sig åt i olika delar av landet pekar den sammantanga utvecklingen på att mångfalden ökar och att de privata vårdgivarna blir fler. Samtidigt är det, i allt väsentligt, kommuner och landsting som finansierar såväl de offentliga som de privata vårdgivarnas verksamhet. Tillsammans med det ökade antalet vårdgivare har även specialiseringen inom hälso- och sjukvården ökat.

Utvecklingen har medfört att det ofta är fler aktörer än tidigare inblandade i vården av samma patient. Det finns många exempel på detta och här kan bland annat nämnas den mångfald av vårdgivare i ambulanssjukvården som exempelvis finns i Stockholms läns landsting. Det är i dag inte ovanligt att den privata vårdgivare som står för insatserna i ambulansen assisteras av en akutbil med läkare eller sjuksköterskor från en annan privat vårdgivare. För patienter som är i behov av koordinerade insatser från primärvården och specialistvården är det i dag snarare regel än undantag att samarbetet inbegriper två eller fler självständiga vårdgivare. Bara i byggnaderna som utgör Danderyds sjukhus finns i dag, såvitt utredningen kunnat bedöma, åtminstone sex olika vårdgivare som samarbetar i vården av patienterna. Utvecklingen ser i stort likadan ut i den landstings- finansierade och i den kommunalt finansierade hälso- och sjukvården. Även i kommunal hälso- och sjukvård har antalet vårdgivare som bedriver hälso- och sjukvård i särskilda boenden eller i hemsjukvården ökat. Inte sällan kan även två eller fler vårdgivare i kommunal hälso- och sjukvård behöva samarbeta tätt i vården av patienterna, exempelvis om en vårdgivare står för verksamheten under dagtid och en annan under kvällstid. Eftersom landstingen fortfarande är den aktör som står för läkarinsatserna i särskilda boenden och i hemsjukvården har patienter i den kommunala hälso- och sjukvården dessutom alltid

110

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

behov av insatser från en vårdgivare från den landstingsfinansierade hälso- och sjukvården.

Sammantaget har de organisatoriska förändringarna påverkan både på behoven av och möjligheterna till en ändmålsenlig informationshantering. I vården av enskilda patienter finns i dag ett grundläggande behov av att kunna utbyta information mellan två eller fler vårdgivare. Samtidigt är de rättsliga förutsättningarna för att utbyta information olika utformade beroende på om vården ges av flera eller endast av en vårdgivare. Möjligheterna att utbyta information är med den lagstiftning vi har i dag beroende av hur vården är organiserad. Samtidigt som det kommit nya möjligheter att göra nödvändig information tillgänglig i hälso- och sjukvården så innebär strukturförändringarna att förutsättningarna för nödvändigt informationsutbyte har blivit sämre. Rådande regelverk innebär att villkoren för en effektiv och säker informations- hantering är starkt beroende av hur landstinget eller kommunen organiserar sig. Ett landsting eller en kommun med få privata vårdgivare i sitt offentligfinansierade system har i dag väsentligt bättre legala förutsättningar för en ändamålsenlig informations- hantering än ett landsting eller en kommun med många privata utförare i den offentligt finansierade verksamheten.

Regelverkets organisatoriska fokus har inte endast påverkan på möjligheterna att hantera och utbyta information i den individ- inriktade patientvården, utan även på möjligheterna att säkra och utveckla kvaliteten i den hälso- och sjukvård som patienterna erbjuds. Inte sällan behöver dokumenterade personuppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av dessa och patienters samt närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett ständigt förbättringsarbete. Dagens hälso- och sjukvård med patientrörlighet, valfrihet för individer, ökad mångfald av vårdgivare och en ökad specialisering ställer delvis nya krav på kvalitetssäkringen. Även den informationshanteringen behöver därför ta sin utgångspunkt i och följa patienten i dennes möten med kommunala, landstingsdrivna och privata vårdgivare under ett visst vårdåtagande eller vårdprocess.

Det finns mot denna bakgrund anledning att analysera hur det rättsliga regelverket kan utformas så att en ändamålsenlig informationshantering kan åstadkommas oavsett hälso- och sjuk- vårdens organisation och alldeles oberoende om den enskilde patienten får sitt hälso- och sjukvårdsbehov tillgodosett av en eller fler vårdgivare.

111

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

6.3Informatik och it-frågor

Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och implementera ett nationellt fackspråk och en mer strukturerad dokumentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik hälso- och sjukvård för alla, oavsett vilket landsting eller vilken kommun medborgaren bor i eller vilken vårdgivare medborgaren väljer för att få sitt behov av hälso- och sjukvård tillgodosett. Eftersom en strukturerad dokumentation enligt ett nationellt fackspråk på ett annat sätt än en informationshantering med mer fria ramar, kan bli kunskapsstyrande och mer direkt påverka arbetssätt och arbetsflöden i hälso- och sjukvården, kan det i viss mån även betraktas som en demokrati- och rättvisefråga.

Hälso- och sjukvårdens informationshantering handlar i dag om så mycket mer än att yrkesutövare i efterhand ska dokumentera sina bedömningar, ställningstaganden och åtgärder kring enskilda patienter. Genom en mer strukturerad journalföring kan hälso- och sjukvårdspersonalen i större utsträckning dokumentera i anslutning till hälso- och sjukvårdsinsatserna och då få stöd direkt i arbets- flödet. Förutom att en strukturerad dokumentation kan bidra till att det blir lättare att göra rätt, kan det även leda till en mer jämlik vård genom att det blir styrande för hur all personal ska agera och dokumentera i olika situationer.

Utredningen har under arbetet exempelvis besökt de amerikanska hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare för att bland annat ta del av deras utvecklingsarbeten kring informationshantering och förbättrings- arbete i hälso- och sjukvården. En av erfarenheterna från besöket var bland annat det målmedvetna arbetet som lagts ner just på att få informationshanteringen att stödja de centrala arbetsprocesserna i verksamheten. Intermountain Healthcare hade exempelvis infört strukturerad dokumentation med kopplade beslutsstöd för ett 30-tal olika processer i hälso- och sjukvården. För att ständigt utveckla arbetet och se till att den strukturerade dokumentationen hela tiden förändras och anpassas i takt med att ny kunskap genereras om vad som betraktas som hög kvalitet och säkerhet i verksamheten fanns även fastställda och implementerade organisatoriska strukturer för denna typ av kunskapsstyrning. Enligt utredningens bedömning finns

112

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

flera paralleller mellan dessa organisationers strävan efter att skapa en informationshantering som leder till bättre resultat för patienterna och den utveckling som vi har kunnat se även i Sverige.

En ändamålsenlig hantering av dokumenterade uppgifter kan enligt utredningen exempelvis leda till att olika former av anpassade beslutsstöd tas fram och används i den patientnära verksamheten. Beslutsstöd som exempelvis utifrån den enskilda patientens förutsättningar, tillsammans med inbyggda kunskapskällor, kan ge hälso- och sjukvårdspersonalen bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än manuella journalgenomgångar. Informationshanteringen i hälso- och sjukvården blir då inte enbart fokuserad på att uppgifter dokumenteras, utan även hur de används för att skapa bästa möjliga nytta för patienten. Dessutom ökar möjligheterna till uppföljning för att utveckla och säkra kvaliteten i hälso- och sjukvården samt göra jämförelser över landet.

Vidare kan konstateras att informationshanteringen i hälso- och sjukvården i dag även handlar mycket om hur informationen presenteras för hälso- och sjukvårdspersonalen. Med en mer strukturerad dokumentation ökar sannolikt förutsättningarna för att utforma journalsystemens gränssnitt efter de individuella användarnas behov, så att den enskilde yrkesutövararen snabbt och säkert får tillgång till de uppgifter som är nödvändiga för arbetets utförande. Förutom att det kan bidra till en ökad kvalitet och effektivitet i hälso- och sjukvården medför det även att patienternas behov av skydd för den personliga integriteten till- varatas, genom att uppgifter som användaren inte har behov av inte heller exponeras i lika stor utsträckning som i dag.

Denna utveckling mot en mer strukturerad dokumentation enligt ett nationellt fackspråk kan därmed även ha en avgörande påverkan på möjligheterna att utveckla ett ändamålsenligt system för tilldelning av behörighet för åtkomst, så att varje användare i systemen får en individuell behörighet som är anpassad och begränsad till den åtkomst som behövs för att utföra arbetet.

I sammanhanget kan även nämnas att Myndigheten för vård- analys har genomfört en studie som identifierar de huvudsakliga utvecklingsområden för en mer effektiv användning av läkares tid och kompetens inom hälso- och sjukvården i Sverige.3 Ett av de utvecklingsområden som identifierat är att it-stöden måste för- bättras. Läkare arbetar i it-system som inte upplevs som användar-

3 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.

113

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

vänliga. Konkreta brister som nämns i rapporten är dålig över- skådlighet, dålig läsbarhet, osäkerhet om innebörden av menyer och flikar, avsaknad av sökfunktioner, osäkerhet om begrepp och termer och dålig intuitivitet. Informationen i systemen är inte strukturerade och presenterade på ett sätt som underlättar arbetet. Av rapporten framkommer även att läkare använder flera olika it- system, men att kompabiliteten mellan systemen upplevs som bristfällig. Flera parallella system medför ständiga in- och utloggningar. Information överförs inte alltid automatiskt mellan olika system, vilket leder till konsekvenser ut effektivitets- arbets- miljö- och patientsäkerhetsperspektiv.

Dessa iakttagelser bekräftas av rapporten Störande eller stödjande.4 I rapporten presenteras tio punkter som behöver prioriteras i arbetet med att utveckla eHälsosystemens användbarhet. Av prioriterings- områdena kan t.ex. nämnas att it-systemen måste förvaltas, utvärderas och tillsynas och kontinuerligt optimeras i förhållande till användbar- heten i den verksamhet som ska stödjas.

Utredningen har även identifierat ett behov av ökad kunskap om lagstiftningen i samband med framtagandet av journalsystem och enskilda tekniska funktioner. Genom våra kontakter med företrädare för hälso- och sjukvården har vi kunnat ta del av exempel där it-stöd inte har utformats på ett ändamålsenligt sätt. Det finns med avseende på detta både exempel på när it-stöden inte gör det möjligt för användarna att bedriva sitt arbete i enlighet med de krav som ställs upp i integritetsskyddslagstiftningen och exempel där kraven i lagstiftningen har implementerats på ett olämpligt eller alltför långtgående sätt. Eftersom journalsystemen ofta är det gränssnitt där hälso- och sjukvårdspersonalen möter den tillämpade juridiken, blir effekterna av olämplig eller felaktig implementering extra stora. Det kan enligt utredningens uppfatt- ning inte uteslutas att brister i it-stödens utformning i vissa delar kan spilla över på hälso- och sjukvårdspersonalens frustration över vad de upplever som rättsliga hinder.

Sammantaget finns mot ovanstående bakgrund anledning att analysera vilka åtgärder, i form av förändrad lagstiftning och andra insatser, som ytterligare kan stimulera en önskad utveckling i frågor som relaterar till informatik och it.

4 Störande eller stödjande. eHälsosystemens användbarhet 2013. Slutrapport från projektet eHälsosystemens användbarhet 2013.

114

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

6.4Patientdatalagen och tillämpningsproblemen

Informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoses patientsäkerhet, god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Det är så patient- datalagens syfte är uttryckt (1 kap. 2 § PDL).

Patientdatalagen ska alltså främja kvalitet och patientsäkerhet i vid bemärkelse. God och säker vård innefattar såväl professionella vårdinsatser som säker hantering av de uppgifter som hör samman med hälso- och sjukvårdsinsatserna. Säker hantering av information innebär således både att uppgifterna måste finnas tillgängliga när det behövs och att de måste skyddas från obehörigas åtkomst.

En tillgänglighetsreform som inte fullt slagit igenom

Patientdatalagen ersatte patientjournallagen och vårdregisterlagen. Patientjournallagen reglerade journalföringen och vårdregisterlagen reglerade automatiserad behandling av personuppgifter i s.k. vård- register. Den nya lagen har bland annat tillfört nya möjligheter till informationsutbyte mellan vårdgivare samt preciserat de integritets- skyddkrav som ska gälla vid hantering av så känsliga personuppgifter som det är fråga om inom hälso- och sjukvården. I patientdatalagen finns dock inga uttryckliga krav på vårdgivarna att se till att vårddokumentationen är tillgänglig och användbar eller att informationssystemen som används i verksamheten ska vara ändamålsenliga. De regler som är till för att skydda uppgifterna från obehörig åtkomst blev genom den nya lagen betonade, medan lagens övriga syften inte uttrycktes genom materiella regler. Det här kan enligt utredningens bedömning vara en av orsakerna till att lagen inte har uppfattats som den tillgänglighetsreform som den är tänkt att vara.

Patientdatalagen syftar till att främja både patientsäkerhet och integritet vid behandling av personuppgifter. Detta kommer för det mesta inte fram i den allmänna debatten. Det är ofta de bestämmelser i lagen som syftar till att skydda uppgifterna från obehörig spridning som blir omdiskuterade eller föremål för frågor om tillämpning. Lagens syfte att säkerställa att rätt uppgifter också

115

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

finns tillgängliga för behöriga användare har tenderat att hamna i skymundan bakom den nog så viktiga integritetsfrågan.

För att en lagstiftning ska få avsedd effekt på ett sådant sätt att lagstiftningens intentioner förverkligas är det, enligt vår bedöm- ning, viktigt att lagstiftningens olika värden är uppenbara för dem som ska tillämpa lagstiftningen. Det kan därför finnas skäl att över- väga om regleringen av hälso- och sjukvårdens personuppgifts- behandling på ett tillräckligt tydligt sätt lyfter fram vikten av att den som arbetar i hälso- och sjukvården har tillgång till den information som behövs för att ge patienten bästa möjliga vård och omhändertagande och hur det kan göras utan att för den skull låta skyddet för den personliga integriteten hamna i skymundan.

Tillämpningsproblem

Allt sedan patientdatalagens ikraftträdande har det även pågått en allmän diskussion huruvida lagen är ändamålsenlig med hänsyn till syftet med lagen och förutsättningarna i hälso- och sjukvården. Av de frågor från yrkesverksamma och representanter för vårdgivare som kommer in till exempelvis Socialstyrelsen, Datainspektionen, regeringskansliet och Sveriges Kommuner och Landsting framgår att det finns en osäkerhet om hur lagen ska tillämpas. Även utredningen har genom hela arbetets gång i samband med möten, konferenser och studiebesök bevittnat att det finns både en osäkerhet kring lagens tillämpning, men även ett missnöje med hur lagen i olika avseenden är utformad. Vårdgivare har även framfört att de saknat stöd vid tolkning av lagen vilket skapat problem i tillämpningen. Detta lyser också igenom i den debatt om lagen som förts av hälso- och sjukvårdspersonal bl.a. i Läkartidningen.5

Det har även i debattartiklar i dagspress höjts röster för att patientdatalagen inte är ändamålsenlig och bör ändras.6 Företrädare för Sveriges Yngre Läkares Förening, SYLF, har även i en debatt- artikel uttalat att föreningen anser att patientdatalagen är för strikt utformad och riskerar att försämra patientsäkerheten.7 Vidare har representanter för Läkarförbundets centralstyrelse och ord- föranden i SYLF m.fl. i Dagens Medicin framfört att patient-

5Flera artiklar i Läkartidningen, bl.a. i nr 15 2013 Patientdatalagen ger ansvariga tjänstemän huvudbry.

6Exempelvis Svenska Dagbladet, 2012-12-30, Läkare förbjuds att läsa journaler.

7Svenska Dagbladet, 2012-10-25, Patientdatalagen är alltför strikt formad.

116

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

datalagen skapar en onödig osäkerhet bland vårdpersonal, patienter och allmänhet och av den anledningen borde moderniseras.8

Att det finns oklarheter i tillämpningen av patientdatalagen har även uppmärksammats i en rapport från 2013 framtagen av Svensk sjuksköterskeförening, Svenska Läkaresällskapet, Sveriges Läkar- förbund, Vårdförbundet och Kommunal.9 Det behövs rättsligt stöd för att kunna hantera och utbyta information på ett enkelt, säkert och etiskt försvarbart sätt. I dag finns det enligt rapporten oklarheter ute i verksamheterna om vad som är juridiskt möjligt. Användare av it-system uppfattar att lagstiftningen förhindrar informationsdelning, uppföljning, utvärdering och kvalitetssäkring av den egna verksamheten.

Även Riksrevisionen konstaterade i sin rapport Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? att vägledningen för att tillämpa lagen har varit otillräcklig.10

I rapporten Ur led är tiden har Myndigheten för vårdanalys identifierat att värdet av viss patientrelaterad administration kan ifrågasättas i relation till arbetsinsatsen.11 Kraven på patient- relaterad dokumentation upplevs ha ökat, särskilt vad gäller patientjournalens innehåll. Särskilt kravet på signering av journal- anteckningar ifrågasätts. Det nämns att flera landstingsföreträdare tvivlar på om signeringskravet verkligen bidrar till en högre patient- säkerhet eftersom de är tveksamma till om läkare i detalj går igenom sina anteckningar vid signering.

Utredningens delredovisning enligt direktiv 2013:43

Utredningens övergripande uppdrag är att lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om se till att yrkesutövare inom båda områdena, i rätt tid får tillgång till den information om den enskilde som behövs för att kunna ge god vård och omsorg och för att kunna följa upp kvaliteten i verksamheten.

Bland annat mot bakgrund av vad som redovisas ovan om osäkerheten i tillämpningen har utredningen fått i uppdrag att

8Dagens Medicin, 2012-10-25, Modernisera patientdatalagen och tillämpa den bättre.

9Störande eller stöjdande? Om eHälsosystemens användbarhet 2013.

10RiR 2011:9.

11Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.

117

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

analysera vari tillämpningsproblemen ligger och hur dessa ska lösas. I utredningsdirektivet anför regeringen bland annat att det kan finnas behov av att förtydliga eller förändra relevant lagstiftning. Det kan också behöva utredas vilka behov som finns av exempelvis information, utbildning eller kompetenshöjande insatser av olika slag om vad den berörda lagstiftningen innebär samt överväga andra åtgärder än lagändringar.

Vidare fick utredningen i tilläggsdirektivet 2013:43 regeringens uppdrag att i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger till en ändamålsenlig informations- hantering. Utredningen överlämnade delredovisningen den 31 december 2013 i form av en omfattande powerpointpresentation med frågor och svar samt tre utförligare promemorior. I stället för en traditionell och mer teoretisk genomgång av gällande lag- stiftning valde utredningen således att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.

Sammantaget utgör delredovisningen en del i utredningens uppdrag att analysera tillämpningsproblemen och lämna förslag till hur de kan lösas samt vilka behov av kunskapshöjande insatser som bedöms finnas.

Ytterligare behov av analys

Utredningen anser att patientdatalagen erbjuder många möjligheter att arbeta på ett ändamålsenligt sätt med vårddokumentation. Samtidigt visar såväl brister i efterlevnaden av lagstiftningen som vårdgivares och hälso- och sjukvårdspersonalens osäkerhet kring lagstiftningens tillämpning på att det finns skäl att ytterligare analysera om lagstiftningen i tillräckligt stor utsträckning stimulerar en önskad utveckling. De finns därför anledning att överväga behoven av att modernisera regleringen av informationshanteringen i hälso- och sjukvården och formulera regelverket på ett sådant sätt att det både blir mer pedagogiskt, dvs. enklare att tillämpa, och mer tydligt kring vad som ska uppnås.

118

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

6.5Bristande efterlevnad av regelverket

Av tillsynsmyndigheternas granskningar har det framkommit att det finns brister i hur patientdatalagen implementerats och följts, framför allt avseende lagens integritetsskyddande bestämmelser.

Datainspektionen har allt sedan patientdatalagen trädde i kraft haft en aktiv tillsyn av hur lagen implementerats i hälso- och sjukvården. I denna tillsyn har Datainspektionen funnit en rad brister som gäller patienternas möjlighet att spärra information, hur patienterna informerats om vad sammanhållen journalföring innebär samt att vårdpersonalen har fått alltför omfattande behörighet att ta del av uppgifter.12 Det har vidare vid tillsynen framkommit att vårdgivarna har stora problem att anpassa sina it-system till patientdatalagen. Brister har även funnits bland annat vad gäller efterlevnaden av bestämmelser om personuppgiftsbehandling i nationella och regionala kvalitetsregister.

Datainspektionen blev exempelvis sommaren 2013 klar med en uppföljande nationell kontroll av vårdgivare och hur dessa kan spärra känsliga patientuppgifter när en patient begär det. Gransk- ningen visade att vårdgivare har börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen. Det var en förbättring jämfört med Datainspektionens granskning av spärrhanteringen år 2012. Vid den tidpunkten visade tillsynen att ingen av landstingen uppfyllde sina skyldigheter fullt ut mot patienterna.

Ett annat exempel är Datainspektionens granskning av behörig- hetstilldelningen på Karolinska Universitetssjukhuset i Stockholm. Granskningen visade enligt inspektionens bedömning att personalen hade för vid behörighet att komma åt patientuppgifter.13

Socialstyrelsens tillsyn genomförde 2011 tillsyn av sex av landets universitetssjukhus avseende informationssäkerheten. Vid samtliga sjukhus fanns brister som hade kunnat leda till att patienter kommer till skada. Exempelvis framkom att ett journalsystem hade räknat fram fel dos medicin. Vidare att personalen inte hade kunnat läsa eller skriva in uppgifter i journalen på grund av driftstopp. Ett annat exempel på brist var journalsystem som inte klarat att snabbt ge en översikt av de uppgifter som krävs för att göra en bedömning av kritiskt sjuka

12Datainspektionens beslut 2011-06-01, dnr 461-2010 och ett antal beslut på grund av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården 2012 med uppföljning 2013 m.m.

13Datainspektionens beslut 2013-08-26, dnr. 920-2012.

119

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

patienter. Resultatet pekade på brister i driftsäkerheten beroende på kvalitetsproblem i systemutvecklingen, bristande kontinuitetsplaner samt bristande styrning av informationssäkerhetsarbetet. 14

Samtliga kommuner och landsting samt sjukvårdsregioner i landet blev 2010–2012 granskade i Socialstyrelsens nationella tillsyn av vård och omsorg om äldre. Resultatet av denna granskning presenteras i en slutrapport från Inspektionens för vård och omsorg 2013.15 I rapporten konstateras att äldre personer med stora, sammansatta behov av vård och omsorg är ofta omgivna av en mängd olika aktörer och personal. Tillsynen visade att det var ovanligt att mottagande verksamheter i öppenvården och inom äldreomsorgen fick uppgifter om läkemedel eller annan viktig information om den äldre senast samma dag som han eller hon skrivs ut från sjukhuset. Det visade sig även att det fanns risker för brister i informationsöverföring och patientsäkerhet vid utskriv- ning inför kvällar eller helger.

I rapporten konstateras att det ställs stora krav på personalen att informera och samordna insatserna när det finns flera aktörer med olika ansvar och uppdrag runt den äldre, särskilt i de delar av landet som har många privata utförare av vård och omsorg. Socialstyrelsen konstaterar att det som krävs för att säkerställa kvaliteten på de insatser som den äldre behöver, och för att förebygga att äldre drabbas av vårdskador i hälso- och sjukvården, är fungerande system för informationsöverföring och vårdplanering där olika yrkesgrupper i kommunen, öppenvården och den slutna vården samverkar i samråd med den äldre själv.

Dessa olika exempel från tillsynsmyndigheterna visar enligt utredningens bedömning att vårdgivarna måste ta ett större ansvar för informationshanteringen. Konsekvensen av de brister som Datainspektionen och Inspektionen för vård och omsorg iakttagit (och tidigare Socialstyrelsen) är patientsäkerhetsrisker. För att kunna erbjuda en god och säker vård behöver hanteringen av personuppgifter och informationssystemens ändamålsenlighet vara införlivat i det kontinuerliga och systematiska arbetet med att förbättra kvaliteten i vården. Mot den bakgrunden finns det enligt utredningens bedömning ett behov av en ökad ledning och styrning från vårdgivares sida i dessa frågor. Det finns därför skäl att överväga om lagstiftningen på ett tydligare sätt än i dag behöver

14Tillsynsrapport 2012, Socialstyrelsen.

15Äldre efterfråga kontinuitet, Nationell tillsyn av vård och omsorg av äldre, Slutrapport 2013.

120

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

uttrycka det ansvar vårdgivarna har för en säker och ändamålsenlig hantering av personuppgifter inom hälso- och sjukvården.

6.6Kunskap, kompetens, ledning och styrning

Utredningen uppfattar att det, på motsvarande sätt som är fallet för socialtjänsten, finns ett behov av ökad kunskap och kompetens- utveckling inom hälso- och sjukvården när det gäller förutsätt- ningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen.

Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumen- tation och informationshantering. Inte minst behöver det stödet finnas i samband med framtagandet och utvecklingen av de verksamhetssystem som ska användas i vården.

Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Det är viktigt att denna utveckling fortsätter.

Det finns heller ingen anledning att ifrågasätta att det i hälso- och sjukvården finns respekt för och insikt om att de person- uppgifter som hanteras många gånger är integritetskänsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhetskulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lagstiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga it-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.

121

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

6.7Sammanfattande reflektioner

Utredningen bedömer att de problem och utmaningar som lyfts fram i det föregående är mångfacetterade och kan behöva lösas genom flera olika insatser. Även om det finns mycket som fungerar bra kan utredningen därför konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.

De faktorer vi sammanfattningsvis vill lyfta fram är följande.

Behovet av att införa ett nationellt fackspråk och en informations- struktur som stödjer ett evidensbaserat arbete.

Behovet av att reducera de negativa konsekvenserna av regel- verkets organisatoriska fokus.

Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda patienter ligger i linje med de krav på samverkan som finns i lagstiftningen och de behov som finns för patienten.

Behovet av att de rättsliga förutsättningarna för att säkra och utveckla hälso- och sjukvårdens kvalitet ligger i linje med de krav som finns i lagstiftningen.

Behovet av en mer pedagogisk lagstiftning, dvs. som är lättare att tillämpa.

Behovet av en lagstiftning som tydligare uttrycker de bakom- liggande intentionerna och inte bara förhindrar det oönskade, utan även stimulerar det önskade.

Behovet av ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information.

Behovet av att det finns rättsliga och andra förutsättningar för att göra patienter informerade och delaktiga i sin hälsa och sin hälso- och sjukvård.

122

7En ny lag: hälso- och sjukvårdsdatalag

7.1Bakgrund

Den nuvarande regleringen av personuppgiftsbehandlingen inom hälso- och sjukvården finns framför allt i patientdatalagen (2008:355), förkortad PDL. Dessutom gäller i vissa delar även bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL. Utöver det finns närmare bestämmelser om hälso- och sjukvårdens personuppgiftsbehandling i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Genom patientdatalagens ikraftträdande den 1 juli 2008 upp- hävdes den tidigare patientjournallagen (1985:562) och vård- registerlagen (1998:544). Patientdatareformen innebar bland annat att materiella bestämmelser om journalföring samlades tillsammans med bestämmelser om personuppgiftbehandling och åtkomst till personuppgifter i elektroniska journalsystem m.m. Medan bestäm- melserna om journalföringen i allt väsentligt fördes över oförändrade från 1985-års patientjournallag utformades till stora delar helt nya bestämmelser om behandlingen av personuppgifter. Den kanske största nyheten som infördes var dock möjligheten för olika vårdgivare att utbyta patientuppgifter med varandra genom direktåtkomst, s.k. sammanhållen journalföring och det särskilda regelverket om nationella och regionala kvalitetsregister. Dessutom infördes ett antal grundläggande integritetsskyddsbestämmelser som tydliggör vad som gäller ifråga om inre sekretess, behörighets- styrning och åtkomstkontroll. Tillsammans med nya möjligheter för vårdgivare tydliggjordes därmed vilka krav som generellt bör gälla vid behandling av sådan integritetskänslig information som det är fråga om inom hälso- och sjukvården.

123

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

7.1.1Kort om våra utgångspunkter för denna typ av lagstiftning

I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverkets övergripande målsättning bör vara att bidra till ännu bättre resultat för patienter i hälso- och sjukvården. Det handlar om att informationshanteringen ska medverka till ökad kvalitet och patientsäkerhet och till bättre resultat samt till att invånarna får en mer jämlik hälso- och sjukvård.

Både för individens del och för verksamheten är det nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar om självklara krav som t.ex. att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt och att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken vid personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.

Generellt bedömer vi att den enskildes intresse av en god och säker vård och ett välfungerande integritetsskydd inte står i någon motsats till de intressen för kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom hälso- och sjukvården. Det skulle på många sätt vara en farlig utveckling om den enskilde kände en sådan otrygghet i hur uppgifter hanterades att han eller hon skulle välja att hålla inne med information som kunde vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi understryka att utredningen inte uppfattat några signaler om att det skulle finnas något tillitsproblem när det gäller hälso- och sjukvårdens informationshantering. Tvärtom har våra kontakter med både enskilda, patientorganisationer och verksam-

124

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

heterna själva stärkt bilden av att förtroendet för hälso- och sjukvården och det sätt information hanteras på är högt.

För att återkoppla till inledningen i detta avsnitt vill vi betona att vår utgångspunkt är att lagstiftningen inom detta område ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen motiveras, utan även hur enskilda paragrafer utformas och formuleras. Vid utredningens kontakter med företrädare för hälso- och sjukvården har det tydligt framkommit att yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och förstå den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi utformat våra förslag om förändrad lagstiftning.

Samtidigt är det viktigt att understryka att en registerlagstift- ning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst person- uppgiftslagen och dess definitioner och terminologi kommer att vara styrande för hur motsvarande begrepp används och formuleras i lagen. Det innebär att språket i vissa delar kan bli mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstift- ning som i stor utsträckning ska tillämpas av de som primärt inte är skolade i personuppgiftslagstiftningen. Utredningen bedömer att det bland annat av det skälet är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.

7.1.2Vårt uppdrag m.m.

I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Av direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredsställande sätt.

De snart sex år som förflutit sedan patientdatalagen trädde ikraft har bland annat kännetecknats av brister i implementeringen av lagstiftningen och en osäkerhet om lagens tillämpning i olika delar. Tillsynsmyndigheternas beslut har satt ljuset på brister i frågor om exempelvis fullgörandet av informationsplikter gentemot patienter, behörighetsstyrning och patientens spärrmöjligheter

125

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

m.m. Även regelverkets avsaknad av särskilda bestämmelser för vad som ska gälla för personer som saknar förmåga att själv ta ställning till frågor om informationsutbyten och behandling av person- uppgifter, har varit i fokus de senaste åren. Från vårdgivare och hälso- och sjukvårdspersonal har framhållits att lagen i vissa delar är svårtillgänglig och det finns en osäkerhet och otrygghet i hur lagen närmare är tänkt att tillämpas. Det har bland annat framkommit att det finns en osäkerhet i frågor om när personal får ta del av uppgifter om patienter antingen för att de på något sätt är delaktiga i patientens vård eller för att de har ett behov av att följa upp och kvalitetssäkra genomförda insatser.

Vidare har den strukturomvandling som ägt rum i hälso- och sjukvården sedan patientdatalagens ikraftträdande medfört nya krav på informationshanteringen i hälso- och sjukvården. Det kan därmed även ur detta perspektiv finnas anledning att analysera om den nuvarande lagstiftningen är ändamålsenligt utformad för att möta den komplexa verksamhet som hälso- och sjukvården utgör och där den organisatoriska kartan är ständigt föränderlig.

Mot bakgrund av utredningens uppdrag lämnas i detta betänkande ett större antal förslag som i allt väsentligt syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som syftar till att minska tillämpningsproblemen, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. De många förslagen medförde att det blev nödvändigt för utredningen att analysera om våra samlade förslag till lagstiftningsförändringar kunde införlivas i patientdatalagen eller om det måste bedömas som nödvändigt med en helt ny lagstiftning för personuppgifts- behandlingen på hälso- och sjukvårdens område.

7.2Våra överväganden och förslag

7.2.1En ny lag ersätter patientdatalagen

Vårt förslag: Patientdatalagen ska upphävas och ersättas av en ny lag; hälso- och sjukvårdsdatalagen. Bestämmelser i patient- datalagen som inte påverkas av utredningens förslag ska över- föras till den nya lagen.

126

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Följdändringar måste göras i flera andra lagar med anledning av att patientdatalagen upphävs och ersätts av den nya lagen.

Utredningens förslag i sin helhet kommer att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen. Under arbetets gång har det blivit mer och mer uppenbart att våra förslag kommer att medföra så många förändringar att det skulle inverka på den befintliga strukturen i patientdatalagen och göra den svår- överskådlig. Även om utredningen inte till en början haft för avsikt att föreslå en ny reglering för personuppgiftsbehandlingen i hälso- och sjukvården har det således i takt med arbetets framskridande kommit att bli allt tydligare att det behövs. Vi bedömer därför att patientdatalagen, framför allt på grund av konsekvenserna av utredningens samlade förslag, bör upphävas i stället för att omarbetas. Det är inte här möjligt att närmare redogöra för de förslag som utredningen lämnar och som bedöms medföra ett behov av en ny lagstiftning, utan vi får hänvisa till vad som redo- visas längre fram i detta betänkande.

Lämpligheten i att föreslå en ny lag i ett skede när patient- datalagen fortfarande kan betraktas som förhållandevis ny kan naturligtvis ifrågasättas. Mot bakgrund av den kritik som patient- datalagen utsatts för genom åren gör utredningen dock bedömningen att en ny lagstiftning kan medföra positiva effekter på en ändamålsenlig och integritetsskyddande personuppgift- behandling. Det kan dessutom konstateras att hälso- och sjuk- vården har varit föremål för sådana omfattande strukturella och organisatoriska förändringar sedan patientdatalagen trädde ikraft 1 juli 2008 att även denna omständighet utgör ett skäl för att se över lagstiftningens ändamålsenlighet. Det primära skälet är dock att de förslag utredningen lämnar svårligen kan sorteras in i patientdatalagen.

Vi föreslår därför en ny lag för vårdgivares behandling av personuppgifter i hälso- och sjukvården; hälso- och sjukvårds- datalag. I sammanhanget kan nämnas att utredningen även föreslår en ny lag för personuppgiftsbehandlingen på socialtjänstens område; socialtjänstdatalag. Vi anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämp-

127

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

ningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och de som har att tillämpa lagstiftningen.

Utredningen lämnar också förslag för att underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Förutsättningarna att harmonisera regleringen av personuppgifts- behandlingen inom och mellan hälso- och sjukvården och social- tjänsten förbättras av att vi lämnar förslag till en ny lagstiftning för båda områdena samtidigt. Vi föreslår att bestämmelser om informationshantering vid vård av personer med sammansatta behov av hälso- och sjukvård och socialtjänst ska regleras i ett eget kapitel i den nya lagen.

Vidare innebär utredningens förslag att många bestämmelser bör överföras materiellt oförändrade från patientdatalagen till hälso- och sjukvårdsdatalagen. Samtidigt ger detta ett tillfälle att överväga och vid behov föreslå förenklad utformning och språkliga justeringar i paragraferna.

Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalagen. Vi anser att det namnet beskriver lagens tillämp- ningsområde på ett tydligt sätt samtidigt som det är jämförligt med namnet på den lag som reglerar personuppgiftshanteringen inom socialtjänsten; socialtjänstdatalagen.

7.2.2Lagens innehåll, tillämpningsområde och förhållande till personuppgiftslagen

Vårt förslag: Hälso- och sjukvårdsdatalagen ska inledas med en bestämmelse som översiktligt beskriver vilka områden som lagen reglerar och en innehållsförteckning. Lagens tillämpnings- område ska regleras i en egen bestämmelse. I lagen ska finnas en bestämmelse som reglerar förhållandet till personuppgiftslagen. Bestämmelserna om tillämpningsområdet och förhållandet till personuppgiftslagen överförs i princip oförändrade från patientdatalagen. I hälso- och sjukvårdsdatalagen ska dock uttryckligen anges att lagen i tillämpliga delar även gäller för en huvudmans behandling av personuppgifter i hälso- och sjuk- vården.

128

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Lagens innehåll

Förslaget till hälso- och sjukvårdsdatalag omfattar bestämmelser om olika aspekter av personuppgiftsbehandling inom hälso- och sjukvården. Det innebär att det finns bestämmelser om person- uppgiftsansvar, olika typer av direktåtkomst, åtkomstkontroll, journalföring, nationella kvalitetsregister och rättigheter för den enskilde m.m. I vårt förslag är lagen indelad i 13 kapitel. För att göra lagen mer överskådlig och lättare att använda bör den inledas med en översiktlig beskrivning av innehållet. Av den anledningen föreslår vi att det i lagens inledning tas in en innehållsförteckning.

Beskrivningen av lagens innehåll är av allmän karaktär och ska läsas som en enkel anvisning om vilka områden som lagen omfattar. Det kan vara informativt för t.ex. yrkesutövare att redan i inledningen få veta att det i denna lag finns bestämmelser om patientjournaler och nationella kvalitetsregister.

Lagens tillämpningsområde

Vidare föreslår utredningen att det juridiska tillämpningsområdet regleras i en egen bestämmelse efter de inledande bestämmelserna om innehållet. Hälso- och sjukvårdsdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjuk- vården.

Utredningen avser inte att ändra tillämpningsområdet för den föreslagna lagen jämfört med patientdatalagen1 förutom att vi föreslår att det uttryckligen ska anges att lagen i tillämpliga delar även ska gälla för en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Med huvudman i hälso- och sjuk- vårdsdatalagen avses den som enligt hälso- och sjukvårdslagen ansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner. Kommuner och landsting omfattas i egenskap av huvudmän i dag av patient- datalagen genom lagens definition av begreppet vårdgivare. Av 1 kap. 3 § patientdatalagen följer bl.a. att landsting och kommun är vårdgivare i fråga om sådan hälso- och sjukvård som landstinget eller kommunen har ansvar för. Samtidigt avses med vårdgivare, enligt samma bestämmelse, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.

1 Prop. 2007/08:126 s. 49 f. och 222.

129

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Vi anser att det underlättar tillämpningen av hälso- och sjuk- vårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän för hälso- och sjukvården och deras ansvar som vårdgivare när de faktiskt bedriver hälso- och sjukvård. Eftersom det inte finns några formella hinder för landsting eller kommuner att överlåta all drift av den individ- inriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre bedriver hälso- och sjukvård. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt upp- drag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdata- lagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården.

Det innebär exempelvis att lagens grundläggande ändamåls- bestämmelser och bestämmelserna om vilka personuppgifter som får behandlas samt om sökbegrepp även gäller vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Vidare gäller bestämmelserna i lagens 4 kap. om inre sekretess, behörig- hetsstyrning och åtkomstkontroll i samma utsträckning också för en huvudman. Se vidare avsnitt 7.2.4 angående utredningens överväganden kring begreppet huvudman.

Vårt förslag innebär att bestämmelsen om det juridiska tillämpningsområdet renodlas jämfört med gällande bestämmelse i patientdatalagen. Den nuvarande 1 kap. 1 § patientdatalagen är i själva verket både en bestämmelse om tillämpningsområdet och en beskrivning av innehållet. Vårt förslag innebär att vi delar upp bestämmelsen så att den befintliga upplysningen om att lagen innehåller bestämmelser om journalföring i stället tas med i den inledande bestämmelsen som beskriver innehållet.

Förhållandet till personuppgiftslagen

Utredningen föreslår att den nuvarande bestämmelsen i patientdata- lagen, om den lagens förhållande till personuppgiftslagen överförs oförändrad till hälso- och sjukvårdsdatalagen.

Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Det är dock möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för person-

130

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

uppgiftslagens bestämmelser. En grundläggande förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmel- serna i dataskyddsdirektivet.

Utredningen föreslår att hälso- och sjukvårdsdatalagen ska innehålla vissa sådana avvikande särbestämmelser som det bedöms föreligga behov av när det gäller behandling av personuppgifter inom hälso- och sjukvården. Särregleringen i hälso- och sjukvårds- datalagen föreslås enbart komplettera personuppgiftslagen. Hälso- och sjukvårdsdatalagen kommer då att gälla utöver personuppgifts- lagen. Detta innebär att när reglering saknas i hälso- och sjukvårdsdatalagen är personuppgiftslagens bestämmelser tillämp- liga. Motsvarande förhållande gäller mellan patientdatalagen och personuppgiftslagen.2

7.2.3Lagens syfte

Vårt förslag: I hälso- och sjukvårdsdatalagen ska det finnas bestämmelser som uttrycker lagens syfte. Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet. Lagen ska särskilt främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete och att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Den nu gällande syftesbestämmelsen i 1 kap. 2 § PDL är, enligt utredningens bedömning, inte utformad som en syftesbestämmelse i egentlig mening. Den anger snarare hur informationshanteringen ska vara organiserad och hur personuppgifter ska utformas och hanteras. Bestämmelsen talar också om hur dokumenterade upp- gifter ska hanteras och förvaras. Den nuvarande paragrafen är därför mer av materiella bestämmelser än en portalparagraf om vad lagen ska åstadkomma. Särskilt bestämmelsen i sista stycket, om att personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem, är en viktig materiell bestämmelse som vi vill ta hand om på ett annat sätt än som en formulering i en syftes- bestämmelse.

2 Prop. 2007/08:126 s. 52.

131

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Utredningen anser att det tydligt ska framgå av syftes- bestämmelsen att lagen ska leda till att vården blir säkrare och av högre kvalitet. En säker vård värnar patientens personliga integritet och skyddar patienten mot fysiska och psykiska vårdskador. Det ska framgå att lagen är en tillgänglighetsreform som ska se till att rätt uppgifter finns på rätt plats i rätt tid för rätt personer. Av syftesbestämmelsen ska det framgå att såväl rätt tillgång till rätt uppgifter som skydd för den personliga integriteten är grundläggande förutsättningar för att lagens intentioner ska kunna uppnås.

Enligt utredningens förslag ska lagen syfta till en informations- hantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet i hälso- och sjukvården. Vårdgivarens behandling av personuppgifter inom hälso- och sjukvården ska således tillgodose samma krav som gäller för all hälso- och sjukvårdsverksamhet.3 Utredningens förslag innebär endast en viss omformulering av det krav som i dag finns uttryckt i 1 kap. 2 § PDL.

Därutöver anser utredningen att syftesbestämmelsen ska betona att lagen särskilt ska främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete. Vi anser att det är en viktig signal att uttryckligen nämna detta syfte för att tydliggöra att lagens bestämmelser syftar till att möjliggöra en ändamålsenlig informationshantering. Det är inget nytt motiv för denna lagstiftning, men denna aspekt går ofta förlorad i den kritik mot lagen som kommer från de som är verksamma inom hälso- och sjukvården.4

Det brukar hävdas att patientdatalagen gjort det svårare att arbeta på ett ändamålsenligt sätt med informationshanteringen i hälso- och sjukvården. Patientdatalagen reglerar dock egentligen inga begränsningar i förhållande till vad som gällde innan lagen trädde ikraft. I stället har den erbjudit nya möjligheter till informationsutbyte. Trots det har lagen kommit att av många uppfattas som en hämsko i arbetet. Det finns förstås också viss kritik från det andra perspektivet; att lagen har öppnat för alltför stora möjligheter att utbyta patientuppgifter. Men den kritiken har inte varit lika omfattande. För att det ska bli en tydligare balans mellan patientsäkerhets- och integritetsperspektivet anser vi att tillgänglighetsaspekten bör bli mer uttryckligt beskriven i lagen.

3Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 54 ff.

4Prop. 2007/08:126 s. 34.

132

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Det redan i dag gällande kravet på att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras, ska naturligtvis också komma till uttryck i den nya lagen.

7.2.4Viktiga definitioner

Vårt förslag: I hälso- och sjukvårdsdatalagen ska det införas definitioner av begreppen huvudman, informationssystem, nationella och regionala kvalitetsregister, patientjournal samt vårddokumentation. Begreppet vårdgivare förtydligas och begreppet sammanhållen journalföring får en definition som stämmer överens med det tillämpningsområde som föreslås. Övriga begrepp som definieras i patientdatalagen förs över oförändrade till hälso- och sjukvårdsdatalagen.

I patientdatalagens inledande kapitel återfinns en rad definitioner av centrala uttryck som används i lagen. Utredningen bedömer att även hälso- och sjukvårdsdatalagen ska innehålla en paragraf som samlat definierar de viktiga begreppen. Förutom att vi föreslår att vissa begrepp som definieras i patientdatalagen förs över oför- ändrade eller med endast någon språklig justering, föreslår vi att det i hälso- och sjukvårdsdatalagen ska tas in en rad nya begrepp som definieras. Vilka dessa begrepp är och hur de bör definieras redo- visas i det följande.

Huvudman

Det finns i dag inte någon entydig och mer precis legaldefinition av huvudmannabegreppet i hälso- och sjukvården. Vid införandet av hälso- och sjukvårdslagen (1982:763), förkortad HSL, konsta- terades att den som har ett författningsreglerat ansvar för att vård meddelas är huvudman. Någon övrig vägledning för frågan om huvudmannaskapets innebörd, omfattning gavs inte och inte heller lämnades någon ytterligare definition av begreppet.5

Samtidigt finns det genom regleringen i hälso- och sjuk- vårdslagen åtminstone en indirekt definition av begreppet huvud-

5 Prop. 1981/82:97 Om hälso- och sjukvårdslag m.m., s. 33.

133

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

man, dvs. den som har ett författningsreglerat ansvar för att vård meddelas. Med huvudman enligt hälso- och sjukvårdslagen får därmed avses den som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.

Mot den bakgrunden och med det som förebild föreslår utredningen att begreppet huvudman ska definieras i hälso- och sjukvårdsdatalagen. Utredningens förslag till definition utgår alltså från huvudmännens ansvar, som det är reglerat i nu gällande hälso- och sjukvårdslag. Med huvudman i hälso- och sjukvårdsdatalagen avses således den som enligt hälso- och sjukvårdslagen ansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner.

I hälso- och sjukvårdslagen regleras för närvarande endast huvudmannaskapet för landsting och kommuner. Den hälso- och sjukvård som enligt lag ska tillhandahållas av andra huvudmän än landsting och kommun är dock av mer begränsad karaktär och har även delvis andra syften än det huvudmannaansvar som följer av hälso- och sjukvårdslagen. Utredningen bedömer därför att det i hälso- och sjukvårdsdatalagen är tillräckligt att hänvisa till det huvudmannaansvar som landsting och kommuner har enligt hälso- och sjukvårdslagen.

Huvudmannen har det yttersta ansvaret för att säkerställa att vård erbjuds till i hälso- och sjukvårdslagen angiven personkrets. Vården kan utföras i egen regi, men huvudmannaansvaret innebär ingen skyldighet för huvudmannen att själv bedriva verksamheten, utan driften kan ligga på en fristående vårdgivare. Inom en huvud- mans geografiska ansvarsområde kan därmed en eller flera vård- givare bedriva verksamhet.

Såväl Utredningen om en kommunallag för framtiden6 som Patientmaktsutredningen7 har föreslagit att huvudmannens ansvar bör uttryckas tydligare i lagstiftningen. Utredningen om en kommunallag för framtiden har föreslagit att det uttryckligen ska regleras i kommunallagen (1991:900) att kommunen respektive landstinget behåller sitt huvudmannaskap när vården av en kommunal angelägen- het överlämnats till en annan utförare och att huvudmannaskapet innefattar en skyldighet att följa upp och kontrollera privata utförare.

Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. Eftersom det inte finns några formella

6SOU 2013:53; Privata utförare – kontroll och insyn.

7SOU 2013:44; Ansvarfull hälso- och sjukvård.

134

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre är att betrakta som vård- givare. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården. Det är därför relevant att definiera begreppet i den lag som föreslås.

Längre fram i betänkandet föreslår utredningen även förbättrade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet inom en huvudmans ansvars- område. Även för att kunna utforma de förslagen är begreppet huvudman nödvändigt att definiera.

Informationssystem

Utredningen föreslår att begreppet informationssystem definieras i lagen. Vårdgivaren är ansvarig för hur personuppgifter hanteras i verksamheten. Ett informationssystem är ett verktyg för hantering av personuppgifter. Det är ett system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information. Vi föreslår i betänkandet att vårdgivarens ansvar för att informationssystemen är ändamålsenliga ska uttryckas i hälso- och sjukvårdsdatalagen. Det medför att begreppet behöver definieras i lagen.

Sammanhållen journalföring

Utredningens förslag om möjlighet till direktåtkomst mellan vård- givare inom en huvudmans ansvarsområde innebär att tillämpnings- området för sammanhållen journalföring minskar och innebär också att den definition av begreppet som finns i patientdatalagen blir felaktig. Vi föreslår därför en ändrad definition. Med samman- hållen journalföring avses enligt utredningens förslag en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvud- män ansvarar för eller som är privat finansierad, att ha direkt- åtkomst till varandras vårddokumentation.

135

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Vårddokumentation

Patientjournaler och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall kallas i förarbetena till patientdatalagen för vårddokumentation.8 Ändamålen för vilka sådan dokumentation ska behövas motsvarar de första två punkterna i bestämmelsen om för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården.

Sådan dokumentation har en särställning i patientdatalagen eftersom vissa bestämmelser hänvisar till ändamålet vårddokumen- tation – även om själva begreppet inte används i bestämmelserna. I stället hänvisas i lagen till ändamålsbestämmelsens två första punkter (2 kap. 4 § 1 och 2 PDL). Det gäller t.ex. bestämmelsen om vad en patientjournal maximalt får innehålla (3 kap. 5 § PDL), bestämmelsen om vilka personuppgifter som en patient får spärra inom en vårdgivares verksamhet (4 kap. 4 § PDL), bestämmelsen om vilka uppgifter som en vårdgivare får ta del av genom samman- hållen journalföring (6 kap. 1 § PDL) och bestämmelsen om utlämnande genom direktåtkomst till enskilda (5 kap. 5 § PDL)

Utredningen anser att det kan vara en fördel att ett begrepp med en definition som stämmer överens med den som används i förarbeten till patientdatalagen finns med i en ny hälso- och sjukvårdsdatalag. Ett begrepp som definieras i lagens inledning kan sedan användas i bestämmelserna utan ytterligare förklaring. Definitionen knyter an till bestämmelsen om tillåtna ändamål för behandling av personuppgifter, som förs över från patientdata- lagen. De bestämmelser i lagen som ska hänvisa till begreppet blir enklare att formulera och att läsa om begreppet kan användas utan hänvisning till ändamålsbestämmelsen.

Med vårddokumentation ska således avses dokumentation som innehåller personuppgifter som behandlas för

att fullgöra de skyldigheter som anges i 3 kap. HSL och upprätta annan dokumentation som behövs i och för vården av patienter, och

administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.

8 Prop. 2007/08:126 s. 57.

136

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Vårdgivare

Utredningen har valt att utgå ifrån den befintliga definitionen i patientdatalagen men föreslår en något ändrad formulering. Ändringen är påkallad av utredningens förslag att definiera begreppet huvudman.

Med vårdgivare avses enligt utredningens förslag ”statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjuk- vårdsverksamhet som myndigheten, landstinget eller kommunen bedriver samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.”

Uttrycket har ansvar för som finns i den nu gällande definitionen i patientdatalagen kan tolkas på flera olika sätt, och är därför olämpligt i definitionen av vårdgivare. Vårdgivare har ansvar för den vård som denne bedriver. Landsting och kommun har som huvudman också visst ansvar, naturligtvis för de egna vårdgivarnas verksamhet, men även för sådan hälso- och sjukvårdsverksamhet som de som huvudmän överlåtit på annan. Huvudmannen ansvarar alltid primärt för att vårdbehoven tillgodoses inom dennes ansvars- område. Ett visst kontrollansvar kvarstår av denna anledning hos huvudmannen. Huvudmannen har således också visst ansvar för vård som vårdgivaren bedriver. För att kunna skilja på det ansvar som de offentliga aktörerna har i sin egenskap av huvudmän respektive i sin egenskap av vårdgivare har utredningen därför anslutit sig till Patientmaktsutredningens9 förslag till definition. I denna tydliggörs att vårdgivare är den som bedriver viss hälso- och sjukvårdsverksamhet. Utredningens förslag till definition ska där- med läsas i ljuset av att utredningen även föreslår en definition av huvudmannabegreppet.

Begreppet hälso- och sjukvårdsverksamhet har använts i stället för hälso- och sjukvård, för att undvika en konflikt med definitionen av begreppet hälso- och sjukvård. I uttrycket ”bedriver hälso- och sjukvårdsverksamhet” ligger att åtgärderna är av regelbundet åter- kommande karaktär. En näringsidkare som inom ramen för en verksamhet som i sig inte utgör hälso- och sjukvård med viss regel- bundenhet utför hälso- och sjukvårdande åtgärder kan anses vara vårdgivare beträffande dessa åtgärder.10

9SOU 2013:44 s. 99.

10SOU 2013:44 s. 99.

137

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Definitionen omfattar samtliga vårdgivare, både vårdgivare underställda en offentlig huvudman, och vårdgivare med en privat huvudman (med eller utan offentlig finansiering).

För den hälso- och sjukvård som ett landsting eller en kommun själv bedriver är således den juridiska personen landstinget eller kommunen vårdgivare. Sådana bolag, föreningar och stiftelser där kommuner och landsting utövar ett rättsligt bestämmande inflytande, t.ex. äger mer än 50 procent, är egna juridiska personer och utgör därför självständiga vårdgivare om de bedriver hälso- och sjukvård. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset och Danderyds sjukhus.

Juridiska personer, t.ex. bolag eller stiftelser, som bedriver hälso- och sjukvård med privat eller offentlig finansiering är också själv- ständiga vårdgivare. Som exempel kan nämnas bolag som Capio, Aleris, Praktiktertjänst och ett mycket stort antal andra privata vårdgivare.

En fysisk person som bedriver hälso- och sjukvårdsverksamhet i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande är också en självständig vårdgivare. Som exempel kan nämnas tandläkare med egen mottagning eller en fysisk person som etablerat en mottagning med stöd av lagen om läkarvårdsersättning (1993:1651), den s.k. nationella taxan.

Statliga myndigheter som Statens institutionsstyrelse, Kriminal- vården eller Totalförsvarets pliktverk är självständiga vårdgivare om de bedriver hälso- och sjukvårdsverksamhet.

Mot bakgrund av ovanstående kan konstateras att enskilda läkare som exempelvis är anställda på ett sjukhus eller en vård- central inte är att betrakta som vårdgivare i hälso- och sjukvårds- datalagens mening. En vårdgivare är alltid en organisation och ska därmed inte förväxlas med den person som kanske rent faktiskt utför åtgärderna.

Nationella och regionala kvalitetsregister

Eftersom regelverket för personuppgiftsbehandling i nationella och regionala kvalitetsregister förs över från patientdatalagen till den nya lagen bör begreppet nationella kvalitetsregister finnas med i listan över definitioner.

Med kvalitetsregister avses en automatiserad och strukturerad samling personuppgifter som inrättats särskilt för ändamålet att

138

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjuk- vården på nationell eller regional nivå.

Definitioner som överförs oförändrade

Utredningens bedömning är att samtliga begrepp som definieras i patientdatalagen även ska definieras i hälso- och sjukvårdsdata- lagen. Det innebär att det, utöver vad som redovisats ovan, finns ett antal begreppsdefinitioner som ska föras över oförändrade till den nya lagen. Dessa begrepp är journalhandling och patientjournal.

Med patientjournal ska således avses en eller flera journal- handlingar som rör samma patient.

Med journalhandling ska avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt upp- fattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga för- hållanden eller om vidtagna eller planerade vårdåtgärder.

7.2.5Övriga bestämmelser som förs över från patientdatalagen

Vårt förslag: Bestämmelserna om rättigheter för den enskilde i 8 kap. patientdatalagen ska föras över till hälso- och sjukvårds- datalagen med någon mindre justering. Bestämmelser om bevarande av journalhandlingar och om omhändertagande och återlämnande av journalhandlingar i 3, 6 och 9 kap. ska föras över från patientdatalagen. Bestämmelserna om skadestånd och överklagande i 10 kap. patientdatalagen ska också föras över.

I 8 kap. patientdatalagen finns bestämmelser om patientens rättig- heter som inte berörs av utredningens förslag i övrigt och som enligt vår mening ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen om rätten till journalförstöring ändras på så sätt att den även ska tillämpas med avseende på uppgifter i en gemensam vård- och omsorgsjournal, se avsnitt 32.3.10.

139

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

I vårt förslag till hälso- och sjukvårdsdatalag vill vi samla bestämmelserna om överlämnande, omhändertagande och bevarande av journalarkiv i ett eget kapitel. Motsvarande bestämmelser i 3,6 och 9 kap. PDL ska därför föras över till detta kapitel i den nya lagen. När det gäller bestämmelsen om bevarande om gallring i 6 kap. PDL ska den överföras och utvidgas till att gälla för bevarande och gallring av handlingar som är tillgängliga vid alla former av direktåtkomst som regleras i den nya lagen. När det gäller ansvaret för omhändertagna journaler som i dag regleras i 9 kap. 3 § PDL har ett nytt stycke införts om patientjournaler i verksamheter som bedrivits med en kommun som huvudman eller i elevhälsan, se avsnitt 13.4.6. I övrigt ska paragrafen överföras med oförändrad innebörd.

Bestämmelserna om skadestånd och överklagande berörs inte heller av våra förslag och ska därför föras över oförändrade till den nya lagen.

140

8Grundläggande bestämmelser om behandling av personuppgifter

8.1Bakgrund

Utredningens utgångspunkt är, som anförts i det föregående, att en lagstiftning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i hälso- och sjukvården. Både för patienter och för personal och ledning inom hälso- och sjukvården behöver de grundläggande förutsätt- ningarna för informationshantering och personuppgiftsbehandling vara tydliga. Det innebär bland annat att hälso- och sjukvårdsdatalagen ska kunna ge svar på vilka personuppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som hälso- och sjukvården är det dock inte möjligt att i detalj förutse och reglera varje form av personuppgiftsbehandling. Däremot finns goda förutsättningar att utforma hälso- och sjukvårdsdatalagen på ett motsvarande sätt som patientdatalagen (2008:355), förkortad PDL, d.v.s. som en ramlagstiftning där den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården anges.

I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom hälso- och sjukvårdsdatalagens tillämpningsområde. Till över- vägande del handlar det om att överföra befintliga bestämmelser från patientdatalagen.

141

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

8.2Våra överväganden och förslag

8.2.1Vissa grundläggande bestämmelser förs över oförändrade från patientdatalagen

Vårt förslag: Vissa av de grundläggande bestämmelserna om behandling av personuppgifter som finns i 2 kap. patientdatalagen ska föras över i sak oförändrade till hälso- och sjukvårdsdatalagen. Det rör bestämmelser om kapitlets tillämpningsområde, den enskildes inställning till personuppgiftsbehandlingen och vilka personuppgifter som får behandlas.

Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. hälso- och sjukvårdsdatalagen. Kapitlet föreslås innehålla bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka person- uppgifter som får behandlas, vilken betydelse patientens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i verksamheten.

Till övervägande del handlar det om att överföra motsvarande bestämmelser i patientdatalagen oförändrade till den nya lagen. De bestämmelser utredningen föreslår ska föras över oförändrade i sak anges i det följande. Det innebär även att bestämmelserna avses ha samma innebörd som framgår av vad regeringen anförde i förarbetena till patientdatalagen.1

I bestämmelserna kan dock följdändringar med anledning av utredningens förslag i andra delar aktualiseras.

Kapitlets tillämpningsområde

Utredningen föreslår att bestämmelserna i det aktuella kapitlet, precis som idag, ska gälla för sådan automatiserad behandling av personuppgifter som avses i personuppgiftslagen (1998:204), förkortad PUL. Bestämmelsen i 2 kap. 1 § PDL ska föras över oförändrad till hälso- och sjukvårdsdatalagen.

1 Prop. 2007/08:126 s. 55-77

142

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Den enskildes inställning till personuppgiftsbehandlingen

Utredningen föreslår att bestämmelserna om den enskildes inställning till personuppgiftsbehandlingen i 2 kap. 2 och 3 §§ PDL ska föras över oförändrade till hälso- och sjukvårdsdatalagen.

Det innebär bl.a. att behandling av personuppgifter som är tillåten enligt lagen, får utföras även om den enskilde motsätter sig den. Detta gäller om inte annat framgår av lag eller förordning. I hälso- och sjukvårdsdatalagen hänvisas till några sådana situationer där personuppgiftsbehandling inte får utföras om den enskilde motsätter sig den, exempelvis att lämna ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring.

Vidare innebär utredningens förslag, som idag, att sådan person- uppgiftsbehandling som inte är tillåten enligt hälso- och sjukvårds- datalagen ändå för utföras om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i hälso- och sjuk- vårdsdatalagen eller annan lag eller förordning. I hälso- och sjukvårdsdatalagen regleras ett sådant undantag, nämligen person- uppgiftsbehandling vid sammanhållen journalföring.

Därutöver innebär utredningens förslag att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt hälso- och sjukvårdsdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Regeringen har således en generell befogenhet att närmare föreskriva ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandlingen.

Personuppgifter som får behandlas

Från integritetssynpunkt är det väsentligt att inte andra person- uppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Utredningen föreslår därför att bestämmelserna om vilka personuppgifter som får behandlas i 2 kap. 8 § PDL förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att en vårdgivare får behandla endast sådana personuppgifter som behövs för de i lagen uppräknade tillåtna ändamålen för personuppgiftsbehandling i hälso- och sjukvården. Vidare klargörs att uppgifter om lagöver- trädelser m.m. som avses i 21 § PUL endast får behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en privat vård-

143

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

givare får under dessa förutsättningar behandla personuppgifter om lagöverträdelser.

I sammanhanget ska förtydligas att personuppgiftslagens grund- läggande krav på att personuppgifter ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella gäller även vid behandling av personuppgifter enligt hälso- och sjukvårds- datalagen. Vårdgivare behöver därför bland annat göra en bedömning av vilka personuppgifter som behövs för olika ändamål.

8.2.2Personuppgiftsansvar

Vårt förslag: Den nuvarande paragrafen om personuppgiftsansvar i 2 kap. 6 § PDL ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen ska kompletteras i fråga om personuppgifts- ansvarets placering hos en huvudman. I lagen ska därmed anges att det hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.

Ur ett integritetsskyddsperspektiv är det lämpligt att i en register- lagstiftning precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Genom patientdatareformen har det tydliggjorts att en vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som vårdgivaren utför. Vidare har personuppgiftsansvaret i den offentliga hälso- och sjukvården preciserats ytterligare genom att det i lagen anges att i ”landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför”. Vidare anges i den nuvarande paragrafen att vårdgivarens personuppgifts- ansvar även omfattar sådan behandling av personuppgifter som vårdgivaren, eller myndigheten, utför när vårdgivaren eller myndig- heten genom direktåtkomst i ett enskilt fall bereder sig tillgång till

144

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.

Utredningen föreslår att den nuvarande bestämmelsen förs över oförändrad till hälso- och sjukvårdsdatalagen. Därutöver föreslår vi att bestämmelserna kompletteras med ett förtydligande vad gäller personuppgiftsansvarets placering hos en sjukvårdshuvudman. Vi bedömer att denna komplettering är nödvändig med hänsyn till vårt förslag om att hälso- och sjukvårdsdatalagen i tillämpliga delar även ska gälla för en huvudman. Dessutom kan konstateras att det i den nuvarande bestämmelsen endast pekas ut att de myndigheter i landsting och kommuner som bedriver hälso- och sjukvård är personuppgiftsansvarig för sin behandling av personuppgifter. Det kan därmed ifrågasättas om den nuvarande lydelsen formellt omfattar en kommunal eller landstingskommunal myndighet som inte bedriver någon egentlig hälso- och sjukvård, men samtidigt har ett huvudmannaansvar för verksamheten och i den egenskapen har ett behov av att behandla personuppgifter.

I syfte att tydliggöra personuppgiftsansvarets placering hos sjukvårdshuvudmännen föreslår vi således att det i bestämmelsen ska anges att hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen, personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.

8.2.3Sökbegrepp

Vårt förslag: Den nuvarande paragrafen om sökbegrepp i patientdatalagen ska omarbetas språkligt. Paragrafen ska i sak föras över oförändrad, dock med undantaget att det inte längre ska vara otillåtet att som sökbegrepp använda uppgift om någon har fått bistånd eller varit föremål för andra insatser inom socialtjänsten.

Vår bedömning: De krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten, samt utredningens förslag om förbättrade möjligheter för sådan samverkan innebär att vårdgivare kan ha ett behov av att använda uppgift om att någon har eller har fått bistånd inom socialtjänsten som sökbegrepp.

145

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Inledning

Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Utredningen föreslår att bestämmelserna om sökbegrepp i 2 kap. 8 § PDL förs över i princip oförändrade till hälso- och sjukvårdsdatalagen, men att en språklig omarbetning görs. Den nuvarande bestämmelsen börjar med att, genom en hänvisning till bestämmelser i personuppgiftslagen, tala om vad som är otillåtet för att sedan ange undantag till detta. Utredningens bedömning är att bestämmelsen blir tydligare om hänvisningen till personuppgiftslagen till viss del tas bort och istället ersätts med konkreta formuleringar om vilka sökbegrepp som är otillåtna. Istället för att ange att personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp och sedan föreskriva att undantag från det förbudet vad gäller att använda uppgifter om hälsa som sökbegrepp, bedömer utredningen således att paragrafen uttryckligen ska ange att som sökbegrepp får inte användas uppgifter som avslöjar: ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Inte heller ska uppgifter om att någon varit föremål för åtgärder enligt utlännings- lagen (2005:716) få användas som sökbegrepp.

Det innebär exempelvis att det, precis som idag, ska vara tillåtet att använda uppgifter om hälsa som sökbegrepp.

Uppgifter om lagöverträdelser m.m. som avses i 21 § PUL ska inte heller få användas som sökbegrepp. Detta följer redan av den nuvarande bestämmelsen. Vidare ska även fortsättningsvis ett undantag från det förbudet göras vad gäller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Utredningen förslag innebär även att regeringen som idag kan meddela föreskrifter om att vårdgivare, trots sökbegränsningarna, får använda personuppgifter om etnicitet, uppgifter om betydelse för smittskyddet samt uppgifter om insatser enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

146

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Uppgift om bistånd och insatser inom socialtjänsten

I den nuvarande bestämmelsen om sökbegrepp i 2 kap. 8 § PDL anges att som sökbegrepp inte får användas uppgift om att någon fått bistånd eller varit föremål för andra insatser inom social- tjänsten. I samband med patientdatalagens tillkomst fördes detta förbud över till den lagen från den då gällande vårdregisterlagen. I förarbetena till vårdregisterlagen motiverades sökbegränsningarna i fråga om insatser inom socialtjänsten emellertid endast med att det överensstämde med den vid den tidpunkten gällande datalagen.2 I datalagen angavs visserligen inga sökbegränsningar rörande uppgifter om insatser enligt socialtjänsten, men i dess 4 § räknades emellertid uppgift om att någon fått ”ekonomisk hjälp eller vård inom socialtjänsten” upp som en särskilt känslig uppgift.

Enligt utredningens bedömning finns det mot bakgrund av den nära samverkan som behöver ske mellan hälso- och sjukvården och socialtjänsten skäl att ifrågasätta den nu gällande sökbegränsningen. Kommuner och landsting har under årens lopp ålagts fler och fler skyldigheter att samverka rörande individer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Som exempel kan nämnas det krav på samordnad vårdplanering som finns rörande enskilda som vid utskrivning från slutenvården har behov av insatser från den kommunala hälso- och sjukvården och socialtjänsten. Vidare ska landstinget enligt 8 a och b §§ HSL ingå en överenskommelse med kommunen om ett samarbete i fråga om personer med psykisk funktionsnedsättning och om personer som missbrukar alkohol, narkotika, andra beroendeframkallande medel, läkemedel eller dopningsmedel. När den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten ska landstinget, enligt 3 f § HSL, tillsammans med kommunen upprätta en individuell plan. Av planen ska framgå vilka insatser som behövs, vilka insatser respektive huvudman ska svara för, vilka åtgärder som vidtas av någon annan än landstinget eller kommunen, och vem av huvudmännen som ska ha det övergripande ansvaret för planen.

Därutöver har landstinget ansvaret för de läkarresurser som behövs för att enskilda ska kunna erbjudas god hälso- och sjukvård i särskilt boende och i hemsjukvården.

Sammantaget kan konstateras att de krav på nära samverkan som föreligger mellan landsting och kommuner i fråga om hälso- och sjukvård och socialtjänst medför att det i hälso- och sjukvården

2 Prop. 1997/98:108 s. 75

147

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

behöver dokumenteras en rad uppgifter om de insatser som enskilda får tillgodosedda av socialtjänsten. All vårdplanering som görs i fråga om patienter som skrivs ut från slutenvården och som har behov av insatser från socialtjänsten ska exempelvis dokumenteras i patientjournalen.3 Även för att leva upp till själva grundkravet i 3 kap. 6 § PDL på att patientjournalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten kan vårdgivare behöva dokumentera uppgifter som har anknytning till socialtjänstens verksamhet. Det kan exempelvis handla om att den enskilde får bistånd i form av särskilt boende eller att den enskilde är beviljad hemtjänst och hemsjukvård.

Utredningens bedömning är att de krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten samt utredningens förslag om förbättrade möjligheter för sådan samverkan medför att vårdgivare kan behöva använda uppgifter om att någon har insatser inom socialtjänsten som sökbegrepp. Det kan exempelvis behövas för att få fram en uppgift om hur många invånare som omfattas av landstinget ansvar för läkarresurser i särskilt boende eller i hem- sjukvården. Det kan även behövas för att kunna göra samman- ställningar kring arbetet med de olika individuella vårdplanerna som ska tas fram i samverkan med kommunen. Utredningens förslag om möjligheter för hälso- och sjukvården och socialtjänsten att – under vissa förutsättningar – ha direktåtkomst till varandras personuppgifter medför även att det för vårdgivares del måste vara möjligt att göra sökningar för att administrera eller göra samman- ställningar kring informationsutbytet genom direktåtkomst.

Vidare anser utredningen att det redan idag, genom att det är tillåtet att söka på uppgift om hälsa, kan hävdas att sökning på uppgifter om insatser inom socialtjänsten är tillåtet så länge det handlar om en uppgift som rör hälsa. Eftersom begreppet hälsa ska ges en vidsträckt tolkning enligt personuppgiftslagen kan då konstateras att mycket av det som görs inom socialtjänsten torde kunna falla inom ramen för vad som är att betrakta som en uppgift om hälsa. Det blir då osäkert vilket reellt tillämpningsområde den nu gällande sökbegränsningen ska anses ha. Samtidigt bedömde patientdatautredningen att en uppgift om att en äldre eller en funktionshindrad får insatser inom socialtjänsten i form av särskilt boende inte får användas som sökbegrepp, vare sig för att söka

3 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård

148

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

fram en enskild uppgift eller för att kunna göra sammanställningar rörande fler patienter.

Sammanfattningsvis bedömer utredningen att det bör finnas ett tydligt stöd för vårdgivare att, vid behov, söka på uppgift om att någon har insatser inom socialtjänsten. Vi har ovan redogjort för den nära samverkan som ska ske mellan hälso- och sjukvården och social- tjänsten samt lämnat några exempel på när landstinget kan behöva söka på uppgifter relaterade till socialtjänstens verksamhet. Därutöver finns det, enligt vår bedömning, naturligtvis ett grundläggande och berättigat behov för vårdgivare inom den kommunala hälso- och sjukvården att kunna söka på uppgifter om insatser i socialtjänsten. Inte minst med tanke på att den kommunala hälso- och sjukvården bedrivs i det närmaste integrerat med socialtjänstens verksamhet ter sig en sökbegränsning omotiverad. En kommunal vårdgivare kan exempelvis behöva söka på socialtjänstrelaterade uppgifter för att kunna planera sin verksamhet i hemsjukvården och för att kunna samverka med de utförare av socialtjänst som den enskilde har.

Sammantaget anser vi att det finns övervägande skäl som talar för att den nuvarande sökbegränsningen bör tas bort. Vi bedömer att detta kan göras på ett sätt som inte medför otillbörliga intrång i de enskildas personliga integritet. Det handlar uteslutande om verksamheter som har dokumenterat uppgifter relaterade till social- tjänstens verksamhet för att uppgifterna bedöms vara viktiga för patientens vård och behandling samt för möjligheterna att planera och i övrigt bedriva en verksamhet av hög kvalitet. I praktiken har även många personer, inte minst bland de äldre, så sammansatta behov av vård och omsorg att det gör att det i praktiken inte alltid är enkelt att avgöra vad som är att hänföra till hälso- och sjukvård och vad som är att hänföra till socialtjänst.

Samtidigt vill vi erinra om att uppgifter relaterade till social- tjänsten, precis som uppgifter relaterade till hälso- och sjukvården, är av ömtålig art ur integritetssynpunkt. Vårdgivare behöver därför alltid vid personuppgiftsbehandling göra en bedömning av vilka uppgifter som är nödvändiga att behandla med hänsyn till ändamålet. De grundläggande kraven enligt personuppgiftslagen gäller naturligtvis även vid personuppgiftsbehandling som innebär användning av olika sökbegrepp. Det innebär att den person- uppgiftsbehandling som utförs i samband med sökning och fram- tagning av sammanställningar alltid måste bottna i ett berättigat behov och att endast de personuppgifter som behövs med hänsyn till detta behov behandlas.

149

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

8.2.4Tillåtna ändamål för behandling av personuppgifter m.m.

Vårt förslag: De nuvarande bestämmelserna i 2 kap. 4 och 5 §§ PDL om tillåtna ändamål för personuppgiftsbehandling ska över- föras till hälso- och sjukvårdsdatalagen. I ändamålskatalogen ska vidare anges att personuppgifter får behandlas för att förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Inledning

Det är av integritetsskäl viktigt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. En vårdgivare eller en huvudman får därför endast behandla sådana uppgifter som behövs för de ändamål som i lagen räknas upp som tillåtna. En ändamåls- bestämmelse styr därmed över vilka personuppgifter som får samlas in och fortsättningsvis behandlas i verksamheten.

Att i lagen närmare specificera vilka personuppgifter som får behandlas i verksamheten skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av it inom hälso- och sjukvården. Även om det av personuppgiftslagen följer ett krav på att ändamålen ska vara särskilda, behöver ändamålsbestämmelsen utformas tämligen generellt när det, som i detta fall, gäller en registerlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en sådan komplex verksamhet som hälso- och sjukvården. En alltför detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar på området är inte möjlig att göra och skulle även, som anförs ovan, riskera att hämma utvecklingen av hälso- och sjukvårdens informations- hantering.

Genom patientdatalagen infördes en i princip uttömmande ändamålskatalog för personuppgiftsbehandlingen i hälso- och sjuk- vården. Regleringen är fakultativ i den bemärkelsen att den anger vad vårdgivaren får göra. Det är således en yttersta ram för när person- uppgifter får samlas in och fortsättningsvis behandlas. Inom denna ram behöver vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av personuppgiftsbehandlingen. Det följer av 9 § första stycket c PUL om att ändamålen ska vara särskilda.

150

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Utredningen föreslår således att den nuvarande ändamåls- uppräkningen i 2 kap. 4 och 5 §§ PDL förs över till hälso- och sjuk- vårdsdatalagen. Med utgångspunkt från förarbetena till patientdata- lagen utvecklas innebörden av de tillåtna ändamålen nedan.4 I det följande redogör utredningen även för förslaget om att tillföra två ytterligare ändamål till hälso- och sjukvårdsdatalagen.

Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (vårddokumentation)

Det tillåtna ändamålet är knutet till den behandling av person- uppgifter som behövs för att fullgöra skyldigheten att föra patient- journal men också för att upprätta annan dokumentation som kan behövas i och för vården av en patient. Den individinriktade patientverksamheten kräver en omfattande hantering av person- uppgifter för att fungera ändamålsenligt så att en hög patient- säkerhet, god kvalitet och effektivitet i verksamheten kan upprätt- hållas. Det är därför en självklarhet att lagens ändamålsbestämning måste omfatta detta behov.

Grunden för informationshanteringen är många gånger ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal. Men att hänvisa till denna dokumentationsskyldighet är långt ifrån tillräckligt för att täcka in behoven av personuppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen. En hel del person- uppgifter kan behandlas helt separat från den ordinära journal- föringen, t.ex. vid medicinska serviceenheter, på sätt som kan leda till tveksamheter om de utgör journalhandlingar eller inte. Även sådan dokumentation som faller vid sidan av skyldigheten att föra journal kan omfattas av ett ändamål som rör den individinriktade patientverksamheten.

Med patient avses den enskilde i hans kontakt med hälso- och sjukvården. Denna innebörd är hämtad från förarbeten till patient- journallagen (1985:562).5 Det innebär t.ex. att en blodgivare är patient.

4Prop. 2007/08:126 s. 55-60

5Prop. 1984/85:189 s. 36

151

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Den individinriktade verksamheten kan avse såväl sjukdomsföre- byggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlings- syfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i samband med hälsoundersökning av personer som söker körkortstillstånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av lagens tillämpningsområde.

All patientrelaterad administration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden omfattas av ändamålet administration som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.

Man kan sammanfattningsvis säga att personuppgifts- behandlingen i den individinriktade verksamheten utförs för det samlade ändamålet vårddokumentation.

Utförande av annan dokumentation som följer av lag, förordning eller annan författning

Det finns en rad olika författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Det kan dock vara nödvändigt med en särskild personuppgiftsbehandling när dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras, t.ex. när det gäller uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Det behövs därför ett särskilt ändamål som uttryck- ligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten.

Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (kvalitetssäkring)

I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns även i 16 § tandvårdslagen (1985:125). Genom dessa bestämmelser finns det alltså ett författningsreglerat krav på

152

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

vårdgivare inom hälso- och sjukvården och tandvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling.

Genom användning av modern informationsteknik förbättras möjligheterna att bedriva kvalitetssäkringsarbete avsevärt. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring. Men det förekommer också person- uppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär en ”återanvändning” av vårddokumentation utan handlar om personuppgifter som på olika sätt hämtas in och analyseras för det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen. Det är dock inte något problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling görs. Ett särskilt ändamål som tillåter denna behandling uttrycks därför som ett ändamål i lagen.

Inom ramen för vårdgivarens systematiska kvalitetsarbete kan patientuppgifter användas på många olika sätt. Det kan handla såväl om att enskilda yrkesutövare kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process. Genom att vårdgivaren formulerar närmare riktlinjer för hur kvalitetsarbetet ska gå till kan en tydlig systematik uppnås. I den delredovisning som utredningen överlämnade till regeringen den 31 december 2013 behandlas möjligheterna att behandla uppgifter för ändamålet kvalitetssäkring ytterligare, se bilaga 4.

Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten

Den individinriktade kärnverksamheten föranleder administration och planering på ett mer övergripande plan än vid dokumentation för individinriktad hälso- och sjukvård. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även

153

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet.

I personuppgiftsbehandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person. Likväl är det fråga om personuppgiftsbehandling.

Ett ytterligare område som alltmer kommit i fokus är kravet på att hälso- och sjukvården ska förbättra verksamhetsuppföljningen. Med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verk- samhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna.

Ett annat område som innefattar personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården är det knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter.

Framställning av statistik rörande hälso- och sjukvård

I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppfölj- ning. Men landstingen framställer också statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik anges därför som ett särskilt ändamål i lagen.

154

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Att förebygga, utreda eller behandla sjukdomar och skador hos patienter

Under utredningens arbete har framkommit att det finns en osäkerhet kring tillämpningen av den nu gällande ändamålsbestämmelsen. Det har framför allt handlat om vilken ändamålsbestämmelse som anger att det är tillåtet för den som arbetar hos en vårdgivare att ta del av uppgifter om en patient för att exempelvis fatta beslut om patientens vård och behandling.

Eftersom begreppet behandling av personuppgifter även omfattar att ta del av och använda personuppgifter som redan är dokumenterade behöver således ändamålsbestämmelsen omfatta en senare användning av redan dokumenterade uppgifter. I samman- hanget kan emellertid noteras att personuppgiftsbehandlingen för ändamålet vårddokumentation är formulerat på ett sådant sätt att det är avgränsat till sådan personuppgiftsbehandlingen som handlar om att fullgöra journalföringsplikten, upprätta annan dokumentation som behövs, eller för sådan administration som har med patientens vård att göra. Många gånger behöver hälso- och sjukvårdspersonal emellertid behandla personuppgifter om en patient utan att det för den skull handlar om att fullgöra journalföringsplikten eller att upprätta annan dokumentation. Det kan exempelvis handla om att använda redan dokumenterade uppgifter för att fatta ytterligare beslut om patientens vård eller för att förbereda sig inför en undersökning av patienten etc.

Visserligen anförde regeringen i förarbetena att det med ändamålet vårddokumentation inte endast avses själva insamlingen och registreringen av uppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patient- vården eller patientadministrationen.6 Samtidigt har utredningen förståelse för att hälso- och sjukvårdspersonal som tar del av den nuvarande ändamålsbestämmelsen känner tveksamhet inför vad som gäller. Bestämmelsen uttrycker över huvud taget ingenting om senare användning av redan dokumenterade uppgifter.

Sammantaget bedömer utredningen att det finns skäl att i ändamålsbestämmelsen tydliggöra att personuppgiftsbehandling är tillåten även om det inte handlar om att fullgöra journalföringsplikt eller liknande, utan om att använda uppgifter i och för vården av en patient. Inte minst mot bakgrund av den osäkerhet och otrygghet kring patientdatalagens tillämpning som finns bland hälso- och

6 Prop. 2007/08:126 s. 57

155

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

sjukvårdspersonal kan ett sådant tydliggörande ha stor betydelse. Mot denna bakgrund föreslår vi att det i hälso- och sjukvårdsdatalagen ska anges att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningens förslag innebär ingen förändring eller utvidgning jämfört med vad som anses gälla redan idag, utan ska i allt väsentligt betraktas som ett förtydligande.

Uppgiftsutlämnande och finalitetsprincipen

Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Om utlämnandet görs för syften som gäller den för utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av något av de tillåtna ändamålen. Inte sällan görs utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.

För den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs också att sekretessen inte hindrar ett utlämnande.

Beträffande den allmänna hälso- och sjukvården följer vidare av 6 kap. 5 § OSL att en myndighet på begäran av annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223).

Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan att sekretessen hindrar det. I 10 kap. OSL

156

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

finns exempelvis bestämmelser som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall.

Gemensamt för allt detta uppgiftslämnande är att det görs med stöd av författningar som påbjuder eller tillåter utlämnande. När sådana bestämmelser har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i hälso- och sjukvårdsdatalagen förhindra att person- uppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informations- teknik i stället för som tidigare på papper.

Ändamålsbestämmelsen, som förs över från patientdatalagen, medger alltså att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som görs i överens- stämmelse med lag eller förordning.

Vidare föreslår utredningen personuppgiftslagens finalitets- princip, som idag, ska gälla även vid personuppgiftsbehandling enligt hälso- och sjukvårdsdatalagen. Finalitetsprincipen innebär att personuppgifter som har samlats in i syfte att behandlas för särskilda, uttryckligt angivna ändamål (jfr 9 § första stycket c PUL) får behandlas även för andra, nya ändamål, om dessa inte är oförenliga med de ursprungliga ändamålen (9 § första stycket d samma lag). Principen hindrar inte att insamlade personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen (9 § andra stycket PUL). Eftersom ändamålsbestämmelserna i lagen är uttömmande ska hälso- och sjukvårdsdatalagen uttrycklig hänvisa till dessa bestämmelser i personuppgiftslagen.

157

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

8.2.5Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården

Vårt förslag: Av hälso- och sjukvårdsdatalagens ändamåls- bestämmelse ska följa att det är tillåtet att behandla person- uppgifter för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i sådan forskning, om den aktuella studien är godkänd av regional eller central etikprövnings- nämnd. Som en ytterligare förutsättning krävs att vårdgivaren har tagit fram och implementerat riktlinjer för hur person- uppgiftsbehandlingen för dessa ändamål ska utföras.

Vår bedömning: Förslaget innebär ett krav på vårdgivare att ta fram närmare riktlinjer som beskriver hur den här aktuella personuppgiftsbehandlingen ska gå till. Att antalsberäkna och identifiera personer för forskningsstudier bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet. Vidare bedömer utredningen att det av det särskilda regelverket om nationella och regionala kvalitetsregister med tillräcklig tydlighet redan följer att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården är tillåtet.

Inledning

För att en klinisk prövning i hälso- och sjukvården ska kunna bedrivas krävs att det finns ett antal deltagare (patienter) som, efter att ha fått information om studien och erbjudande om deltagande, väljer att medverka i prövningen. Även för annan forskning inom hälso- och sjukvården, exempelvis registerstudier, är det naturligtvis nödvändigt att kunna inkludera personuppgifter om patienter för att kunna bedriva studien. Eftersom samtycke till sådan forskning inte alltid inhämtas, ser dock själva rekryteringen till viss del annorlunda ut.

För att kunna rekrytera personer till kliniska prövningar används en rad olika arbetssätt, som exempelvis annonsering i tidningar och på internet eller genom direkta kontakter mellan hälso- och sjukvårdspersonal och patienter. Generellt kan inte alla

158

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

personer som vill erbjudas deltagande i en klinisk prövning utan ofta är prövningen inriktad på vissa specifika förhållanden, vilket gör att deltagarna behöver motsvara de villkor som har ställts upp för studien. Det kan handla om att deltagarna ska ha en viss sjukdom, ta vissa läkemedel, ha varit föremål för en viss hälso- och sjukvårdsåtgärd eller kunna uppvisa andra karaktäristika som har betydelse för prövningen.

Innan en rekrytering till en klinisk prövning startar kan det även finnas behov av att bilda sig en uppfattning om hur stort det potentiella underlaget av deltagare är, bland annat för att avgöra om en tänkt prövning kan tänkas gå att genomföra eller inte. Det har under utredningens arbete framkommit att det i hälso- och sjukvården finns behov av att behandla personuppgifter just i syfte att beräkna det potentiella underlaget och i vissa fall sedan kunna identifiera vilka personer som kan erbjudas medverkan i kliniska prövningar. Detta moment benämns ofta pre-screening.

Motsvarande behov finns även för annan forskning inom hälso- och sjukvården, t.ex. registerstudier. Eftersom sådan forskning sällan utförs genom en öppen rekrytering av forskningspersoner, är en grundläggande förutsättning att det finns ett register som innehåller de för forskningen relevanta uppgifterna eller att sådana uppgifter går att söka fram i ett bredare register eller databas. Även för registerstudier finns därmed ett behov av att kunna antals- beräkna det potentiella underlaget för studien.

Kort om kliniska prövningar

En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.

När det gäller kliniska läkemedelsprövningar bedrivs de oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet

159

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktiskt innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, t.ex. på ett sjukhus, och under ledning och uppsikt av vårdgivarens hälso- och sjukvårds- personal. Det är således vårdgivaren i egenskap av prövare som har kontakten med deltagarna (patienterna) och utför själva pröv- ningen. Närmare förutsättningar om hur kliniska läkemedels- prövningar får genomföras m.m. finns bland annat i läkemedels- lagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.

En del kliniska prövningar kan även bedrivas helt utan en sponsors eller annan extern aktörs inblandning. Det kan exempelvis handla om att vårdgivaren själv initierar en klinisk prövning för att t.ex. utvärdera de metoder i vården som vårdgivaren använder.

Att antalsberäkna och identifiera möjliga deltagare (pre-screening)

Inför en klinisk prövning preciseras vilka inklusions- och exklusionskriterier som ska gälla för studien, d.v.s. vilka villkor som måste vara uppfyllda för att en person ska kunna ingå i studien. Det är således endast de patienter som lever upp till villkoren som kan erbjudas deltagande i en klinisk prövning. Detta innebär bland annat att antalsberäkningen och identifieringen av möjliga deltagare samt rekrytering av dessa är grundförutsättningar för att en klinisk prövning över huvud taget ska kunna genomföras.

Att antalsberäkna och identifiera möjliga deltagare i en klinisk prövning görs ofta olika skeden av ett forskningsprojekt. Medan identifieringen av potentiella deltagare görs efter det att den aktuella studien har blivit godkänd av en regional etikprövnings- nämnd, kan antalsberäkningen behöva äga rum i ett tidigare skede, t.ex. för att undersöka om det över huvud taget finns ett tillräckligt stort patientunderlag för att genomföra studien hos en viss vårdgivare eller till och med i Sverige. Den som överväger att initiera och bedriva en klinisk prövning, oavsett om det är vårdgivaren själv eller en sponsor, kan med andra ord tidigt i processen behöva få en indikation på om det är möjligt att genomföra studien på det sätt det är tänkt. Pre-screening kan därmed vara en användbar metod för att bedöma möjligheterna till genomförande av en planerad studie samt för utformning av den slutliga studiedesignen. Att snabbt få ett besked som bekräftar om

160

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

det finns ett tillräckligt stort patientunderlag som kan tillfrågas är värdefullt för den aktör som sedan ska fatta beslut om var studien ska genomföras.

Ett sätt att inleda arbetet är därför att jämföra uppgifter i patientjournaler med studiens villkor för deltagande. Om det endast handlar om att beräkna det potentiella patientunderlaget kan exempelvis en sökning i journalsystemet ge svar på frågeställ- ningen. Vid ett sådant arbetssätt kan det relativt snabbt och enkelt vara möjligt att beräkna antalet personer som motsvarar villkoren i studien. Uppgifter om antalet potentiella deltagare kan även lämnas till en eventuell sponsor, men några närmare uppgifter om de enskilda får inte lämnas ut. Utredningen har vid kontakter med vårdgivare fått information om att den sökning som görs i samband med en antalsberäkning av det potentiella patientunderlaget idag kan göras utan att några direkt utpekande personuppgifter exponeras. Det är likväl en personuppgiftsbehandling i person- uppgiftslagens mening, men ur ett integritetsperspektiv är det naturligtvis positivt att inte fler personuppgifter än vad som är nödvändigt exponeras för hälso- och sjukvårdspersonalen.

Om det efter en antalsberäkning finns behov av att gå vidare för att kunna vända sig till enskilda personer och erbjuda dem medverkan i en etikgodkänd studie, behöver vårdgivaren naturligtvis ta del av person- uppgifter som namn och personnummer. Det kan exempelvis handla om att särskilt utpekad hälso- och sjukvårdspersonal, exempelvis en forskningssjuksköterska går igenom patientunderlaget för att närmare granska vilka som passar in i studien efter de uppställda inklusions- och exklusionskriterierna. Vårdgivaren kan sedan informera de patienter som identifieras och erbjuda dem deltagande i studien.

Vidare kan konstateras att pre-screeningen, oavsett om det handlar om att endast beräkna antalet potentiella deltagare eller att identifiera möjliga deltagare, uteslutande görs inom ramen för vårdgivarens verksamhet. Det är hälso- och sjukvårdspersonal hos vårdgivaren som genomför arbetet och inga personuppgifter röjs för en eventuell sponsor av den kliniska prövningen i detta skede. Även själva rekryteringen, d.v.s. när individen får information om studien och erbjuds deltagande, görs inom vårdgivarens verk- samhet. Om det är aktuellt att röja personuppgifter utanför vård- givarens verksamhet, t.ex. till en eventuell sponsor, görs det endast efter det att den enskilde deltagaren samtyckt till deltagande i studien och till den personuppgiftsbehandling som ska utföras i studien samt till att personuppgifter lämnas ut till sponsorn.

161

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Därutöver kan konstateras att själva personuppgiftsbehandlingen som vårdgivaren utför i samband med att antalsberäkna och/eller identifiera potentiella deltagare är densamma oavsett om den kliniska prövningen är initierad av vårdgivaren själv eller om vårdgivaren planerar att bedriva studien på uppdrag av en sponsor.

Att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården bör uttryckligen omfattas av de tillåtna ändamålen

Patientdatalagens nuvarande ändamålsbestämmelser är relativt generellt utformade och utgör den yttersta ramen för en tillåten personuppgiftsbehandling. Inom ramen för detta måste vårdgivare sedan precisera ändamålen vid olika slags personuppgiftsbehandlingar.

Något ändamål som uttryckligen tar sikte på personuppgifts- behandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården finns inte i patientdatalagen. Närmast till hands torde vara att tillämpa bestämmelserna i 2 kap. 5 § PDL. Enligt dessa bestämmelser är det tillåtet att behandla person- uppgifter för sådant utlämnande som görs i enlighet med lag eller förordning. Vidare är det tillåtet att behandla personuppgifter för något annat ändamål än det för vilket personuppgifterna samlades in, så länge det nya ändamålet inte är oförenligt med det ursprungliga. Personuppgiftslagens finalitetsprincip gäller således vid behandling av personuppgifter enligt patientdatalagen. Av den ovan nämnda bestämmelsen framgår även, genom en hänvisning till personuppgifts- lagen, att en behandling för historiska, statistiska eller vetenskapliga ändamål aldrig ska anses som oförenliga med de ursprungliga ändamålen. När det gäller personuppgiftsbehandling för antals- beräkning finns även stora likheter med olika former av statistikframställning som vårdgivare utför.

Patientdatautredningen anförde i samband med utformningen av ändamålsbestämmelsen att personuppgiftsbehandlingen i hälso- och sjukvården är så komplex, omfattande och mångskiftande att det var nödvändigt att formulera ändamålsbestämmelserna tämligen generellt. En detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar ansågs inte vara möjligt och bedömdes även riskera att hämma utvecklingen av hälso- och sjukvårdens informationsförsörjning. Vidare uttalade patientdatautredningen att ändamålen i praktiken flyter in i varandra och att gränsdragningarna inte alltid är skarpa. En

162

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

och samma behandling av personuppgifter ansågs kunna ske för mer än ett ändamål.7

Utredningen delar patientdatautredningens uppfattning och anser att den personuppgiftsbehandling som görs i samband med pre- screening, så som det beskrivits ovan, är ett tydligt exempel på när en personuppgiftsbehandling kan anses ske för flera närliggande och sammanhängande ändamål. Ibland kan personuppgiftsbehandlingen anses ske uteslutande för vårdgivarens egna ändamål, d.v.s. för egeninitierade prövningar. Andra gånger har vårdgivaren i egenskap av prövare och t.ex. läkemedelsbolaget i egenskap av sponsor i det närmaste ett gemensamt ändamål med den behandling av person- uppgifter som antalsberäkningen och en eventuell identifiering av möjliga deltagare innebär.

Vidare kan den initiala personuppgiftsbehandlingen i vissa fall komma att resultera i att personuppgifter lämnas ut, t.ex. till en sponsor efter den enskildes samtycke. Andra gånger medför motsvarande personuppgiftsbehandling emellertid inget utlämnande, t.ex. när det är en vårdgivarinitierad studie. Vidare innebär person- uppgiftsbehandlingen rörande de personer som visserligen söks fram initialt men sedan bedöms sakna någon av förutsättningarna för medverkan i studien, att personuppgifter varken kommer att lämnas ut eller behandlas för ett kommande forskningsändamål. Detsamma gäller för personer som blir tillfrågade om medverkan i studien, men som väljer att avstå.

Sammantaget finner utredningen att den nuvarande ändamåls- bestämmelsen är svår att tillämpa på den personuppgiftsbehandling som här är aktuell. Vid en bedömning av den legala grunden för personuppgiftsbehandlingen framträder flera alternativa synsätt, där såväl finalitetsprincipen som personuppgiftsbehandling som ett led i ett lagligt utlämnande kan behöva analyseras. Att grunda en personuppgiftsbehandling på finalitetsprincipen innebär dessutom ett mått av osäkerhet. I dagsläget saknas vägledande avgöranden om hur finalitetsprincipen ska tillämpas vid vårdgivares behandling av personuppgifter i hälso- och sjukvården. Av den anledningen kan det finnas ett behov av praxis i denna fråga.

Sett mot bakgrund av vad som anförts bedömer utredningen att det finns övervägande skäl som talar för att det ur ett integritets- skyddsperspektiv tydligt bör framgå att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare i kliniska prövningar

7 SOU 2006:82 s. 178

163

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

och annan forskning inom hälso- och sjukvården ska omfattas av en egen, särskild, ändamålsbestämmelse. Vi bedömer inte att det är en helt tillfredsställande lösning att en sådan omfattande person- uppgiftsbehandling som det torde vara frågan om, inte minst för universitetssjukhusens del, ska baseras på bedömningar av finalitets- principens tillämpning eller tillämpning av bestämmelsen om utlämnande som tillåtet ändamål.

Samtidigt kan naturligtvis ifrågasättas om den aktuella person- uppgiftsbehandlingen bör vara något som ska anses ingå i vårdgivares primära ändamål. Här bör emellertid hälso- och sjukvårdens betydelse för den kliniska forskningen uppmärksammas. Kommuner och landsting har exempelvis genom 26 b § HSL en skyldighet att medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälso- vetenskapligt arbete. Vidare har staten och vissa landsting träffat så kallade ALF-avtal om samarbete kring och ersättning för utbildning och medicinsk forskning. Att forskningsverksamhet är nära förknippat med hälso- och sjukvårdsverksamheten och huvud- männens ansvar är oomtvistat. Ett sätt för hälso- och sjukvården att bidra och medverka till forskning på hälso- och sjukvårdsområdet är att kunna svara på vilket potentiellt forskningsunderlag som finns hos olika vårdgivare.

Utredningens bedömning är därför att den här aktuella person- uppgiftsbehandlingen är av sådan betydelse och karaktär att det får anses som en naturlig uppgift för hälso- och sjukvårdens aktörer. Det handlar i stor utsträckning om att behandla personuppgifter som ett led i ett (eventuellt) utlämnande av uppgifter för forskningsändamål. Om det i rättslig mening är att tala om en utlämnandesituation är beroende på om forskningen bedrivs av någon annan än vårdgivaren som forskningshuvudman eller om forskningen bedrivs av en, i förhållande till vårdgivarens hälso- och sjukvårdsverksamhet, själv- ständig verksamhetsgren. Relationen mellan en vårdgivares hälso- och sjukvårdsverksamhet och forskningsverksamhet kan bedömas olika i sekretesshänseende beroende på vilken typ av forskning som bedrivs. Hälso- och sjukvårdsverksamhet inklusive forskning som utförs som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom en offentlig vårdgivares verksamhet å andra sidan, har ansetts utgöra självständiga verksamhetsgrenar i

164

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

förhållande till varandra.8 I sådana fall rör det sig således om en utlämnandesituation.

Alldeles oavsett om en klinisk prövning är vårdgivarinitierad och utförs i samma sekretessområde som vårdgivarens hälso- och sjuk- vårdsverksamhet eller om prövningen bedrivs i ett annat sekretess- område anser utredningen att den personuppgiftsbehandling som det är fråga om här, d.v.s. att antalsberäkna och identifiera möjliga deltagare, ska omfattas av regleringen i hälso- och sjukvårdsdatalagen. Därmed uppställs en likhet mellan denna personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren utför som ett led i andra utlämnandesituationer. Personuppgiftsbehandling får redan idag utföras med stöd av 2 kap. 5 PDL för att lämna ut personuppgifter, oavsett om utlämnandet görs för syften i den utlämnande vårdgivarens verksamhet eller om det görs för mottagarens räkning. Mot bakgrund av den skyldighet som vårdgivare har, enligt hälso- och sjukvårdslagen, att medverka vid planering och genomförande av kliniskt forsknings- arbete kan även hävdas att pre-screening i allt väsentligt görs för vårdgivarens egna syften. Den personuppgiftsbehandling som aktualiseras därefter, t.ex. efter att en enskild samtyckt till att delta i studien, ska emellertid som idag primärt regleras av personuppgifts- lagen.

Sammanfattningsvis bedömer utredningen att personuppgifts- behandlingen ska regleras av hälso- och sjukvårdsdatalagen.

Särskilda villkor för att personuppgiftsbehandlingen ska vara tillåten

Utredningen anser att den här aktuella personuppgiftsbehandlingen egentligen är en behandling av personuppgifter för två olika ändamål, där det ena ändamålet är att antalsberäkna det potentiella deltagar- underlaget och det andra ändamålet är att identifiera vilka enskilda individer som motsvarar de kriterier som är uppställda för studien och som kan erbjudas deltagande. Vi bedömer även att personuppgifts- behandlingen för de båda ändamålen skiljer sig åt ur ett integritets- perspektiv. I antalsberäkningen torde det egentligen vara ointressant vem den enskilde individen är. Med hänsyn till ändamålet med antalsberäkningen, som kan betraktas som en sammanställning, bedömer vi även att det saknas anledning att exponera några direkt utpekande personuppgifter. Av den information som utredningen tagit del av är det dessutom möjligt att utforma it-stöden på ett sådant

8 Jfr prop. 1979/80:2 Del A s. 463 f och 494

165

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

sätt att det är möjligt att beräkna det potentiella deltagarantalet utan att de enskilda deltagarnas identitet framgår. Mot den bakgrunden föreslår utredningen att personuppgiftsbehandling för att antals- beräkna det potentiella deltagarantalet för forskning inom hälso- och sjukvården ska anges som ett tillåtet ändamål i hälso- och sjukvårds- datalagen.

Personuppgiftsbehandling som utförs för att identifiera enskilda individer som kan erbjudas medverkan i en forskningsstudie väcker dock enligt utredningens bedömning andra frågor. Här är det fråga om en mer ingående personuppgiftsbehandling där direkt utpekande uppgifter behöver användas på ett helt annat sätt än vad som gäller vid antalsberäkningen. Vi anser därför att den personuppgifts- behandlingen, för att den ska vara tillåten, måste förenas med vissa integritetsskyddande villkor.

För det första föreslår vi att det ska krävas att den aktuella studien har godkänts av den regionala eller centrala etikprövnings- nämnden. Att identifiera möjliga deltagare till studier som inte har varit föremål för etikprövningsnämndens ställningstagande och där godkänts, ska därmed inte vara tillåtet. Vi bedömer att det är påkallat med hänsyn till behovet av skydd för patienternas personliga integritet och att det ska gälla alldeles oavsett om det rör sig om en vårdgivarinitierad studie eller om en klinisk läkemedels- prövning där läkemedelsbolaget är sponsor. För att tydliggöra kravet på etikprövning bör det särskilt uttryckas i hälso- och sjukvårdsdatalagen.

Vidare anser vi att vårdgivare behöver ta fram rutiner och riktlinjer för hur personuppgiftsbehandlingen, både vid antals- beräkningen och vid identifieringen, ska gå till. Även om det enligt de grundläggande kraven i personuppgiftslagen och vad som i övrigt följer av bestämmelser om inre sekretess m.m. får anses otillåtet för hälso- och sjukvårdspersonal att på eget initiativ behandla personuppgifter för att antalsberäkna och/eller identifiera möjliga deltagare i forskningsstudier, anser vi att detta bör förtydligas genom riktlinjer från vårdgivarens sida. Vi föreslår därför att det i paragrafen uppställs ett krav på vårdgivare att ta fram riktlinjer för hur personuppgiftsbehandlingen för de här aktuella ändamålen ska utföras för att skydda de registrerades personliga integritet. Personuppgiftsbehandlingen för att antals- beräkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården får således endast göras under förutsättning att riktlinjer har tagits fram och implementerats i verksamheten. Det

166

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

följer redan av hälso- och sjukvårdsdatalagens övergripande krav på vårdgivaren att utforma informationshanteringen och person- uppgiftsbehandlingen med utgångspunkt bl.a. i behovet av skydd för den personliga integriteten att vårdgivaren måste ha riktlinjer och instruktioner till personalen. Detta förslag innebär en särskild påminnelse om detta ansvar för den aktuella personuppgifts- behandlingen.

Generellt bedömer vi att det endast bör vara fråga om ett fåtal personer i en vårdgivares verksamhet som bör ha i uppdrag att utföra den aktuella personuppgiftsbehandlingen. Det kan exempelvis inte anses tillåtet för t.ex. den enskilde läkare som överväger att initiera eller föreslå en forskningsstudie att själv och på eget bevåg ta del av personuppgifter i journalsystemet för att bilda sig en uppfattning om hur en studie skulle kunna designas eller hur många eller vilka patienter som skulle kunna erbjudas deltagande. Av hänsyn till behovet av skydd för patienternas personliga integritet bör vårdgivare därför ta fram närmare riktlinjer om vad som ska gälla. Det är inte möjligt för utredningen att reglera i detalj vad sådana riktlinjer ska innehålla, men vi anser att riktlinjerna åtminstone kan behöva uttrycka följande.

Att personuppgiftsbehandling för att identifiera möjliga deltagare endast får ske om forskningsstudien har godkänts av etikprövningsnämnden.

Vem eller vilka som har kompetens för arbetsuppgiften och bör kunna utföra den aktuella personuppgiftsbehandlingen.

Hur uppdraget till personer som får utföra personuppgifts- behandlingen ska utformas.

Hur åtkomst till uppgifter vid personuppgiftsbehandlingen ska loggas och i efterhand följas upp.

Om någon form av internt ansöknings- eller anmälnings- förfarande ska vara påkallat, t.ex. för att godkänna och registrera att det i enskilda fall är tillåtet att behandla personuppgifter för att identifiera möjliga deltagare.

167

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Information till patienter

För att patienter ska ha kännedom och kunna ha en överblick över de ändamål för vilka personuppgifter behandlas i hälso- och sjukvården är information en grundläggande förutsättning. Utredningen vill därför som en generell rekommendation uppmana vårdgivare att, för det fall det inte redan görs, i sina allmänna informationsinsatser riktade mot patienter inkludera information om vårdgivarens roll i samband med forskning inom hälso- och sjukvården. Sådan information kan lämpligen ges tillsammans med övrig information om personuppgifts- behandlingen som vårdgivaren ska tillhandahålla patienter enligt den grundläggande bestämmelsen om informationsskyldighet i nuvarande 8 kap. 6 § PDL.

Att vända sig till patienter med erbjudande om deltagande i en forskningsstudie

Även om det kan sägas ligga utanför utredningens uppdrag vill vi även sätta ljuset på den, enligt vår mening, viktiga frågan om hur vårdgivaren på lämpligt sätt ska närma sig patienter med erbjudande om deltagande i kliniska prövningar och annan forskning på hälso- och sjukvårdens område. Enligt vår bedömning ställer detta moment stora krav på etiska överväganden, bland annat relaterat till individers personliga integritet, och varsamt tillvägagångssätt. För vårdgivarens del handlar det således inte enbart om att behandla personuppgifter och att ha rutiner för det, utan även om hur mötet med patienten arrangeras på ett sätt som värnar patientens behov av integritetsskydd och upprätthåller förtroendet för hälso- och sjukvården.

Nationella och regionala kvalitetsregister

Nationella kvalitetsregister är en naturlig kunskapskälla för forskning och av nuvarande bestämmelser i 7 kap. 5 § PDL framgår att uppgifter som behandlas i ett nationellt kvalitetsregister även får behandlas bland annat för forskning inom hälso- och sjukvården och för att framställa statistik. Vidare framgår av samma paragraf att det är tillåtet att lämna ut uppgifter till den som ska använda uppgifterna för sådan forskning.

168

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Till skillnad från en vårdgivares journalsystem, som innehåller vitt skilda uppgifter om en stor mängd olika patienter, är nationella kvalitetsregister koncentrerade i förhållande till ändamålet med registret. Ett kvalitetsregister innehåller därmed endast de person- uppgifter som har bedömts behövas för registrets specifika ändamål. På motsvarande sätt som en forskningsstudie har kvalitetsregister därmed även vissa inklusionskriterier. Kännedom om vilka variabler som registreras i ett nationellt kvalitetsregister och hur stor täckningsgraden är kan därmed i sig utgöra tillräcklig information för en forskare som står i begrepp att initiera en forskningsstudie. I ett sådant fall ger således den allmänna informationen om kvalitets- registret tillräckligt underlag för att beräkna det möjliga forsknings- underlaget.

Ibland kan uppgifter emellertid behöva utsökas på en mer detaljerad nivå än så, beroende på den aktuella studiens inriktning. Precis som vid den statistikframställning som får göras i nationella kvalitetsregister kan en personuppgiftsbehandling för forsknings- ändamål eller för ändamålet utlämnande därför ofta innebära att ett visst urval ur den totala mängden personuppgifter görs. Det är inte alltid så att samtliga personuppgifter i kvalitetsregistret eller personuppgifter rörande samtliga patienter är relevanta för dessa ändamål. På motsvarande sätt som beskrivits i det föregående vad gäller pre-screening i t.ex. vårdgivarnas journalsystem, kan person- uppgifter i nationella kvalitetsregister också behöva behandlas för att antalsberäkna eller identifiera möjliga deltagare i forsknings- studier.

Enligt utredningens erfarenhet görs sådan personuppgifts- behandling idag, t.ex. sådan behandling som innebär att den myndighet som ansvarar för ett nationellt kvalitetsregister kan svara på hur ett möjligt forskningsunderlag ser ut. Jämfört med motsvarande personuppgiftsbehandling i ett journalsystem torde personuppgiftsbehandlingen i ett nationellt kvalitetsregister, bl.a. beroende på registrets begränsade informationsmängder och strukturerade dokumentation, snabbare kunna ge svar på hur stort det potentiella forskningsunderlaget är. Myndigheten som har det centrala ansvaret för ett kvalitetsregister behöver även utföra sådan personuppgiftsbehandling för att kunna ta ställning till och eventuellt administrera begäran om utlämnande av uppgifter till den som ska utföra en forskningsstudie. Att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier är därmed en nödvändig del av myndighetens arbete.

169

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Utredningen bedömer att det redan av nuvarande regelverk med tillräcklig tydlighet följer att personuppgiftsbehandling för att antalsberäkna och/eller identifiera personer för forskning inom hälso- och sjukvården, är tillåtet i nationella och regionala kvalitetsregister. Detta eftersom det i regelverket för nationella kvalitetsregister uttryckligen framgår att personuppgifter som behandlas för kvalitets- säkring även får behandlas för forskning inom hälso- och sjukvården och för utlämnande till någon som ska bedriva sådan forskning. Något förtydligande härom i hälso- och sjukvårdsdatalagen anser vi därför inte behövs.

170

9Säker och ändamålsenlig hantering av personuppgifter

9.1Bakgrund

Dokumentationen i hälso- och sjukvården är utan tvekan av mer integritetskänslig karaktär än vad information i många andra sammanhang är. Det handlar i princip uteslutande om uppgifter om människors hälsa och livssituation. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i hälso- och sjukvården hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för hälso- och sjukvårdens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt i hälso- och sjukvården, så att enskilda patienter får en god och säker vård och så att kvaliteten och säkerheten i verksamheten fortlöpande kan utvecklas. Dokumen- terade personuppgifter behöver därför sammantaget hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för patienterna.

Grundläggande förutsättningar för en ändamålsenlig informa- tionshantering är bland annat att uppgifter finns tillgängliga när de behövs i och för vården av en patient. En annan förutsättning är att de uppgifter som dokumenteras om patienter förvaras och hanteras på ett sådant sätt att obehöriga inte kan komma åt dem, att uppgifter inte sprids utanför verksamheten, att de informations- system som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras.

Det är vårdgivaren som har det yttersta ansvaret för informa- tionssäkerheten i verksamheten. Det ansvaret är i dag främst

171

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

reglerat i patientdatalagen (2008:355), förkortad PDL, och i Social- styrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Vårdgivarens över- gripande ansvar för kvaliteten i vården regleras i hälso- och sjuk- vårdslagen (1982:763), förkortad HSL, patientsäkerhetslagen (2010:659), förkortad PSL, och Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.

Utredningens utgångspunkt är att en lagstiftning om person- uppgiftsbehandling i hälso- och sjukvården så långt möjligt bör ge ett samlat uttryck för de ändamål som ligger bakom ovan nämnda författningar.

9.2Våra överväganden och förslag

Vår bedömning: Hälso- och sjukvårdsdatalagen bör innehålla ett kapitel om en säker och ändamålsenlig hantering av person- uppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i hälso- och sjukvården ska kunna utföras på ett sätt som tillgodoser enskildas behov av god och säker vård m.m.

Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom hälso- och sjukvården. Det är även viktigt att det inom en vårdgivares verksamhet finns ett integritetsskydd avseende hanteringen av uppgifter om patienter, dvs. som har med den så kallade inre sekretessen att göra. Utredningen bedömer att de nuvarande bestämmelserna om inre sekretess m.m. bör föras över till den nya lagen endast med några mindre förändringar. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom hälso- och sjukvården.

Vårdgivaren har, som ovan nämnts, det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäker- heten handlar i detta avseende även om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt

172

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser patienternas behov av integritetsskydd. Tillgång till personuppgifter i hälso- och sjukvården vid rätt tillfälle är en förutsättning för att enskilda patienter ska få en god och säker vård. Mot den bakgrunden anser vi att hälso- och sjukvårds- datalagen även ska uttrycka vårdgivarens övergripande skyldighet att ta ansvar för att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och för patienterna, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i hälso- och sjuk- vården.

Vi anser att bestämmelser som reglerar det övergripande ansvaret för en säker och ändamålsenligt hantering av person- uppgifter i hälso- och sjukvården bör samlas i ett särskilt kapitel i lagen. Syftet med att välja ut några särskilt viktiga bestämmelser i detta avseende och lyfta dessa i ett eget avsnitt är att betona vårdgivarens och yrkesutövarnas ansvar för att uppfylla lagens syfte. Kapitlet bör omfatta några nya bestämmelser och några bestämmelser som överförs något omformulerade från patient- datalagen.

9.2.1Ansvar för den som arbetar hos en vårdgivare – inre sekretess

Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen om inre sekretess ska överföras, med mindre justeringar, till hälso- och sjukvårdsdatalagen. I lagen ska anges att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de i lagen tillåtna ändamålen för behandling av personuppgifter.

173

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Det personliga yrkesansvaret och tystnadsplikten

Utöver vårdgivarens yttersta ansvar för informationshanteringen har hälso- och sjukvårdspersonalen ett personligt yrkesansvar som innefattar ett ansvar för hantering av personuppgifterna. I det personliga yrkesansvaret ingår att utföra arbetet i enlighet med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten och patienten ska visas omtanke och respekt (6 kap. 1 § PSL).

En grundläggande princip som gäller för hälso- och sjukvårds- personalen är principen om tystnadsplikt. Den är juridiskt reglerad genom bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, patientsäkerhetslagen och genom bestämmelser om inre sekretess. Utöver dessa tvingande regler är principen om tystnadsplikt inom hälso- och sjukvården även en grundläggande etisk princip som fanns uttryckt redan i den Hippokratiska eden.

Vad jag under min yrkesutövning än hör och ser bland människor av den beskaffenhet att det måhända icke bör spridas, ska jag förtiga och betrakta som osagt.

Tystnadsplikten finns också uttryckt i de yrkesetiska regler som yrkesutövare inom hälso- och sjukvården förbinder sig till. Läkarförbundet anför om sina yrkesetiska regler att den som valt att bli läkare har åtagit sig en svår och ansvarsfull uppgift, som kräver goda kunskaper och vilja att följa de etiska krav som läkaren genom årtusenden erkänt vara normgivande. I de etiska reglerna stadgas angående tystnadsplikten att läkaren ska iakttaga tystlåtenhet om all information rörande enskild patient, såvida det inte äventyrar patientens väl.1 Den etiska koden för sjuksköterskor har motsva- rande formuleringar. Det är nödvändigt med en förtroendefull relation mellan en patient och en yrkesutövare inom hälso- och sjukvården för att en god och säker vård ska kunna erbjudas.

Tystnadsplikten innebär ett förbud mot att röja uppgift, vare sig det görs muntligen, skriftligen eller på annat sätt. Inom vården handlar det inte enbart om dokumenterade uppgifter, utan även om alla andra typer av uppgifter som är av personlig art.

1 http://www.slf.se/Etikochansvar/Etik/Lakarforbundets-etiska-regler/

174

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Inre sekretess

Reglerna om inre sekretess avser att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt inom ett sekretess- område. Även om uppgifterna finns tillgängliga inom ett sekretessområde så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är i dag reglerad i patient- datalagen. Ett ytterligare skydd för uppgifter inom ett sekretess- område är patientens möjlighet att spärra uppgifterna för åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess. Dessa viktiga bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säkerställer ett grund- läggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjukvården.

Lagens kapitel om säker och ändamålsenlig hantering av person- uppgifter bör enligt vår bedömning inledas med en bestämmelse som riktar sig till den som arbetar hos en vårdgivare och som reglerar ansvaret för den inre sekretessen. Bestämmelsen är inte ny utan är en omformulering av den bestämmelse om inre sekretess som gäller i dag. Denna bestämmelse är förmodligen den som ställt till med mest tillämpningsproblem i gällande patientdatalag. Vi har därför velat förtydliga den och sätta den i ett sammanhang som generellt handlar om ansvar för en säker hantering av uppgifter i vården.

Enligt vårt förslag får den som arbetar hos en vårdgivare endast ta del av dokumenterade uppgifter om en patient om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de ändamål som är tillåtna enligt lagen. Vi anser således att man kan ta bort det första ledet ”om han eller hon deltar i vården av patienten” som finns i dagens bestämmelse och gå direkt på kravet att uppgifterna ska behövas i arbetet i hälso- och sjukvården. Den som deltar i vården av en patient behöver ju uppgifterna för sitt arbete inom hälso- och sjukvården. Vi anser därför att det räcker med att koppla kravet till behovet av uppgifterna i arbetet. Vi hoppas att det ska leda till mindre missförstånd eftersom många läsare stannar vid första ledet ”deltar i vården” och därför tolkar bestämmelsen mer restriktivt än nödvändigt.

175

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

För att göra bestämmelsen mer komplett bör de enligt vår bedömning hänvisa till den grundläggande ändamålsbestämmelsen i hälso- och sjukvårdsdatalagen. Ändamålsbestämmelsen beskriver för vilka syften det är tillåtet att behandla personuppgifter i hälso- och sjukvården. För att den som arbetar åt vårdgivaren ska få behandla personuppgifter måste uppgifterna behövas i arbetet hos vårdgivaren för ett av de tillåtna ändamålen. Detta gäller visserligen redan i dag, men vi gör bedömningen att det kan underlätta tillämpningen om hänvisningen till vilka ändamål som är tillåtna finns uttryckligt med i bestämmelsen. Eftersom vi även tydliggjort själva ändamåls- bestämmelsen på ett sådant sätt att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienten bedömer vi att vägledningen för yrkesutövarna nu blir bättre än tidigare.

Genom hänvisningen till ändamålsbestämmelsen blir det därför tydligt att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient om det behövs exempelvis för

patientens vård och behandling,

att föra journal,

att upprätta administration som rör patientens vård,

planering, uppföljning, utvärdering och tillsyn av verksamheten,

att framställa statistik om hälso- och sjukvården, eller

att kunna administrera utlämnanden av patientuppgifter.

Ett annat exempel på ett tillåtet ändamål för behandling av person- uppgifter är att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten”. Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv när det gäller att utveckla verksamhetens kvalitet. Den som arbetar hos en vårdgivare kan därmed, med stöd av vårdgivarens uppdrag, ta del av uppgifter om en patient för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m.2

Situationen då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten liknar den då yrkesutövaren ska ta ställning till om han eller hon har rätt att ta del av uppgifter som har gjorts tillgängliga genom

2 Läs mer om att använda personuppgifter för att utveckla kvaliteten i verksamheten i vår delredovisning enligt direktiv 2013:43, bilaga 4

176

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

direktåtkomst av en annan vårdgivare. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete åt vårdgivaren. Den grundförutsättningen gäller både vid samman- hållen journalföring och när man tar del av uppgifter i den egna verksamheten. Den föreslagna bestämmelsen om inre sekretess ska tillämpas oavsett om uppgifterna finns inom verksamheten eller har gjorts tillgängliga av en annan vårdgivare. I sammanhanget ska dock förtydligas att de tillåtna ändamålen för åtkomst till uppgifter hos andra vårdgivare i system för sammanhållen journalföring är begränsade.

Det ligger ett ansvar på vårdgivare att utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamåls- enlig hantering som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.3

9.2.2Ansvar för att uppgifter är tillgängliga när de behövs

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård- givaren ska se till att dokumenterade personuppgifter är till- gängliga för den som arbetar hos en vårdgivare när uppgifterna behövs i och för vården av en patient.

Vårdgivaren är ytterst ansvarig för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete inom hälso- och sjukvården och så att de skyddas från obehöriga. Även om det inte föreligger någon tveksamhet om vårdgivarens ansvar kan det var ett bra stöd vid tillämpningen av lagen att också konkret uttrycka vad detta ansvar innefattar. Själva syftet med att föra patientjournal går förlorad om uppgifterna inte finns tillgängliga där de behövs. Därför måste vårdgivaren vara medveten om detta ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot

3 SOU 2008:82 s. 365

177

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.

Att ha tillgång till korrekta och relevanta uppgifter om en patient är en förutsättning för att hälso- och sjukvårdspersonalen ska kunna leva upp till kraven på god och säker vård. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.

9.2.3Ansvar för att skydda uppgifterna vid överföring via internet m.m.

Vårt förslag: I hälso- och sjukvårdsdatalagen ska tas in bestäm- melser om att vårdgivare ska se till att dokumenterade person- uppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt hälso- och sjuk- vårdsdatalagen, ska vårdgivaren se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.

Bestämmelsen i 4 kap. 6 § PDL om landstingets ansvar för att skydda patientens identitet i vissa fall ska överföras till den nya lagen.

Kravet att vårdgivaren ska se till att obehöriga inte kan ta del av dokumenterade personuppgifter är en omformulering av sista stycket i nu gällande syftesbestämmelse i 1 kap. 2 § PDL. Vi anser att denna bestämmelse istället ska utformas som en materiell bestämmelse om ansvar för vårdgivaren. Vårdgivaren som har det yttersta ansvaret för att verksamheten bedrivs säkert ur alla aspekter ansvarar också för att se till att dokumenterade person- uppgifter hanteras och förvaras så att obehöriga inte kan ta del av dem. Detta gäller redan i dag men är inte lika tydligt reglerat på den övergripande nivån.

Ansvaret innebär bl.a. att vårdgivaren måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten.

178

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Överföring av personuppgifter över internet eller andra jämförliga nät

I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika delar av en vård- givares verksamhet och om sådan överföring som görs till mot- tagare utanför den egna vårdgivarens organisation. Som exempel på det senare kan nämnas sådant informationsutbyte som görs med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.

Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jäm- förliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns emellertid ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.4

Avgörande för frågan om ett intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan sägas karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.

Det är enligt vår bedömning inte möjligt att hälso- och sjuk- vårdsdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämpningen kan hämtas ur Datainspektionens uttalande ovan. Vårdgivare i hälso- och sjukvården behöver därför göra en bedöm- ning av om de nät, utöver internet, som används för överföring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.

4 Datainspektionen, dnr. 1409-2012

179

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen (1998:204), förkortad PUL, gäller särskilda begränsningar för behandling av s.k. känsliga person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana person- uppgifter överförs via internet eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.

Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöver- trädelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om upp- gifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden.

Mot bakgrund av ovanstående kan konstateras att uppgifter inom hälso- och sjukvården i det närmaste uteslutande är att betrakta som känsliga enligt 13 § PUL, eftersom uppgifterna rör enskildas hälsa. Uppgifterna ska därmed skyddas på ett särskilt sätt vid överföring över t.ex. internet.

När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.

180

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

För hälso- och sjukvårdens del uttrycks detta, i princip, genom bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att över- föringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patient- uppgifter föregås av stark autentisering.

Några bestämmelser härom finns emellertid inte i patient- datalagen. Utredningen bedömer att detta är en inte helt tillfreds- ställande lösning med avseende på den omfattande behandling av känsliga personuppgifter som görs inom hälso- och sjukvården. Vidare är utredningens utgångspunkt att hälso- och sjukvårds- datalagen ska vara så uttömmande som möjligt ifråga om de integritetsskyddsbestämmelser som det bedöms finnas särskilt behov av för hälso- och sjukvårdens del. Därför anser vi att det i den föreslagna lagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.

Sammantaget föreslår utredningen således att det i hälso- och sjukvårdsdatalagen ska tas in en bestämmelse som tydliggör kraven på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om vårdgivare använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste över- föras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.

9.2.4Ansvar för informationssystemens utformning

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård- givare ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer det kliniska arbetet, underlättar arbetet med kvalitetsutveckling, underlättar sam- verkan och utbyte av uppgifter samt är utformade på sådant sätt att patienternas integritetsskydd tillgodoses.

181

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Vårdgivaren har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Av hälso- och sjukvårdslagen följer att hälso- och sjukvården ska vara av god kvalitet och att det ska finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges. Vidare är vårdgivaren skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.

Svensk sjukvård har sedan länge en hög datoriseringsgrad. Till exempel har i princip alla landsting it-stöd för all vårddokumen- tation. Trots detta anser professionernas företrädare att huvud- delen av systemen inte ger det stöd i arbetet som behövs för att bedriva en effektiv och säker verksamhet.5 Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t ex att underlätta att göra rätt och förhindra att göra fel både i systemet och vid utförandet av vårdinsatserna. Ett användarvänligt informa- tionssystem kan öka vård- och omsorgskvaliteten för vårdtagare och personal samt minska kostnaderna för vårdgivaren.

Vi föreslår en bestämmelse som konkretiserar några av de grund- läggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas i och för vården av en patient. Vårdgivaren är ytterst ansvarig för att en god och säker vård ges och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att kravställa och upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.

Vi föreslår att bestämmelsen ställer ett uttryckligt krav på vård- givaren att se till att de informationssystem som innehåller person- uppgifter är lätta att använda och stödjer det kliniska arbetet. Detta krav finns även uttryckt som ett av målen för Nationell eHälsa6:

5Störande eller stödjande? Om eHälsosystemens användbarhet 2013

6Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg

182

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Vård- och omsorgspersonal ska ha tillgång till välfungerande och samverkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nöd- vändig och strukturerad information ska finnas tillgänglig som under- lag för beslut om insatser och behandlingar.

Vi föreslår också att bestämmelsen ska omfatta krav på vårdgivaren att se till att informationssystemen underlättar kvalitetsarbetet. Vårdgivare fullgör sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av personuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. Informationssystemen måste vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verk- samheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritetsskydd tas tillvara vid kvalitetsarbetet. Bland annat måste vårdgivare verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler person- uppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.

Vi föreslår även att vårdgivarens ansvar för att systemen ska möjliggöra samverkan med andra enheter, verksamheter och vårdgivare och utbyte av uppgifter uttrycks i bestämmelsen. För att lyckas med detta måste vårdgivaren arbeta med informations- systemens struktur och innehåll. Vårdgivaren kan i detta arbete exempelvis få stöd av Socialstyrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.

Vidare innebär det övergripande ansvaret för de informations- system som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritets- skyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för

183

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

vårdgivaren för flera aspekter av informationssäkerhet vid hante- ringen av personuppgifter i hälso- och sjukvården. Det är alltså ett ansvar för att lagens intentioner kan genomföras.

9.2.5Ansvar för behörighetstilldelning

Vårt förslag: Den nuvarande paragrafen om tilldelning av behörighet för elektronisk åtkomst ska föras över från patient- datalagen något förändrad. Vi föreslår att ordet anpassas införs i paragrafen. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar hos en vårdgivare ska kunna fullgöra sina arbetsuppgifter. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter.

Inledning

Regler om behörighetsstyrning är enligt utredningens bedömning alldeles nödvändiga för att tillgodose enskildas behov av integritets- skydd inom hälso- och sjukvården. Bestämmelser om behörighets- styrning syftar till att upprätthålla integritetsskyddet och allmänhetens förtroende för hälso- och sjukvårdens informationshantering, men även till att främja en mer ändamålsenlig informationshantering sett ur ett patientsäkerhets- och effektivitetsperspektiv. Förutom att skydda den personliga integriteten kan en bra behörighetsstyrning medföra att hälso- och sjukvårdspersonalens åtkomst till uppgifter blir mer anpassade efter de enskilda användarnas behov. Genom en effektiv behörighetsstyrning kan exempelvis journalsystemens gränssnitt utformas så att de i större utsträckning än tidigare anpassas efter enskilda användares behov av uppgifter för att kunna utföra sitt arbete. I stället för att användaren ska exponeras för sådana uppgifter som är oväsentliga i sammanhanget eller behöva leta efter de relevanta uppgifterna kan behörighetsstyrningen bidra till att användaren snabbare får tillgång till just den information som behövs. En välutvecklad behörighetsstyrning kan därför ha positiva effekter inte bara på integritetsskyddet och på patientsäkerheten och effektiviteten i hälso- och sjukvården, utan även på informationssystemens användbarhet.

184

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Utredningen föreslår att de nuvarande bestämmelserna i 4 kap. 2 § PDL om vårdgivarens ansvar för tilldelning av behörighet för åtkomst förs över från patientdatalagen. Även fortsättningsvis ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter. Utredningen delar även regeringens bedömning att utgångspunkten ska vara att behörig- heten begränsas till vad enskilda yrkesutövare behöver för att kunna utföra sitt arbete. 7 Mot bakgrund av vad vi anför ovan anser vi samtidigt att bestämmelsen, bland annat för att tydliggöra behörighetsstyrningens koppling till patientsäkerhet, effektivitet och användbarhet, kan behöva justeras något. I sak avser vi inte att förändra innebörden av bestämmelsen. Vi vill däremot tydliggöra att behörighetsstyrningen inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar informations- tillgången efter användarens behov.

Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Vi anser att det kan ha ett positivt signalvärde att konkret uttrycka att utformningen av behörigheten för åtkomst inte enbart avser att skydda den registrerades integritet utan också – i linje med lagens syfte – ska säkerställa yrkesutövarens tillgång till de uppgifter som behövs för att kunna erbjuda patienten en god och säker vård.

En väl fungerande behörighetsstyrning kan även bidra till att öka kvaliteten, säkerheten och effektiviteten i vården. Med en mer strukturerad vårddokumentation och en väl fungerande behörig- hetsstyrning ökar förutsättningarna för att anpassa gränssnitten för personalens tillgång till uppgifter i ett journalsystem efter varje användares behov. Vid våra kontakter med hälso- och sjukvårds- personal framkommer ofta kritik mot journalsystemens utform- ning och bristande anpassning efter olika yrkesutövares behov. Inte sällan påtalas att yrkesutövare behöver sålla bland ostrukturerad och för dem i situationen irrelevant information. För att kunna skräddarsy användargränssnitten behöver sannolikt ett omfattande arbete göras med att strukturera och klassificera informationen i hälso- och sjukvården. I ett sådant arbete bör organisatoriska och tekniska åtgärder för en mer ändamålsenlig behörighetsstyrning ha en naturlig plats.

7 Prop. 2007/08:126 s. 148 f. och 239 f.

185

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Närmare om behörighet och behörighetsstyrning

Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i journalsystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.

Den som arbetar hos en vårdgivare ska tilldelas en individuell behörighet för åtkomst till uppgifter om patienter. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall därmed inte vara elektroniskt tillgängliga för den anställde. Behörigheten handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Bestämmelser om behörighetsstyrning kompletterar därför bestämmelsen om inre sekretess som nämnts ovan.

I verksamheter som hanterar en stor mängd mycket integritets- känsliga uppgifter, som hälso- och sjukvården, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörig- hetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten att komma så nära som möjligt. En del av utmaningen ligger i att det i vissa verksamheter är svårt att förutse vilka individer som en användare kommer att möta i sitt yrke. I vissa delar av hälso- och sjukvården är den osäkerheten ett naturligt inslag som måste vägas in i styrningen av behörigheterna. Det är viktigt att behörigheten inte blir för snäv utan att den är anpassad till de tänkbara behov som finns, så att inte kvaliteten och säkerheten i vården av patienterna riskeras. Dessa svårigheter utgör dock inget skäl för att låta bli att göra de begränsningar av behörigheterna som är motiverade. Sådana uppgifter som en användare inte alls har något behov av ska inte heller vara tekniskt åtkomliga för användaren, dvs. inte ligga inom användarens behörighet.

Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra,

186

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. En sådan situation ställer även stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.

9.2.6Ansvar för kontroll av elektronisk åtkomst

Vårt förslag: Bestämmelserna om åtkomstkontroll i 4 kap. 3 § patientdatalagen ska föras över oförändrade till hälso- och sjukvårdsdatalagen.

En vårdgivare ska enligt nuvarande bestämmelser i 4 kap. 3 § patientdatalagen se till att åtkomst till uppgifter om patienter dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter görs. Vidare har regeringen eller den myndighet som regeringen bestämmer en möjlighet att meddela föreskrifter om dokumentation av åtkomst och åtkomstkontroll. Sådana närmare bestämmelser finns i dag i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informations- hantering och journalföring i hälso- och sjukvården.

Utredningen föreslår att paragrafen om åtkomstkontroll förs över oförändrad till hälso- och sjukvårdsdatalagen. Paragrafen behandlades av regeringen i prop. 2007/08:126 s. 149 f. och 240 f.

Dokumentation av åtkomsten (behandlingshistorik)

En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorik som behövs för att

187

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.

Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt det gjordes. Utredningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll, precis som i dag, med fördel meddelas på myndighetsnivå och det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.

Åtkomstkontroll

Paragrafen innebär att vårdgivare, precis som i dag, ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om patienter. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande.

För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Av checklistan framgår bland annat följande.8

Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.

Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.

8 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning

188

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Bestäm urval och omfattning och utforma en verkningsfull rutin.

Följ rutinen och dokumentera resultatet av granskningen.

Utvärdera och utveckla rutinen.

I checklistan förmedlar Datainspektionen även det viktiga bud- skapet att det inte endast är antalet loggkontroller som avgör hur verkningsfullt arbetet med åtkomstkontroll är. I linje med Data- inspektionens uttalande nedan anser utredningen att vårdgivare behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verknings- full för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomstkontrollen.

Bestäm med vilken omfattning (antal och tidsintervall) loggupp- följningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.

Utöver ovanstående bedömer utredningen att en patients tillgång till loggar, t.ex. via internet, om den åtkomst till uppgifter om patienten själv som har förekommit, kan vara ett komplement till vårdgivarens arbete med åtkomstkontroller. Sådan tillgång för patienten förändrar dock inte det rättsliga ansvar för åtkomst- kontrollen som följer av utredningens förslag.

9.2.7Tillsyn över en säker och ändamålsenlig hantering av personuppgifter

Hantering av information är en förutsättning för den faktiska verksamheten i hälso- och sjukvården. Informationen som gene- reras i verksamheten används för att skapa bästa möjliga resultat för patienten och måste samtidigt hanteras så att den personliga integriteten skyddas så långt det är möjligt.

Det är Inspektionen för vård och omsorg (IVO) och Data- inspektionen som har tillsynen över hur vårdgivaren uppfyller sitt ansvar för informationshanteringen i verksamheten.

189

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Datainspektionen ska genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Det innebär exempelvis att Datainspektionen kan kontrollera att vårdgivaren vidtar tillräckliga säkerhetsåtgärder för att skydda personuppgifterna, till exempel att vårdgivaren har rutiner för behörighetsstyrning och åtkomst- kontroll. Tillsynsmyndighetens tillsynsansvar omfattar även behandling av personuppgifter inom socialtjänsten.

Som har redovisats i tidigare avsnitt har Datainspektionen varit aktiv i sin tillsyn över personuppgiftsbehandlingen inom hälso- och sjukvården. Tillsynen har satt ljuset på en bristande efterlevnad av flera av de bestämmelser som särskilt syftar till att värna den personliga integriteten.

IVO har tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. För att en säker verksamhet ska kunna bedrivas måste personuppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården förut- sätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och individen. På det sättet ingår integritetsskyddet även i IVO:s tillsynsansvar.

I takt med att hälso- och sjukvården utvecklas och nya sätt att hantera information implementeras i vården måste, enligt utredningens mening, även tillsynen utvecklas. Det är liksom förut nödvändigt att en myndighet som IVO utövar tillsyn över att patientjournaler förs och att dokumentationen innehåller rätt uppgifter. Men ett journalsystem är inte bara bärare av information, det är också ett nödvändigt arbetsverktyg för yrkesutövare i den patientnära hälso- och sjukvårdsverksamheten. Detta verktyg måste kunna användas på ett säkert sätt. Det kräver såväl rätt kompetens hos användaren som rätt utformning av informations- systemet.

Informationssystem kan, om de inte är ändamålsenligt utformade, i sig innebära risker i vården. Det finns enligt utredningens bedömning anledning för vårdgivare att arbeta mer aktivt med kravställning och utveckling av de informationssystem som används i vården. Hur ska systemen vara utformade för att

190

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

vara användbara? Hur ska de vara utformade för att underlätta och stödja det patientnära arbetet? Hur ska de vara utformade för att säkerställa att viktig information inte missas i samband med ställ- ningstaganden kring patienternas behandling? Hur ser ett ändamålsenligt användargränssnitt ut i olika delar av hälso- och sjukvården? Har verksamheten ändamålsenliga rutiner för in- och utloggning m.m.?

Dessa verksamhetsnära frågor, som har betydelse för hur verk- samheten kan bedrivas på ett säkert och effektivt sätt ingår därför också i tillsynsmyndigheternas uppdrag. De informationssäkerhets- aspekter som aktualiseras i dessa frågeställningar har betydelse för patientens säkerhet och kvaliteten i den vård patienterna erbjuds. Patientens säkerhet handlar såväl om att skydda patienten mot kroppsliga skador och psykiskt lidande och mot dödsfall som hade kunnat undvikas. Men kraven måste, enligt utredningens mening, ställas högre; kvaliteten i hälso- och sjukvården måste utvecklas och ständigt bli bättre. Ändamålsenliga informationssystem som används på rätt sätt kan förbättra kvaliteten i hälso- och sjuk- vården. Det är därför nödvändigt med en aktiv tillsyn från båda tillsynsmyndigheterna i syfte att följa hur vårdgivarna tar sitt ansvar för en säker, ändamålsenlig och effektiv hantering av informationen och de system som hanteras den.

Utredningen anser att det kan finnas anledning för tillsyns- myndigheterna att fånga upp de signaler som yrkesutövare inom hälso- och sjukvården lyft i olika sammanhang vad gäller informa- tionssystemens användbarhet. Av t.ex. rapporten Störande eller stödjande framgår att tekniken många gånger upplevs som ett hinder för att kunna ge god vård på ett effektivt sätt.9

Utredningens förhoppning är, att den tydligare regleringen av ansvaret för en säker och ändamålsenlig hantering av information som vi föreslagit i det föregående, kan utgöra ett bra stöd för en ännu effektivare tillsyn av hur vårdgivarna uppfyller detta ansvar.

9 Störande eller stödjande? Om eHälsosystemens användbarhet 2013

191

10Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

10.1Bakgrund

Dagens utveckling med ökad mångfald av aktörer i hälso- och sjuk- vård och socialtjänst, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.

För hälso- och sjukvårdens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Som exempel kan nämnas de system för sam- manhållen journalföring som finns såväl regionalt som nationellt. I den landstingsfinansierade delen av hälso- och sjukvården har det på regional nivå bland annat medfört att allt fler vårdgivare använder samma journalsystem och arrangerar det på ett sådant sätt att utbyte genom direktåtkomst blir möjligt. På nationell nivå samt för informationsutbytet mellan landstings- och kommunfinansi- erade vårdgivare har exempelvis den Nationella patientöversikten, NPÖ, utvecklats som en möjlighet till sammanhållen journalföring.

I sammanhanget kan även nämnas de gemensamma satsningarna som landstingen initierat vad gäller invånartjänster, t.ex. den pågå- ende utvecklingen för att ge patienter tillgång till patientjournaler på internet. Även Mina vårdkontakter kan nämnas som en slags

193

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

plattform för att gemensamt möta och tillgodose patienters behov av tillgänglighet, information och service och där personuppgifter behandlas i gemensamma lösningar.

Ytterligare ett exempel på gemensamt framtagna lösningar och regelverk utgörs av den nationella Tjänsteplattformen. Tjänste- plattformen förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom vård och omsorg. Varje tjänst som vill ansluta sig till Tjänsteplattformen följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan istället genom tjänsteplattformen, som i sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis en vårdgivare. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet och de kostnader som en s.k. punkt-till-punktintegration av system och tjänster ger upphov till.

På den nationella arenan finns flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara vårdgivare, myndigheter, leverantörer, intresseorganisationer, samverkans- organ m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för nationell e-hälsa väcker därför nya frågor relaterat till ansvaret för behandlingen av de personuppgifter som hanteras i de gemensamma lösningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funk- tioner och åtgärder som utgör själva basen för den gemensamma personuppgiftsbehandlingen och som alla inblandade är beroende av och behöver rätta sig efter. I utredningsdirektivet anges exempelvis följande med beröringspunkt på dessa frågor.

En viktig förutsättning för ett fullgott integritetsskydd är tydlighet i fråga om personuppgiftsansvaret, som bl.a. innebär ett skadestånds- ansvar gentemot individen. När det gäller exempelvis informations-, spärr- och samtyckesfrågor i förhållande till individer måste person- uppgiftsansvaret därför vara tydligt. Personuppgiftsansvaret måste

194

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

också vara tydligt med avseende på it-säkerhet inklusive organisa- toriska och tekniska åtgärder, såväl på nationell nivå som i enskilda verksamheter.

Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där tusentals vårdgivare i hälso- och sjukvården kan komma att samverka kring gemensamma lösningar för att utbyta patient- information med varandra eller för att göra patientjournaler till- gängliga över internet för patienterna. Det kan inte heller uteslutas att en rad nya områden och utvecklingsarbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.

Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fast- ställa hur informationssäkerheten och skyddet för personuppgift- erna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fast- ställa krav och nivåer för grundläggande informationssäkerhets- aspekter som tillgänglighet, riktighet, konfidentialitet och spår- barhet. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.

10.1.1Vårt uppdrag

I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering.

Som tidigare redovisats föreslår vi att patientdatalagens (2008:355), förkortad PDL, bestämmelser om personuppgifts- ansvar förs över i huvudsak oförändrade till den hälso- och sjukvårdsdatalag som föreslås. Det kan därutöver finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av personuppgifter i hälso- och sjukvården.

Särskilda frågor om fördelning av personuppgiftsansvar m.m. vid kommunikation med medborgare, t.ex. vid journaler på internet

195

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

och personliga hälsokonton och motsvarande, behandlas även i avsnitt 33. De frågor utredningen har att hantera har även beröringspunkter med E-hälsokommitténs uppdrag att se över ansvarsfördelningen mellan de inblandade aktörerna på e-hälso- området. I dessa delar har vi därför samrått med den utredningen.

10.2Generellt om personuppgiftsansvar

Enligt 3 § personuppgiftslagen (1998:204), förkortad PUL, är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det innebär att personuppgiftsansvaret kan delas eller vara gemensamt för flera. I en del fall kan det vara svårt att bedöma vem eller vilka som är personuppgiftsansvariga för en viss behandling. Ytterst är det dock en fråga om faktiska omständig- heter. Olika överenskommelser eller avtalskonstruktioner kan beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Därmed är det den som faktiskt, med eller utan rätt, bestämmer beträffande behandlingen som är person- uppgiftsansvarig.1

Vidare kan i lag eller förordning bestämmas vem som är person- uppgiftsansvarig för en viss behandling. En sådan bestämmelse tar över den nämnda regleringen i personuppgiftslagen. I register- författningar är det vanligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i författningen. Som exempel på detta kan nämnas att Socialstyrelsen är personuppgiftsansvarig för hälsodataregistren och att eHälsomyndigheten är personuppgiftsansvarig för recept- registret och läkemedelsförteckningen.

Av personuppgiftslagen följer att det för en och samma person- uppgiftsbehandling kan finnas två eller flera personuppgiftsansvariga. För att någon ska anses som personuppgiftsansvarig räcker det nämligen att den tillsammans med andra kan bestämma ändamålen med och medlen för personuppgiftsbehandlingen. Det är något oklart vad som avses med att flera bestämmer tillsammans och vad som är en respektive flera behandlingar av personuppgifter. Det kan räcka att flera gemensamt och i samråd faktiskt har bestämt att genomföra en

1 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 78.

196

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

viss behandling, även om var och en rättsligt eller faktiskt haft möjlighet att ensam bestämma.2

Hälso- och sjukvården

När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet regleras personuppgiftsansvaret i dag av patient- datalagen. Av 2 kap. 6 § PDL följer att vårdgivare är personuppgifts- ansvarig för den behandling av personuppgifter som vårdgivaren utför. Vidare preciseras att i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den person- uppgiftsbehandling som myndigheten utför.

Regleringen kan sägas ge uttryck för och vara en precisering av den grundläggande principen i personuppgiftslagen om att den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig.

I patientdatautredningen anfördes exempelvis följande i sammanhanget.3

När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. Istället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjukvården är vårdgivaren, t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjuk- vårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är personuppgiftsansvarig för den person- uppgiftsbehandling som sker hos vårdgivaren.

I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för den personuppgiftsbehandlingen, förutsatt att organet är så självständigt att det är en förvaltnings- myndighet. ---

Vi menar att det är den mest lämpliga ordningen att person- uppgiftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå.

Mot bakgrund av patientdatautredningens uttalanden kan konstateras att regleringen av personuppgiftsansvaret i patientdatalagen i allt

2Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 83.

3SOU 2006:82 s. 195 f.

197

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

väsentligt är en kodifiering och ett förtydligande av den praxis som har utvecklats vid tillämpningen av personuppgiftslagen.

Regleringen i patientdatalagen innebär dock i ett avseende ett avsteg från praxis. I 2 kap. 6 § andra stycket slås nämligen fast att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett lands- ting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet. Vid tillämpningen av personuppgiftslagen har uppfattningen däremot varit att den som endast har tillgång till personuppgifter genom att t.ex. söka bland och läsa uppgifter som ingår i en uppgiftssamling utan att själv ha varken några rättsliga befogenheter eller faktiska möjligheter att ändra eller komplettera de uppgifter som ingår i samlingen, inte kan anses vara personuppgiftsansvarig för den behandling som sökningar och bearbetningar vid sådan tillgång innefattar.4

Patientdatalagens reglering innebär dock ett avsteg från denna uppfattning eftersom det av lagens bestämmelser förtydligas att en vårdgivare är personuppgiftsansvarig även vid sådan direktåtkomst där vårdgivaren tar del av andra vårdgivares uppgifter. För social- tjänstens del finns inte någon sådan reglering i dag, sannolikt eftersom motsvarande möjligheter till direktåtkomst inte heller finns i lagstiftningen om socialtjänstens personuppgiftsbehandling. I utredningens förslag till socialtjänstdatalag föreslås dock att en sådan bestämmelse tas in, dvs. som förtydligar att personuppgifts- ansvaret även omfattar sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.

10.3Personuppgiftsansvar vid samverkan mellan olika aktörer

När det gäller personuppgiftsansvarets fördelning vid olika typer av gemensam personuppgiftsbehandling, eller gemensam användning av system och lösningar för att vidta personuppgiftsbehandling, saknas egentlig praxis i form av vägledande domstolsavgöranden. Det finns dock ett antal vägledande uttalanden i förarbeten, varav

4 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 81.

198

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

följande rörande personuppgiftsbehandlingen i socialförsäkringens administration kan nämnas.5 Det rör ansvarsförhållandet mellan olika Försäkringskassor och dåvarande Riksförsäkringsverket för personuppgiftsbehandling i it-system som de olika myndigheterna gemensamt använde.

Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndig- heten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en person- uppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet.

För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behandlingar som utförs. Förslaget om fördelning av personuppgifts- ansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling.

I övergripande frågor, såsom ansvar för att tekniska och organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig system- ägare för Riksförsäkringsverkets och försäkringskassornas gemen- samma it-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor.

Regeringens uttalande i propositionen ger uttryck för den princip som även föreslås vara gällande i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, nämligen att personuppgiftsansvaret normalt ska vila på den som i och för sin verksamhet faktiskt utför en behandling av personuppgifter. Samtidigt uppmärksammade regeringen att även andra kan ha ett personuppgiftsansvar beroende på vilka behandlingar som faktiskt utförs och att personuppgiftsansvaret för övergripande säkerhetsåtgärder inte nödvändigtvis behöver vara gemensamt.

5 Prop. 2002/03:135 s. 52 f.

199

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

10.3.1Patientdatautredningens resonemang m.m.

Även patientdatautredningen uppmärksammade frågor om person- uppgiftsansvar vid samverkan mellan flera aktörer. Patientdata- utredningen reflekterade särskilt över vad som borde gälla när flera vårdgivare samverkar i system för sammanhållen journalföring. Även om utredningen konstaterade att det kan finnas skäl från integritetsskyddssynpunkt peka ut vem som ska vara person- uppgiftsansvarig, bedömdes det som olämpligt och omöjligt med hänsyn till de faktiska omständigheterna och de skiftande sam- arbetsformer m.m. som kan finnas. Mot den bakgrunden föreslog utredningen istället att regleringen skulle ta sin utgångspunkt i att det vid sammanhållen journalföring är den som faktiskt har möjlig- het att påverka om och hur en enskild personuppgiftsbehandling ska företas, som bör vara personuppgiftsansvarig för den behand- lingen. Vidare anförde utredningen följande.6

I praktiken innebär patientdatalagens allmänna bestämmelse om personuppgiftsansvar bl.a. att den vårdgivare som gör en person- uppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten i skede 1 ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Bestämmelsen innebär vidare – till skillnad från vad som torde följa vid enbart en tillämpning av personuppgiftslagen – att den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddoku- mentation, blir personuppgiftsansvarig för den personuppgifts- behandling som detta innebär.

I likhet med utredningen om socialförsäkringens administration (se ovan), för även patientdatautredningen ett resonemang om vad som bör gälla för mer övergripande frågor och förhållanden som är relaterade till den gemensamma informationshanteringen. Den centrala frågan i sammanhanget är vem eller vilka som ansvarar för att personuppgifterna skyddas genom tekniska eller organisatoriska säkerhetsåtgärder. Denna fråga är sannolikt än mer aktuell i dag, eftersom det inte längre endast är fråga om vårdgivares samarbete vid sammanhållen journalföring utan generellt om en mängd olika

6 SOU 2006:82 s. 340.

200

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

aktörers samverkan i en rad olika frågor som alla innehåller moment av personuppgiftsbehandling.

Patientdatautredningen lämnar inget generellt och heltäckande svar på frågan om det övergripande ansvaret utan anför att det beror på hur man i rättstillämpningen bedömer de faktiska för- hållandena i det enskilda fallet. Samtidigt anser patientdata- utredningen att som huvudregel bör gälla att ansvaret för sådana övergripande frågor bör delas solidariskt mellan de samarbetande vårdgivarna eller myndigheterna, dvs. vara gemensamt för dem som tillgängliggör journaluppgifter i ett system för sammanhållen journalföring. Men utredningen anför vidare att det samtidigt inte går att utesluta att organisationerna eller samarbetsformerna kan komma att gestalta sig på väldigt skilda sätt, vilket kan få betydelse vid en bedömning av ansvaret för övergripande frågor.7

En aktör som personuppgiftsansvarig för övergripande frågor

Mot bakgrund av de olika typer av samarbetsformer och faktiska omständigheter som kan tänkas föreligga vid samverkan mellan vårdgivare uppmärksammade patientdatautredningen att de faktiska omständigheterna mycket väl skulle kunna peka på att endast en av de samverkande vårdgivarna är att betrakta som personuppgiftsansvarig för frågor om övergripande tekniska och organisatoriska säkerhets- åtgärder. Bland annat följande av intresse i sammanhanget anfördes.8

Det är tänkbart att sådana översikter lagras och behandlas i en gemen- sam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting. Om det landstinget i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet, kan det tala för att den aktuella myndigheten inom landstinget bör kunna anses ha ett person- uppgiftsansvar för övergripande frågor.

Exempelvis har vid Stockholms läns landstings presentation för utredningen av planerna på en för alla landstingets vårdgivare gemen- sam vårddokumentation, GVD, nämnts att det kan komma att från landstingets sida ställas som villkor vid ingående eller förlängning av entreprenadavtal med privata vårdgivare att de deltar i GVD. Vid sådana förhållanden är det enligt vår mening tveksamt om de privata vårdgivarna intar en sådan överordnad position i förhållande till lands- tinget som gör att landstinget kan anses behandla personuppgifter i enlighet med varje privat vårdgivares instruktioner (jämför 30 § personuppgiftslagen).

7SOU 2006:83 s. 341.

8SOU 2006:82 s. 341 ff

201

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom vi inte kan förutse i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Rimligen kan behov av en tydligare reglering uppkomma vid t.ex. etablerandet av en heltäckande nationell läkemedelsjournal eller om den nationella patientöversikten utvecklas och förverkligas på bred front i enlighet med de planer som nu finns. Även andra specifika samarbeten i form av sammanhållen journalföring kan visa sig vinna på en författnings- reglering av personuppgiftsansvaret, som utöver integritetsvinsterna för enskilda, ger en central aktör vissa möjligheter att samlat styra över och administrera verksamheten.

Patientdatatutredningen anförde således att vid olika typer av sam- arbeten mycket väl kan vara så att någon av de inblandade aktörerna har en sådan självständig och inflytelserik position i förhållande till de övriga att det kan konstituera ett personuppgiftsansvar för de övergripande frågorna. Däremot bedömdes det inte möjligt att i lag reglera personuppgiftsansvaret. Mot den bakgrunden föreslog utredningen istället en bestämmelse som ger regeringen möjlighet att vid behov närmare reglera personuppgiftsansvaret i sådana över- gripande frågor om säkerhetsåtgärder just i system för sammanhållen journalföring. Regeringen har dock fram till i dag inte fattat något sådant beslut eller gett någon myndighet rätt att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder.

Även E-delegationen har i olika sammanhang berört frågan om ansvar för övergripande tekniska och organisatoriska säkerhets- åtgärder. Bland annat när det gäller frågan om personuppgiftsansvar i samband med att nya möjligheter utvecklas för myndigheter att kommunicera och inhämta information från enskilda, anför E- delegationen följande.9

De olika tjänster och kommunikationskanaler som införs för e-förvalt- ningen berör olika aktörer. Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme.

9 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.

202

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

E-delegationens uttalande har kanske framför allt beröringspunkter med den utveckling som i dag sker inom hälso- och sjukvården och socialtjänsten för att öka servicen och tillgängligheten m.m. gentemot invånarna. Det handlar exempelvis om utvecklingen inom Mina vårdkontakter och olika former av personliga hälsokonton m.m. För tydlighets skull vill utredningen dock påpeka att man är personuppgiftsansvarig för behandlingen av personuppgifter och inte, som E-delegationens uttalande ovan kan ge sken av, för informationen i sig.

10.3.2Några exempel från Datainspektionens tillsyn m.m.

Utredningen konstaterar att den tekniska utvecklingen och de nya samarbetsformerna har medfört att det kan vara betydligt svårare än tidigare att identifiera vilken aktör eller vilka aktörer som har faktiska möjligheter att påverka i frågor som rör efterlevnaden av integritetsskyddslagstiftningen. Även om ett personuppgiftsansvar i någon mening naturligtvis alltid ligger hos den som faktiskt har rådighet att rent praktiskt företa eller avstå från att företa en viss personuppgiftsbehandling, kan det ibland ifrågasättas om denna möjlighet motsvaras av en reell valsituation eller om sättet för per- sonuppgiftsbehandling närmast är en förutsättning för att kunna bedriva verksamhet på de villkor som satts upp av finansiären, exempelvis ett landsting eller en kommun.

Detta förhållande har i viss mån även bekräftats av tillsyns- myndighetens agerande för att försöka åstadkomma rättelse i enskilda fall. Datainspektionen har exempelvis vid tillsyn över vård- givares deltagande i system för sammanhållen journalföring funnit anledning att vid konstaterandet av brister, inleda en tillsyn mot den aktör som inspektionen bedömt har de reella möjligheterna att åtgärda bristerna. Ett exempel på detta är Datainspektionens tillsyn över en privat driven vårdcentral som använder samma system för sammanhållen journalföring som används av Stockholms läns landsting. I tillsynsbeslutet mot den privata vårdgivaren konstaterar Datainspektionen att vårdgivaren behandlar personuppgifter i strid med patientdatalagen och att inspektionen förutsätter att bristerna åtgärdas. Samtidigt anför inspektionen följande i beslutet.10

10 Datainspektionens beslut 2011-02-17, dnr 591-2010

203

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Datainspektionen anser att det är Stockholms läns landsting (Lands- tinget) som har reella möjligheter att åtgärda denna brist i journal- systemet. Datainspektionen kommer med anledning av detta att snarast inleda tillsyn mot Landstinget.

På motsvarande sätt konstaterade Datainspektionen i ett annat tillsynsärende att en privat vårdgivare, på grund av hur journal- systemet var utformat, inte levde upp till ett antal av de grund- läggande och integritetsskyddande kraven i patientdatalagen. Även om Datainspektionen i beslutet förvisso förutsätter att vårdgivaren åtgärdar bristerna, uttalar inspektionen följande.11

När det gäller bristerna beträffande de tekniska funktionerna i journal- systemet, anser Datainspektionen att det är Landstinget Sörmland (Landstinget) som har reella möjligheter att åtgärda ovanstående brister. Datainspektionen kommer med anledning av detta att snaras inleda tillsyn mot Landstinget.

Dessa tillsynsbeslut visar, enligt utredningens uppfattning, på att det kan finnas behov av att tydliggöra vem som har de faktiska möjligheterna att vidta åtgärder för att tillgodose enskildas behov av skydd för den personliga integriteten. Precis som patientdata- utredningen anförde kan det i dag finnas ett antal samarbeten där det vid en utredning om de faktiska förutsättningarna skulle visa sig att en aktör, eller möjligtvis ett fåtal aktörer, har dikterat villkoren för de övrigas medverkan och har de egentliga befogen- heterna att ansvara för och utföra åtgärder för att skydda person- uppgifterna och se till att de system som används gör det möjligt att behandla personuppgifter i enlighet med lagstiftningens krav. Detta behöver dock inte utesluta att var och en av de ingående aktörerna fortsatt har ett personuppgiftsansvar för den behandling av personuppgifter som man faktiskt utför.

Den rådande utvecklingen har kommit att innebära att ett antal olika aktörer ofta är inblandade i olika led och delar av en person- uppgiftsbehandling som på ett generellt plan görs för samma över- gripande ändamål. Det ändamålet kan exempelvis vara att lämna ut och ta del av personuppgifter genom direktåtkomst eller lämna ut personuppgifter elektroniskt till medborgare. Såvitt utredningen har funnit saknas i dag domstolsavgöranden som, på den detaljnivå det är fråga om här, har tagit ställning till olika aktörers person- uppgiftsansvar för vad som i allt väsentligt utgör en och samma

11 Datainspektionens beslut 2011-02-17, dnr 590-2010.

204

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

övergripande personuppgiftsbehandling. Frågan kan visserligen anses ha berörts närmast i förbigående av Högsta förvaltnings- domstolen i ett mål mot Försäkringskassan. Målet handlade något förenklat om Försäkringskassans eventuella ansvar för över- gripande frågor om tekniska och organisatoriska säkerhetsåtgärder i samband med att medborgare använder en av kassan framtagen självbetjäningstjänst för begäran om tillfällig föräldrapenning via sms. Högsta förvaltningsdomstolen uttalar bland annat följande (vår kursivering nedan).12

Den serie av åtgärder i fråga om personuppgifter som vidtas i de aktuella fallen kan betraktas som led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Det gäller trots att Försäkringskassan saknar möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga för kassan. Det gäller också oberoende av om någon eller några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan.

Även om det nämns i förbigående tyder den kursiverade meningen på att domstolen inte utesluter att det vid sidan om Försäkringskassan kan finnas andra aktörer som i sammanhanget utför sådan personuppgiftsbehandling som konstituerar ett person- uppgiftsansvar även för någon annan. Datainspektionen har även i ett tillsynsärende mot företaget Wiky rörande en s.k. rejtingsajt på internet berört frågan om personuppgiftsansvaret och dess innehåll om flera aktörer är inblandade. Datainspektionen anför bland annat följande av intresse i sammanhanget.13

Wikys personuppgiftsbehandling omfattar såväl behandling av de upp- gifter som Wiky på egen hand lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten.

Att tjänsten är omodererad, dvs. att användarnas omdömen publiceras utan föregående granskning eller åtgärd av Wiky, innebär dock att personuppgiftsansvaret är begränsat i vissa delar eftersom företaget inte i alla avseenden besitter fullständiga rättsliga och faktiska möjligheter att förfoga över de aktuella uppgifterna.

Wikys personuppgiftsansvar för tjänsten utesluter inte att även den enskilde användaren har ett sådant ansvar för behandling av person- uppgifter i reco.se, dvs. för sådan behandling av personuppgifter som användaren utför.

12Högsta förvaltningsdomstolens dom 5 juni 2012, mål nr. 4453-10.

13Datainspektionens beslut 2010-01-11, dnr 1288-2009.

205

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Även om detta ärende rörde relationen mellan enskilda användare och den som tillhandahåller möjligheterna för personuppgifts- behandlingen, sätter tillsynsärendet delvis ljuset på den svårighet som kan finnas dels att identifiera personuppgiftsansvaret, dels att slå fast vad personuppgiftsansvaret i olika delar omfattar. Trots att tillsynsärendet inte rörde frågor om personuppgiftsansvar för över- gripande tekniska och organisatoriska säkerhetsåtgärder finns, enligt utredningens bedömning, flera paralleller till den utveckling som sker inom e-hälsa lokalt, regionalt och nationellt. Detta efter- som det även i dessa samarbeten ofta är nödvändigt att reflektera över de ingående aktörernas inbördes förhållanden och ansvars- fördelning för vad som många gånger kan betraktas som en serie av personuppgiftsbehandlingar för samma övergripande ändamål.

10.4Våra överväganden och förslag

10.4.1Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att en vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra vårdgivarna om hur informations- säkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhets- åtgärder.

Vår bedömning: Bestämmelsen i 6 kap. 6 § PDL om att regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhets- åtgärder vid sammanhållen journalföring ska inte föras över till den föreslagna hälso- och sjukvårdsdatalagen.

206

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna

När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Vårdgivare som exempelvis lämnar ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring har ett självklart intresse av att skyddet för personuppgifterna garanteras och att övriga samverkande vårdgivare har förutsättningar för att behandla personuppgifter i överensstämmelse med integritets- skyddsbestämmelserna. För de samverkande aktörerna inom hälso- och sjukvården handlar det bland annat om att se till att informa- tionssäkerheten anpassas till legala krav i hälso- och sjukvårds- datalagen, men även till exempelvis offentlighets- och sekretess- lagen (2009:400), arkivlagen (1990:782) och patientsäkerhetslagen (2010:659). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare villkoren för sam- arbetet och hur de legala kraven ska tillgodoses.

Enligt vår bedömning riskerar avsaknaden av krav på överens- kommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bakgrunden föreslår vi att hälso- och sjukvårdsdatalagen ska innehålla uttryckliga krav på överenskommelser i dessa avseenden. En vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter ska därför komma överens med de andra vårdgivarna hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses innan samarbetet inleds. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklings- arbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som görs inom ramen för Mina vårdkontakter, journaler på nätet eller grundläggande funktioner som den nationella tjänsteplattformen.

Överenskommelsen mellan vårdgivare ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de sam- verkande vårdgivarnas organisatoriska och tekniska förutsättningar

207

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

att skydda personuppgifterna. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en vårdgivare, eller de samverkande vårdgivarna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst eller annat samarbete kring behandling av personuppgifter inleds. Om risk- och sårbarhetsanalysen exempel- vis visar att någon av de samverkande vårdgivarna saknar väsentliga förutsättningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande vårdgivarnas förutsättningar att leva upp till hälso- och sjukvårdsdatalagens krav på behörighets- styrning och åtkomstkontroll.

Hur överenskommelsen ska tecknas ska vara upp till de sam- verkande vårdgivarna att avgöra. Enligt vår bedömning riskerar alltför detaljerade anvisningar från lagstiftarens sida att låsa in vård- givarna i lösningar som inte är tillräckligt flexibla med hänsyn till den komplexa situation och de olika slags samarbeten som det här är fråga om. Det finns inget som hindrar att överenskommelsen utgörs av en kombination av flera olika åtgärder. En av flera sådana möjliga kombinationer kan vara ett anslutningsavtal eller mot- svarande som i vissa delar kompletteras av att vårdgivarna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Begreppet överenskommelse ska därmed ges en vidsträckt inne- börd. Det handlar enligt vår bedömning inte i första hand om hur överenskommelsen rent formellt konstrueras utan fokus bör istället sättas på frågorna i sak, dvs. hur en tillfredsställande informationssäkerhet och hur skyddet för personuppgifterna ska tillgodoses.

I sammanhanget kan nämnas att Myndigheten för samhälls- skydd och beredskap, MSB, har tillsammans med några andra myndigheter formulerat en strategi för ökad informationssäkerhet i vård och omsorg. Syftet med strategin är att skapa förutsättningar för att vård och omsorg ska kunna bedrivas med rätt nivå av informationssäkerhet för att kunna tillgodose medborgare, patienters och samhällets behov av insyn, delaktighet, patient- säkerhet och personlig integritet. Strategin ska ge stöd för att hantera de nya risker som inte enbart kan åtgärdas av de enskilda

208

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

sjukvårdshuvudmännen.14 Om den strategin så småningom utmynnar i ett förslag till ett mer detaljerat regelverk skulle det kunna vara ett exempel på ett sådant gemensamt regelverk som samverkande vårdgivare och andra aktörer kan ansluta sig till.

Det är i detta sammanhang inte möjligt att uttömmande ange vad en överenskommelse enligt vårt förslag ska innehålla, eftersom de samarbeten som här avses kan visa upp betydande skillnader i omfattning och innebörd. Syftet är att överenskommelsen totalt sett ska omfatta de områden som behövs för att skydda person- uppgifterna, de olika former av resurser som används för att behandla personuppgifter samt det som behövs för att se till att person- uppgiftsbehandlingen kan bedrivas på ett sätt som upprätthåller en god och säker vård. På en övergripande nivå berör det grundläggande informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialitet och spårbarhet.

Den överenskommelse som här avses kan även innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. I stället för att den enskilde exempelvis ska behöva vända sig till flera av de inblandade vårdgivarna kan det finnas skäl för vårdgivarna att komma överens om och praktiskt arrangera det på sådant sätt att patienten endast behöver vända sig till en aktör för att få loggutdraget. En sådan aktör behöver naturligtvis inte vara en av de inblandade vård- givarna, utan kan mycket väl vara ett personuppgiftsbiträde åt vårdgivarna. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.

Att i lagen ställa krav på överenskommelse mellan de inblandade vårdgivarna bidrar enligt vår bedömning till en förstärkning av integritetsskyddet och till en uppmärksamhet kring grundläggande informationssäkerhetsfrågor. För ett sådant samhällsviktigt område som hälso- och sjukvården är informationssäkerheten en grund- läggande förutsättning för att kärnverksamheten ska kunna fungera

14 Myndigheten för samhällsskydd och beredskap, 2012-06-20, Strategi för stärkt informationssäkerhet inom vård och omsorg.

209

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

optimalt och på ett sätt som reducerar säkerhetsrisker som kan medföra negativa konsekvenser för enskilda. Patienter ska kunna känna trygghet och förtroende för att informationshanteringen utformas på ett sådant sätt att behovet av integritetsskydd förenas med möjligheterna att ge en god och säker vård, oavsett vilken av de inblandade vårdgivarna som patienten möter.

Kravet på överenskommelse innebär att vårdgivaren, innan det faktiska samarbetet avseende behandlingen av personuppgifter inleds, behöver arbeta aktivt tillsammans med andra vårdgivare för att identifiera vad överenskommelsen behöver innehålla för att informationssäkerheten och skyddet för den personliga integriteten ska kunna tillgodoses. För tillsynsmyndigheten blir det förhopp- ningsvis även, till skillnad från i dag, ett underlag för att mer effektivt kunna bedöma reella integritetsskyddsrisker och vidtagna åtgärder när många vårdgivare samarbetar. Det bidrar även till att upprätthålla förtroendet för hälso- och sjukvårdens informationshantering och reducera riskerna för sådana omotiverade och ofrivilliga integritets- förluster som annars kan uppstå om ett gemensamt grepp över dessa frågor saknas.

Ett tydligt tillämpningsområde för den föreslagna bestämmelsen är de samarbeten som förekommer på lokal och regional nivå när vårdgivare utbyter personuppgifter genom direktåtkomst. I dag görs det med stöd av reglerna för sammanhållen journalföring och med vårt förslag kommer det istället att kunna göras genom direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Denna, för vissa geografiska områden, utvidgning av de reella möjligheterna att utbyta information ska därför balanseras bland annat mot detta krav på överenskommelse mellan vårdgivarna. De vårdgivare inom en huvudmans ansvarsområde som har för avsikt att utbyta person- uppgifter genom direktåtkomst ska således genom en överens- kommelse fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Vårdgivare har därför ett ansvar för att inte lämna ut uppgifter genom direktåtkomst om inte en sådan överenskommelse finns.

210

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

Ett tydliggörande av personuppgiftsansvaret

Utredningen anser, i likhet med patientdatautredningens resonemang, att det i vissa situationer finns särskilda behov av att tydliggöra hur personuppgiftsansvaret för frågor om övergripande tekniska och organisatoriska säkerhetsåtgärder är fördelat. Generellt bedömer vi att det för skyddet av den enskildes personliga integritet finns starka skäl för att tydliggöra ansvaret för övergripande tekniska och organisatoriska åtgärder i sådana samarbeten där flera aktörer använder samma lösningar för att bland annat behandla person- uppgifter. Förutom att det blir tydligt för den enskilde vilken eller vilka aktörer som den enskilde ska vända sig till i övergripande frågor, blir ansvaret även tydligt för de inblandade aktörerna själva. I dag kan detta ansvar ibland vara höljt i dunkel. Inte minst i sådana samarbeten där hundratals aktörer samverkar. Ett tydliggörande av person- uppgiftsansvarets fördelning kan bland annat leda till att det fastställs att samtliga inblandade vårdgivare tillsammans har personuppgifts- ansvar för övergripande säkerhetsåtgärder, men det kan även innebära att en eller ett fåtal av vårdgivarna anses ha detta ansvar. Enligt utred- ningens uppfattning borde det senare, mot bakgrund av de faktiska omständigheterna inte vara en alltför ovanlig situation i de samarbeten som det här är fråga om.

I dessa samarbeten ingår aktörer som har vitt skilda förutsätt- ningar att agera i frågor som rör de närmare villkoren för över- gripande frågor. Det kan exempelvis ifrågasättas vilka reella möjlig- heter en normalstor privat vårdgivare har att utföra åtgärder för att påverka övergripande säkerhetsfrågor i system som utvecklats av ett eller flera stora landsting tillsammans. Inte sällan kan dessutom den privata vårdgivaren vara mer eller mindre hänvisad till att använda en viss teknisk funktion eller ett visst system för den aktuella personuppgiftsbehandlingen.

Att vid behov tydligt peka ut en aktör som ansvarig för de över- gripande åtgärderna skulle synliggöra ansvaret för de övergripande säkerhetsåtgärderna och bättre överensstämma med de faktiska förutsättningarna. Vi bedömer att detta behov är betydligt större än tidigare och betydligt mer omfattande än endast system för sammanhållen journalföring. Utvecklingen i hälso- och sjukvården går, liksom i hela den offentliga e-förvaltningen, mot att många behöver samarbeta för att åstadkomma en informationshantering

211

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

som är kostnadseffektiv, säker och ger en bra service till med- borgarna. Inte sällan är dessa samarbeten i praktiken även en förutsättning för jämlika förhållanden för medborgare i olika delar av landet.

En annan fråga som har ökat i aktualitet är vilka avtal som behövs för att reglera ansvarsfördelning och säkra skyddet för personuppgifterna i situationer där många aktörer samverkar. I praktiken har detta kommit att medföra en ökad administration och ett behov av en omfattande mängd personuppgiftsbiträdes- avtal. Inte minst inom hälso- och sjukvården där hundratals och på sikt tusentals vårdgivare sannolikt kommer att utnyttja samma tekniska lösningar blir avtalssituationen komplex. Detta beror inte bara på antalet personuppgiftsansvariga, utan även på antalet personuppgiftsbiträden. Det är i dag vanligt förekommande att flera personuppgiftsbiträden är involverade på olika nivåer och i olika delar av personuppgiftsbehandlingen. Av bland annat den anledningen har landstingen tagit fram s.k. modellavtal som kombinerar personuppgiftsbiträdesavtalens innehåll och struktur med fullmaktslösningar. Modellavtalen bygger på principen om kaskadavtal och innebär att ett personuppgiftsbiträde ges fullmakt att, för de personuppgiftsansvarigas räkning, teckna biträdesavtal med eventuella ”underbiträden”. På ett sådant sätt kan avtals- hanteringen koncentreras och antalet avtal reduceras samtidigt som skyddet för uppgifterna formellt säkras. Om det vid samarbeten mellan olika aktörer i större utsträckning skulle utpekas en aktör som ansvarig för övergripande frågor om tekniska och organisa- toriska åtgärder skulle antalet avtal sannolikt minska ytterligare. Samtidigt skulle avtalen inte heller behöva omfatta frågor om övergripande säkerhetsåtgärder.

För att inte enskilda ska riskera att lida omotiverade integritets- förluster på grund av att personuppgiftsansvaret är oklart eller odefinierat till sitt innehåll anser utredningen att det finns skäl att i större utsträckning än vad som förekommit hittills tydliggöra personuppgiftsansvaret för övergripande säkerhetsåtgärder. Det är i sammanhanget även nödvändigt att analysera om nuvarande reglering är ändamålsenlig eller om det kan behövas andra åtgärder för att stimulera ett tydliggörande av personuppgiftsansvaret.

I patientdatalagen ges regeringen i dag en möjlighet att peka ut en aktör som personuppgiftsansvarig för frågor om organisatoriska och tekniska säkerhetsåtgärder. Vi ställer oss tveksamma till om den nuvarande modellen i patientdatalagen med möjligheter för

212

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

regeringen att agera i frågan är ändamålsenlig. Vidare kan ifråga- sättas hur denna möjlighet för regeringen egentligen förhåller sig till den grundläggande principen om personuppgiftsansvarets för- delning utifrån de faktiska omständigheterna.

Det framgår inte i förarbetena till bestämmelsen hur den är tänkt att tillämpas och vilka utgångspunkter som ska gälla för regeringens bedömning. Medan personuppgiftsansvaret i grunden alltid innehas av den som faktiskt har bestämt ändamål och medel för behandlingen av personuppgifter, synes bestämmelsen inte ställa krav på att regeringen ska utgå ifrån de faktiska omständig- heterna vid ett eventuellt ställningstagande till personuppgifts- ansvaret. Det kan därmed inte uteslutas att regeringen skulle kunna peka ut någon aktör som personuppgiftsansvarig för övergripande säkerhetsåtgärder, men som vid en bedömning av de faktiska för- hållandena inte kan anses ha bestämt ändamål och medel för personuppgiftsbehandlingen. Om den bakomliggande tanken med lagstiftningen är att regeringen ska fatta ett beslut baserat på de faktiska omständigheterna, blir saken inte mindre viktig att reflektera över. Detta eftersom det i yttersta fall borde vara fråga för domstol att avgöra vem eller vilka som är personuppgifts- ansvariga. Enligt utredningens bedömning medför bestämmelsens oklarheter i relation till de grundläggande bestämmelserna i person- uppgiftslagen att den är mindre lämplig. Det kan också konstateras att regeringen hittills inte fattat något beslut om personuppgifts- ansvar i enlighet med bestämmelsen.

Vidare kan det ifrågasättas om det skulle vara lämpligt för regeringen att fatta ett beslut om personuppgiftsansvaret utan att reglera övriga frågor kring den aktuella personuppgiftsbehand- lingen. Normalt ska ett utpekande av personuppgiftsansvar åtföljas av en detaljerad reglering av ansvarets omfattning, ändamålen för behandlingen, vilka personuppgifter som får behandlas osv. Enligt utredningens uppfattning bör detta vara utgångspunkten även för frågor om personuppgiftsansvar för övergripande säkerhetsåtgärder i system för sammanhållen journalföring.

Det kan inte heller uteslutas att bestämmelsen bidrar till den passivitet hos vårdgivarna själva som hittills har kunnat konstateras. Såvitt utredningen har kännedom om har ingen vårdgivare ännu tydligt deklarerat ett ansvar för övergripande säkerhetsåtgärder t.ex. för lokala eller regionala system för sammanhållen journal- föring. Det får dock bedömas som sannolikt att det vid en analys av de faktiska omständigheterna finns vårdgivare som dikterat

213

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

villkoren för de övrigas medverkan på ett sådant sätt att person- uppgiftsansvaret för övergripande säkerhetsfrågor skulle kunna anses ligga på denne. Möjligen kan utformningen av den nuvarande bestämmelsen ha medfört att ansvaret för övergripande säkerhets- åtgärder närmast har setts som en fråga för regeringen och inte för de iblandade aktörerna själva.

Sammantaget anser vi det finns befogade invändningar mot den nuvarande bestämmelsen i patientdatalagen. Vi anser därför att den inte bör överföras till den föreslagna hälso- och sjukvårdsdatalagen. Det innebär att regeringen på det område som rör sammanhållen journalföring får motsvarande möjligheter som regeringen har på andra områden i samhället, dvs. att genom lagstiftning särskilt reglera frågor om personuppgiftsansvar.

Vår utgångspunkt är att frågor om personuppgiftsansvar i första hand bör hanteras av den eller de personuppgiftsansvariga själva. Det är de inblandade som har bäst kännedom om de bakom- liggande faktorerna och de faktiska omständigheterna. Av den anledningen finns det skäl att stimulera de inblandade aktörerna att själva aktivt analysera och ta ställning till frågan om någon eller några anses ha ett personuppgiftsansvar för övergripande säker- hetsåtgärder. Det skulle i allt väsentligt vara en positiv utveckling ur ett integritetsskyddsperspektiv. Därför föreslår vi en grund- läggande bestämmelse som anger att vårdgivare som utbyter upp- gifter genom direktåtkomst eller på annat sätt samverkar vid behandling av personuppgifter, genom överenskommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Syftet med bestämmelsen är att stimulera de inblandade aktörerna att analysera det närmare samarbetet och tydliggöra personuppgifts- ansvaret utifrån de faktiska omständigheterna. Resultatet av överenskommelsen kan således vara att samtliga vårdgivare till- sammans anses ha personuppgiftsansvar för övergripande säker- hetsåtgärder, eller att en eller ett fåtal av de samverkande vård- givarna anses ha detta ansvar.

Enligt vår bedömning behövs ingen särskild författningsreglering som tydliggör att en av de inblandade aktörerna kan ha ett person- uppgiftsansvar för övergripande frågor. Det följer redan av personuppgiftslagens principer och definition av personuppgifts- ansvar. Inte heller hindrar bestämmelser i förslaget till hälso- och sjukvårdsdatalag detta. Regeringen anförde i förarbetena till patientdatalagen att personuppgiftsansvaret i hälso- och sjukvården

214

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

bör läggas på myndighetsnivå.15 Bland annat för att det därmed uppnås en samordning mellan personuppgiftsansvaret för allmänna handlingar enligt tryckfrihetsförordningen, offentlighets och sekretesslagen och arkivlagen. Mot den bakgrunden synes frågan om personuppgifts- ansvar i patientdatalagen närmast handla om på vilken organisatorisk nivå personuppgiftsansvaret ska ligga, snarare än att göra ett avsteg från den grundläggande principen om att personuppgiftsansvaret utgår ifrån de faktiska omständigheterna. Det faktum att en vårdgivare är personuppgiftsansvar för den behandling av personuppgifter som vårdgivaren utför utesluter därför enligt vår bedömning inte att det kan finnas någon annan som också har ett personuppgiftsansvar i fråga om delar av den kedja av personuppgiftsbehandlingar som aktualiseras i samarbeten mellan vårdgivare.

Det är enligt vår bedömning inte möjligt att i lag fastslå vad ett ansvar för de övergripande säkerhetsåtgärderna innebär. Som tidigare påpekats handlar det om samarbeten av vitt skilda slag, av olika omfattning och för olika syften. Organisation, samarbets- former och övriga faktiska omständigheter blir således avgörande för vad som mer specifikt kan anses ingå i ett sådant ansvar. Utgångspunkten bör dock vara ett personuppgiftsansvar för över- gripande säkerhetsåtgärder exempelvis i förhållande till sådana funktioner och förutsättningar som utgör basen för den gemen- samma personuppgiftsbehandlingen och som samtliga inblandade aktörer är beroende av och måste rätta sig efter. Det handlar om ett ansvar för tekniska och organisatoriska åtgärder som värnar om den enskildes personliga integritet och som samtidigt, i olika utsträckning beroende på samarbetets karaktär, säkerställer grund- läggande faktorer som t.ex. krypteringsskydd, uppgifternas till- gänglighet och riktighet, spårbarheten i systemet m.m.

Som exempel på sådana åtgärder som i olika utsträckning kan tänkas ingå i ett övergripande ansvar kan följande nämnas.

Organisatoriska och administrativa åtgärder som risk- och sårbarhetsanalyser och kontinuerlig övervakning av de centrala tjänsterna.

Kontroll över de ingående aktörernas efterlevnad av de gemen- samma rutiner, regelverk och villkor som gäller för samarbetet.

Ansvar för att förvalta och utveckla de centrala funktioner och tjänster som används för att skydda personuppgifterna.

15 Prop. 2007/08:126 s. 61.

215

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Kontinuerliga tester för att analysera att informationssäkerhets- kraven efterlevs.

Kontroll av personuppgiftsbiträden och underleverantörer.

Ansvar för att personuppgiftsbiträdesavtal och instruktioner finns med förekommande externa leverantörer som behandlar personuppgifter för sådana ändamål som har att göra med de övergripande frågorna.

Hur kan det övergripande personuppgiftsansvaret identifieras?

Som redovisats ovan anser vi att frågan om fördelningen av person- uppgiftsansvar för övergripande säkerhetsåtgärder ska avgöras med hänsyn till de faktiska omständigheterna i det enskilda fallet. Det är således upp till de samverkande vårdgivarna att analysera situationen och tydliggöra hur personuppgiftsansvaret är fördelat. Utredningen inser att det sannolikt kan vara olika svårt i olika sammanhang. Samarbeten mellan vårdgivare är inte sällan komplexa utvecklingsarbeten där framför allt medlen för personuppgifts- behandlingen, dvs. tekniska lösningar, kan vara framtagna av olika aktörer i olika skeden av processen. Samtidigt är vår bedömning att de iblandade vårdgivarna är de som har bäst förutsättningar att göra bedömningen.

När det gäller frågan om personuppgiftsansvar och vad som konstituerar ett ansvar finns viss vägledning att hämta från den s.k. artikel 29-gruppen. Artikel 29-gruppen består bland annat av en företrädare för varje nationell dataskyddsmyndighet i EU-med- lemsstaterna och gruppen har till uppgift att främja en enhetlig tillämpning av dataskyddsdirektivet i de nationella lagstiftningarna.

Artikel 29-gruppen har lämnat vissa rekommendationer beträffande just begreppet personuppgiftsansvar. I yttrande 1/2010 om begreppen registeransvarig och registerförare anför 29-gruppen bl.a. följande (med registeransvarig avses personuppgiftsansvarig).

Begreppet registeransvarig är ett funktionellt begrepp som är avsett att lägga ansvaret där det faktiska inflytandet ligger och bygger alltså på en faktabaserad snarare än en formell analys. För att avgöra var register- ansvaret ligger kan det därför ibland krävas en ingående och lång undersökning. Behovet av att säkerställa effektiviteten innebär dock att det krävs en pragmatisk inställning för att skapa förutsägbarhet i fråga om registeransvaret. Därför behövs tumregler och praktiska

216

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

överväganden för att vägleda och förenkla tillämpningen av data- skyddsdirektivet.

När det gäller frågan om personuppgiftsansvar grundat på faktiska omständigheter menar 29-gruppen att det i många fall omfattar en bedömning av de avtalsmässiga förbindelserna mellan de olika inblandade parterna. Genom bedömningen går det att dra slutsatser och tilldela en eller flera parter rollen och ansvaret som register- ansvarig. Det kan enligt 29-gruppen vara särskilt användbart i komplicerade miljöer, där det ofta används ny informationsteknik och de berörda aktörerna gärna betraktar sig som ”förmedlare” och inte som registeransvariga. Det kanske inte anges tydligt i ett avtal vem som är registeransvarig, men det kan ändå innehålla tillräckligt med information för att man ska kunna tilldela registeransvaret till en part som uppenbarligen har den dominerande rollen i det avseendet. Det kan också hända att avtalet är tydligare även i fråga om vem som är registeransvarig. Om det inte finns någon anled- ning att ifrågasätta att detta korrekt speglar verkligheten finns det, enligt 29-gruppen, inget hinder för att följa villkoren i avtalet.

29-gruppen för i sammanhanget även ett resonemang kring sådana förhållanden som särskilt aktualiseras när flera olika aktörer samverkar i frågor som rör personuppgiftsbehandling och hur personuppgiftsansvaret i sådana fall skulle kunna fastställas. 29- gruppen framhåller att när det gäller gemensamt registeransvar kan parternas deltagande i det gemensamma beslutet ta olika former och måste inte delas lika. När det handlar om flera aktörer kan de ha ett mycket nära förhållande (och t.ex. dela samtliga ändamål och medel för en behandling) eller ett lösare förhållande (och t.ex. endast dela ändamål eller medel, eller delar av dem). Därför bör man, enligt 29-gruppen, ta hänsyn till en rad olika typer av gemen- samt registeransvar och bedöma deras rättsliga konsekvenser, med en viss flexibilitet för att ta hänsyn till den växande komplexiteten i dagens uppgiftsbehandling i praktiken. Av den anledningen anser 29-gruppen att måste man hantera de olika grader av delaktighet som olika parter kan ha eller olika grader av kopplingar mellan dem i behandlingen av personuppgifter. I sammanhanget uttalas bland annat följande.

Men i verkligheten kan det som sagt finnas flera olika sätt att agera ”gemensamt”, dvs. ”tillsammans med”. Detta kan under vissa omständigheter leda till en gemensam och delad ansvarsskyldighet, men inte som allmän regel: i många fall kanske de olika registeransvariga är

217

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

ansvariga – och därmed ansvarsskyldiga – för behandlingen av personuppgifter i olika skeden och i olika grad. Det viktigaste måste vara att se till att efterlevnaden av dataskyddsbestämmelserna och ansvaret för eventuella brott mot de bestämmelserna är tydligt fördelade, även i komplexa behandlingsmiljöer där olika registeransvariga har del i behandlingen av personuppgifter, för att undvika att skyddet av person- uppgifter minskar eller att det uppstår ”negativa behörighetskonflikter” och kryphål som leder till att de skyldigheter och rättigheter som följer av direktivet inte garanteras av någon av parterna.

Vidare menar 29- gruppen att parter som agerar tillsammans har en viss flexibilitet när det gäller att fördel skyldigheter och ansvar sinsemellan, så länge de garanterar en fullständig efterlevnad. Regler för hur det gemensamma ansvaret ska utövas bör, enligt gruppen, i princip fastställas av de registeransvariga. Men hänsyn bör också tas till de faktiska omständigheterna och det bör bedömas om arrangemanget avspeglar verkligheten i den bakom- liggande uppgiftsbehandlingen. I yttrandet om personuppgifts- ansvar redogörs även för nedanstående exempel, som är hämtat just ifrån samarbeten mellan vårdgivare inom hälso- och sjukvården. 29- gruppen anför följande i exemplet, som handlar om plattformar för att administrera hälsouppgifter.

I en medlemsstat inrättar en offentlig myndighet en nationell för- bindelsepunkt som reglerar utbytet av patientuppgifter mellan vårdgivare. Mängden registeransvariga – tiotusentals – leder till en så otydlig situation för de registrerade (patienterna) att skyddet av deras rättigheter hotas. För de registrerade skulle det vara mycket svårt att veta vem de skulle vända sig till med eventuella klagomål, frågor och krav på information, rättelser eller tillgång till personuppgifter. Dess- utom är den offentliga myndigheten ansvarig för den faktiska utform- ningen av behandlingen och hur den används. Dessa faktorer leder till slutsatsen att det är den offentliga myndighet som inrättar förbindelse- punkten som ska betraktas som registeransvarig och även fungera som kontaktpunkt dit de registrerade kan vända sig med förfrågningar.

Utredningen anser att 29-gruppens yttrande om begreppet person- uppgiftsansvar ger såväl stöd för utredningens förslag i frågan om personuppgiftsansvar för övergripande säkerhetsåtgärder som väg- ledning för vårdgivare som står i begrepp att analysera och fördela ansvaret i frågor om personuppgiftsbehandling. Mot bakgrund av 29-gruppens uttalanden anser utredningen att det finns ett fåtal konkreta omständigheter som alldeles särskilt kan tyda på att en, eller ett fåtal, av de inblandade vårdgivarna har ett särskilt ansvar för övergripande säkerhetsåtgärder. Sammanfattningsvis kan t.ex.

218

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

följande konkreta omständigheter ge vägledning för vårdgivare att fastställa personuppgiftsansvaret.

Att en vårdgivare dikterat villkoren för övrigas medverkan.

Att en vårdgivare har faktiska möjligheter och befogenheter att vidta åtgärder med avseende på den övergripande säkerheten för personuppgiftsbehandlingen.

Att en vårdgivare ansvarar för kravställning, utveckling, drift- sättning och förvaltning av sådant som avser den övergripande säkerheten för personuppgiftsbehandlingen.

Att det av avtal mellan de samverkande vårdgivarna framgår att en vårdgivare har en dominerande och självständig ställning i frågor som rör övergripande säkerhetsåtgärder.

Samtidigt råder i många samarbeten naturligtvis helt andra förut- sättningar än de som räknas upp ovan. De ska endast betraktas som vägledande just för frågan om någon av de inblandade kan anses ha ett ensamt personuppgiftsansvar för de övergripande säkerhets- åtgärderna. Oavsett om vårdgivarnas bedömning resulterar i att personuppgiftsansvaret för frågor om organisatoriska och tekniska säkerhetsåtgärder är gemensamt eller om det ligger på en av vård- givarna, ska det enligt vårt förslag framgå av överenskommelsen hur personuppgiftsansvaret är fördelat.

219

11Elektroniskt utlämnande av personuppgifter

11.1Bakgrund

Utredningen har i tidigare avsnitt föreslagit att patientdatalagens (2008:355), förkortad PDL, ändamålsbestämmelse ska föras över till hälso- och sjukvårdsdatalagen. Inom ramen för de tillåtna ändamålen är det många gånger aktuellt att behandla person- uppgifter i form av att lämna ut uppgifter till någon utanför den egna verksamheten. Utlämnande kan t.ex. avse personuppgifter som begärs ut från av en annan vårdgivare eller föranledas av en särskilt reglerad uppgiftsskyldighet. Det kan t.ex. också avse sådana uppgifter som ska lämnas ut för att den egna verksamheten ska kunna fullgöra sina uppgifter, t.ex. i samband med samverkan mellan socialtjänsten och hälso- och sjukvården. Även i relation till den medicinska utbildningen och forskningen förekommer regel- mässiga utlämnanden av personuppgifter.

Personuppgifter kan lämnas ut på olika sätt. Ett sätt är via pappersutskrifter från en dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form, exempelvis på medium för automatiserad behandling eller genom direktåtkomst. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring till ett datorsystem till ett annat via telenätet eller att en mottagare ges elektroniskt tillgång till det utlämnande organets datorsystem (direktåtkomst). Elektroniska utlämnanden kan även ske genom s.k. direktåtkomst. Alla dessa olika varianter utgör behandling av personuppgifter enligt det begrepp som definieras i 3 § personuppgiftslagen (1998:204), förkortad PUL.

Enligt utredningens bedömning innebär sättet eller den särskilda tekniken för utlämnande i elektronisk form att det kan uppstå risk för intrång i den personliga integriteten Normalt innebär nämligen

221

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet görs på papper. Direktåtkomst innebär dessutom att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas och på egen hand kan söka efter information. Se vidare i det följande om åtskillnaden mellan begreppen direktåtkomst och utlämnande på medium för automatiserad behandling.

11.2Våra överväganden och förslag

11.2.1Vissa bestämmelser om utlämnande förs över från patientdatalagen

Vårt förslag: Bestämmelser från 5 kap. patientdatalagen med hänvisningar till andra lagar, om utlämnade på medium för automatiserad behandling och om viss uppgiftsskyldighet för myndighet ska föras över från patientdatalagen till hälso- och sjukvårdsdatalagen.

I nuvarande 5 kap. patientdatalagen återfinns ett antal grund- läggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet. Vi föreslår att dessa bestämmelser från 5 kap. patientdatalagen förs över till den nya lagen

Hänvisningar till andra lagar

Våra förslag innebär att patientdatalagens bestämmelser med hänvisningar till andra lagar, vad gäller rätten att ta del av allmänna handlingar och eventuella begränsningar att ta del av uppgifter i enskild hälso- och sjukvård, förs över oförändrade till hälso- och sjukvårdsdatalagen.

Viss uppgiftsskyldighet för myndigheter

Vi föreslår att den nuvarande bestämmelsen i patientdatalagen om en myndighets skyldighet att vid vissa fall lämna ut uppgift ur en patientjournal som upprättats inom den enskilda hälso- och sjuk- vården förs över till hälso- och sjukvårdsdatalagen. Bestämmelsen har i

222

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

allt väsentligt sin grund i den tidigare gällande patientjournallagen (1985:562) och behandlades i prop. 1991/92:104 s. 24 f.

Utlämnande på medium för automatiserad behandling

Vår utgångspunkt är att vårdgivare precis som i dag ska kunna lämna ut personuppgifter på medium för automatiserad behandling om de får lämnas ut. Vi föreslår därför att den nuvarande bestämmelsen i 5 kap. 6 § PDL förs över till hälso- och sjukvårdsdatalagen. Det innebär att det är möjligt för vårdgivare att lämna ut personuppgifter elektroniskt på detta sätt, under förutsättning att det inte finns något sekretesshinder och om personuppgiftsbehandlingen som sådan är laglig. Om uppgifter överhuvudtaget får lämnas ut bestäms av bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt av bestämmelserna om tystnadsplikt i patient- säkerhetslagen (2010:659) förkortad PSL. Inom hälso- och sjukvården råder en sträng sekretess och tystnadsplikt, vilket innebär att det alltid måste prövas om ett utlämnande över huvud taget kan göras eller inte. Vidare följer av de nu gällande och de föreslagna ändamåls- bestämmelserna att personuppgifter får behandlas för ändamålet utlämnande. Bestämmelsen innebär att personuppgifter, som behandlas för ett tillåtet ändamål, också får behandlas för att fullgöra ett uppgiftslämnande som är lagligt.

När det gäller utlämnande på medium för automatiserad behandling delar vi den bedömning regeringen gjorde i förarbetena till patientdatalagen.1 Det finns inget skäl till att för hälso- och sjukvårdens del begränsa den användning av modern teknik som i dag finns i hela samhället. Uppgifter ska därför kunna lämnas ut från hälso- och sjukvården på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis ske genom olika former av filöverföring eller på usb-minne. Det är upp till vårdgivaren att efter en lämplighetsprövning ta ställning till valet mellan en automatiserad överföring och annan överföring.

Under utredningens arbete har det blivit tydligt att det både i hälso- och sjukvården och i socialtjänsten finns behov av att utveckla och implementera it-stöd som gör det möjligt att administrera elektroniska utlämnanden på ett ändamålsenligt och säkert sätt. Det skulle exempelvis kunna förenkla och effektivisera sådana utlämnanden som görs mellan olika vårdgivare. Som ett

1 Prop. 2007/08:126 s. 70–77.

223

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

exempel på ett område där utlämnanden på medium för automatiserad behandling regelmässigt görs kan den samordnade vårdplaneringen nämnas. De flesta kommuner och landsting har även i dag möjlighet att kommunicera elektroniskt vid sådan samordnad vårdplanering ska ske när patienter skrivs ut från slutenvården och är i behov av insatser från socialtjänsten och den kommunala hälso- och sjukvården. Motsvarande typ av it-stöd som i dag används vid samordnad vårdplanering borde kunna vara ända- målsenliga även vid andra utlämnandesituationer. Andra använd- ningsområden kan vara sådana utlämnanden som görs till enskilda. Vidare förekommer i förhållandevis stor omfattning, och mer eller mindre regelmässigt, utlämnanden såväl för forskningsändamål som för utbildningsändamål. Den hanteringen skulle enligt vår bedömning både kunna effektiviserad och bli säkrare genom införandet av nya former av it-stöd för utlämnanden.

Utredningen har i den delredovisning som överlämnades till regeringen den 31 december 2013 redogjort för ett antal tillämpningsfrågor kring utlämnande av personuppgifter. Se vidare bilaga 4.

11.2.2Grundläggande bestämmelser om direktåtkomst förs över till hälso- och sjukvårdsdatalagen

Vårt förslag: De grundläggande bestämmelserna om direkt- åtkomst ska föras över från patientdatalagen till hälso- och sjukvårdsdatalagen. Viss anpassning av hänvisningar i de nuvarande bestämmelserna ska göras med anledning av övriga förslag i hälso- och sjukvårdsdatalagen.

Vår bedömning: Förslaget innebär att utlämnande genom direktåtkomst är tillåten endast i den utsträckning som anges i lag eller förordning. Med direktåtkomst och utlämnande på medium för automatiserad behandling avses i hälso- och sjukvårdsdatalagen samma innebörd som i patientdatalagen. Med direktåtkomst avses i hälso- och sjukvårdsdatalagen således en särskild form av elektroniskt utlämnande av personuppgifter till mottagare utanför vårdgivarens organisation. Med elektronisk åtkomst avses, som i dag, personalens åtkomst till uppgifter som finns elektroniskt tillgängliga i den egna vårdgivarens organisation.

224

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

Hänvisning: Frågan om utlämnande genom direktåtkomst till enskilda behandlas i avsnitt 33.

Vi föreslår att de grundläggande bestämmelserna om direktåtkomst i 5 kap. patientdatalagen förs över till hälso- och sjukvårdsdatalagen, med vissa justeringar avseende språk och struktur samt följdändringar på grund av våra övriga förslag, som har med direktåtkomst att göra. Det handlar i allt väsentligt om att anpassa bestämmelsernas hänvisningar efter hälso- och sjukvårdsdatalagen. För våra överväganden och förslag rörande den gällande bestämmelsen i 5 kap. 5 § PDL om enskildas direktåtkomst hänvisas till avsnitt 33.5.2.

I det följande redogörs kort för begreppet direktåtkomst och för de bestämmelser som vi föreslår ska föras över från patient- datalagen.

Begreppet direktåtkomst

Det är i dag svårt att finna ett entydigt svar på frågan om vad som är direktåtkomst respektive utlämnande på medium för automa- tiserad behandling. Frågan är dessutom föremål för en pågående översyn av Informationshanteringsutredningen (Ju 2011:11), som enligt sina direktiv ska överväga om det finns skäl att i register- författningar behålla åtskillnaden mellan olika former av elektro- niskt utlämnande. Uppdraget ska redovisas 1 december 2014 och av direktiven framgår bland annat följande.2

Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomst- metoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illustreras bl.a. i en rapport som har tagits fram av E-delegationens expertgrupp för rättsliga frågor (Vägledning för direktåtkomst och utlämnande på medium för automatiserad behandling). De aktuella begreppen används inte heller på ett enhetligt sätt i de olika registerförfattningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.).

Mot den angivna bakgrunden ska utredaren analysera vilka effektivi- tetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns

2 Dir. 2011:86 s.19.

225

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

skäl att i registerförfattningarna upprätthålla en skillnad mellan direkt- åtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utredaren anser att en åtskillnad mellan olika former av elektroniskt utlämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.

Även om frågor om direktåtkomst är under översyn finns ett behov för hälso- och sjukvårdens del att vi i detta sammanhang så långt möjligt beskriver vad begreppet innebär och vad som skiljer olika former av utlämnanden åt. Eftersom vi föreslår ett antal bestämmelser om direktåtkomst i hälso- och sjukvårdsdatalagen är det därför nödvändigt att tydliggöra vad vi avser med direkt- åtkomst. Sammanfattningsvis kan konstateras att vi ställer oss bakom regeringens resonemang i förarbetena till patientdatalagen och menar att begreppet direktåtkomst och begreppet utlämnande på medium för automatiserad behandling ska ha samma innebörd i hälso- och sjukvårdsdatalagen.

Det finns emellertid inte någon legaldefinition av begreppet direktåtkomst. En vedertagen uppfattning får dock anses vara att det innebär att en mottagare har elektronisk tillgång till någon annans informationssystem eller databas, t.ex. via internet, och på egen hand kan söka efter och ta del av information. Vanligtvis innebär direktåtkomst ingen möjlighet att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser.3 Ibland kan mottagaren dock ha en möjlighet att kopiera eller på olika sätt ladda ner och hämta hem informationen till sitt eget system för fortsatt personuppgiftsbehandling.4

Frågan om vad som bör anses som direktåtkomst berördes bland annat av patientdatautredningen och i denna del ansluter vi oss till den utredningens resonemang. Patientdatautredningen anförde bland annat följande.5

I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, dvs. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa upp-

3Prop. 2000/01:33 s. 110 f.

4Se t.ex. Prop. 2001:02:144 s. 35 eller SOU 2001:100 s. 149.

5SOU 2006:82 s. 217.

226

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

gifter ska överföras till A. Beslutet om varje överföring fattas i stället av mottagaren.

Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker istället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direkt- åtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.

Regeringen uttalar även i förarbetena till patientdatalagen att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vård- givares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.6

Mot denna bakgrund anser utredningen att med direktåtkomst i hälso- och sjukvårdsdatalagen ska avses en speciell form av elektro- niskt utlämnande av personuppgifter till en mottagare utanför vårdgivarens organisation. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informa- tionen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande.

Mot bakgrund av vad som anförts ovan finns även skäl att tydliggöra att bestämmelser om direktåtkomst inte anses ha en sekretessbrytande effekt enligt offentlighets- och sekretesslagen. Bestämmelser om direktåtkomst har en annan funktion än sekre- tessbrytande regler. Medan sekretessbrytande regler anger i vilken mån sekretessbelagda uppgifter över huvud taget får lämnas från en myndighet till en annan, tar bestämmelser om direktåtkomst sikte på själva formerna för utlämnandet. Om en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelser om direktåtkomst därför kompletteras med en sekretessbrytande bestämmelse. I anslutning till våra resonemang om möjligheter till direktåtkomst mellan vårdgivare och mellan vårdgivare och de som bedriver socialtjänst berörs denna fråga ytterligare.

6 Prop. 2007/08:126 s. 76.

227

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

Begreppet elektronisk åtkomst

För att skilja på situationer där åtkomst sker till uppgifter som finns lagrade i en annan vårdgivares organisation, dvs. direkt- åtkomst, från situationer där åtkomst sker till uppgifter som finns lagrade i personalens egen organisation, dvs. hos den egna vård- givaren, används i dag begreppet elektronisk åtkomst. Vi bedömer att begreppet elektronisk åtkomst ska ha samma innebörd i hälso- och sjukvårdsdatalagen som det har i nuvarande patientdatalag. När det gäller personalens möjligheter att elektroniskt ta del av uppgifter som finns tillgängliga i vårdgivarens egen organisation används således begreppet elektroniskt åtkomst.7

Även om frågan kan betraktas som något akademisk är det viktigt att ha ett begrepp för att särskilja när åtkomsten används till uppgifter inom eller utom den egna organisationen. Som exempel på elektronisk åtkomst kan nämnas när personal på en vårdavdelning tar del av de uppgifter om patienten som dokumenterades av akutmottagningen på samma sjukhus. Detta naturligtvis under förutsättning att akut- verksamheten och verksamheten på avdelningen bedrivs av samma vårdgivare.

I hälso- och sjukvårdsdatalagen återfinns begreppet elektronisk åtkomst endast i den bestämmelse som tydliggör patientens möjlig- het att begränsa åtkomst till uppgifter inom och mellan vårdgivare som bedriver hälso-och sjukvårdsverksamhet som samma huvud- man ansvarar för.

Direktåtkomst tillåten endast om det anges i lag eller förordning

Mot bakgrund av vad som redovisats ovan kan konstateras att direktåtkomst medför helt andra risker för integritetsskyddet än andra former av utlämnande som t.ex. innebär att beslut om utlämnande fattas vid varje givet överföringstillfälle. Därför bör det i hälso- och sjukvårdsdatalagen framgå att utlämnande genom direktåtkomst endast är tillåten i den utsträckning som anges i lag eller förordning. Bestämmelsen överförs således från patientdatalagen.

När det gäller vilka fall av direktåtkomst som bör vara lagliga har det alltsedan patientdatalagen trädde ikraft framförts önskemål om utökade möjligheter till direktåtkomst. Det har bland annat handlat om direktåtkomst mellan hälso- och sjukvården och social-

7 Prop. 2007/08:126 s. 239.

228

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

tjänsten. Ett annat område som har lyfts fram är hälso- och sjuk- vårdens samarbete med den medicinska forskningen och läke- medelsindustrin, där direktåtkomst skulle kunna underlätta det informationsutbyte som i dag görs genom andra typer av utläm- nanden. Vidare har den tekniska utvecklingen, som anförts ovan, medfört att det i praktiken i enskilda situationer kan vara väldigt små skillnader mellan vad som är att betrakta som direktåtkomst och vad som är att betrakta som utlämnande på medium för automatiserad behandling. Var man landar i bedömningen har dock ofta en helt avgörande betydelse för frågan om utlämnandet är lagligt eller inte. Medan utlämnandet i regel å ena sidan kan betraktas som lagligt för det fall det bedöms ske på medium för automatiserad behandling, blir utlämnandet å andra sidan ofta otillåtet om det är att betrakta som direktåtkomst.

Detta är självklart ingen eftersträvansvärd situation för de som har att tillämpa lagstiftningen och utveckla effektiva och säkra it- lösningar för informationshanteringen. Utveckling på detta område tar inte sällan flera år och är även kostsam. En otydlighet kring vad som är att betrakta som direktåtkomst och vad som är att betrakta som annat utlämnande medför inte endast svårigheter för de som tillämpar lagstiftningen utan det riskerar också att bromsa en utveckling som skulle kunna vara till nytta både för enskilda individer och för olika verksamheter, utan att nödvändigtvis med- föra otillbörliga risker för integritetsförluster. Inte minst visar regeringens uppdrag till den tidigare nämnda informations- hanteringsutredningen på behovet av en generell översyn av dessa frågor.

Sett mot denna bakgrund ser vi samtidigt att regeringen kan behöva vara särskilt aktiv på hälso- och sjukvårdens och social- tjänstens område för att hela tiden uppmärksamma om utveck- lingen för med sig behov av författningsändringar för att tillåta direktåtkomst i nya situationer eller i nya former. Sådana nya behov av direktåtkomst, i situationer som inte innebär stora risker för intrång i den personliga integriteten, skulle möjligen kunna regleras på förordningsnivå. Det ger även en möjlighet att hålla regelverket i takt med den rådande utvecklingen.

För hälso- och sjukvårdens del föreslår vi enligt ovan att direkt- åtkomst, precis som i dag, ska vara tillåten endast i den utsträck- ning som anges i lag eller förordning. I hälso- och sjukvårds- datalagen föreslås i det följande ett antal sådana situationer.

229

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

Vissa fall av direktåtkomst anges i lagen

I patientdatalagen regleras i dag vissa fall av tillåten direktåtkomst, t.ex. mellan hälso- och sjukvårdsmyndigheter i samma landsting eller samma kommun, mellan vårdgivare i sammanhållen journal- föring, för vårdgivare i samband med användningen av nationella eller regionala kvalitetsregister samt för vårdgivares utlämnande till enskilda.

Vi föreslår att den nuvarande bestämmelsen i patientdatalagen som medger direktåtkomst mellan myndigheter i samma landsting eller samma kommun överförs till hälso- och sjukvårdsdatalagen, men att den i lagen placeras i anslutning till vissa andra bestämmelser om direktåtkomst mellan vårdgivare. Vidare föreslår vi att den bestämmelse som räknar upp när direktåtkomst är tillåten ska utökas till att omfatta också den nya formen för direktåtkomst inom en huvudmans ansvarsområde som vi föreslår. Se avsnitt 13 för våra överväganden och förslag i denna del. Vidare lämnar vi i det följande förslag om möjligheter till direktåtkomst vid monitorering (källdatagranskning) i samband med forskning inom hälso- och sjukvården. Frågan om vårdgivares möjlighet att lämna ut uppgifter till enskilda genom direktåtkomst behandlas i avsnitt 33.

11.2.3Direktåtkomst vid källdatagranskning i samband med kliniska prövningar m.m.

Vårt förslag: En möjlighet till direktåtkomst för källdata- granskning (monitorering) vid forskning inom hälso- och sjuk- vården ska införas i hälso- och sjukvårdsdatalagen. Sådant utlämnande genom direktåtkomst får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdata- granskningen.

För att göra direktåtkomsten möjlig föreslås en sekretess- brytande bestämmelse i offentlighets- och sekretesslagen. I lagen ska anges att hälso- och sjukvårdssekretess inte hindrar sådant utlämnande genom direktåtkomst för källdatagranskning som görs i enlighet med den föreslagna bestämmelsen i hälso- och sjukvårdsdatalagen.

230

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

Vår bedömning: Den föreslagna varianten av direktåtkomst är mer integritetsvänligt än utlämnanden på medium för automa- tiserad behandling, där mottagaren förutsätts ta hand om de utlämnade uppgifterna och hantera samt förvara dem i sin organisation. Med direktåtkomst kan monitoreringen bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och ske med hjälp av moderna tekniska lösningar.

Inledning

I samband med forskning inom hälso- och sjukvården, och kanske framför allt vid kliniska prövningar, ska en granskning göras av att uppgifterna i studien (studiedata) överensstämmer med uppgifter i patientjournalen. Denna källdatagranskning benämns ofta moni- torering.

En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.

När det gäller läkemedel bedrivs de kliniska prövningarna oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktisk innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, vanligtvis på ett sjukhus och under ledning och uppsikt av vårdgivarens hälso- och sjukvårdspersonal. Närmare förutsättningar om hur kliniska läkemedelsprövningar får genomföras m.m. finns bland annat i läkemedelslagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.

Enligt internationella riktlinjer om god klinisk sed (GCP) ska prövare, i detta fall vårdgivare, ge monitorer tillgång till all efter- frågad prövningsrelaterad dokumentation (källdata) avseende

231

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

berörda forskningspersoners deltagande i kliniska prövningar. Den som utför monitoreringen ska enligt riktlinjerna kunna verifiera alla data som har betydelse för utvärderingen av den kliniska prövningen.

God klinisk sed har central betydelse i forskningssammanhang. Här kan nämnas att i huvuddirektivet om kliniska prövningar (2001/20/EG) anges att kliniska prövningar ska utföras i enlighet med god klinisk sed. Frågan lyfts även i kommissionens direktiv (2005/28/EG) om fastställande av principer och detaljerade riktlinjer för god klinisk sed. I ingressen anges att de internationella riktlinjerna om god klinisk sed bör beaktas. Direktiven om kliniska läkemedels- prövningar genomförs i Sverige i huvudsak genom Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar, där det i 3 kap. 1 § anges att god klinisk sed ska tillämpas. De krav som ställs på prövare och monitorer enligt god klinisk sed får därmed anses gälla i Sverige, trots att det i svensk författning i och för sig inte finns någon uttrycklig bestämmelse om prövarnas och monitorernas skyldigheter när det gäller källdatagranskningen.

Monitorering utförs i stor utsträckning i Sverige. Vid utredningens kontakter med Läkemedelsverket har vi fått informa- tion om att det pågår uppskattningsvis omkring 2 000–3 000 kliniska prövningar i Sverige och att dessa sammantaget omfattar mellan 20 000 och 25 000 patienter. Forskningsintensiva kliniker kan ha besök av flera monitorer varje vecka.

Tillvägagångssätt vid monitorering

Det grundläggande lagliga stödet för att utföra en källdata- granskning ligger i det samtycke som patienter lämnar i samband med deltagande i kliniska prövningar. Regelmässigt inhämtas pati- entens samtycke till att delta i studien, till att personuppgifter behandlas på sätt som beskrivits i patientinformationen samt att journalkopior får hämtas in och användas för källdatagranskning.

Även om forskning är nära förknippat med hälso- och sjuk- vårdsaktörernas uppdrag anses forskning och den individinriktade hälso- och sjukvården i regel vara skilda verksamheter i sekretess- hänseende. Det innebär att det normalt sett gäller sekretess mellan en vårdgivares individinriktade patientverksamhet och den verk- samhet som en vårdgivare bedriver när denne genomför forskning

232

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

på uppdrag av t.ex. ett läkemedelsföretag (sponsor). Regeringen anför bland annat följande i förarbetena till patientdatalagen.8

När det gäller forskning som bedrivs inom en hälso- och sjukvårds- myndighet måste man skilja mellan sådan forskning, som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs med myndigheten som huvudman. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården. Den förstnämnda typen av forskning omfattas av hälso- och sjukvårdssekretessen. Vid annan forskning som bedrivs med en hälso- och sjukvårdsverksamhet som huvudman över- förs hälso- och sjukvårdssekretessen till forskningsverksamheten enligt 1 kap. 3 § andra stycket och 13 kap. 3 § sekretesslagen. Hälso- och sjukvårdsverksamheten inklusive forskning som sker som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom myndigheten å andra sidan utgör således olika verksamhetsgrenar i den mening som avses i 1 kap. 3 § sekretesslagen (jfr prop. 1979/80:2 Del A s. 463 f. och 494).

Om det föreligger sekretess mellan vårdgivarens individinriktade patientverksamhet och den verksamhet som bedrivs i en klinisk prövning måste uppgifterna ur patientjournalen formellt sett lämnas ut till den som ska utföra källdatagranskningen, dvs. monitorera. I ett sådant fall saknar det betydelse om den som ska utföra monitoreringen är anställd hos vårdgivaren eller om det är någon annan person som sponsorn har utsett.

Utlämnande av uppgifter för monitorering kan i dag göras antingen manuellt på papper eller elektroniskt på medium för automatiserad behandling, t.ex. cd eller usb-minne. Däremot finns ingen bestämmelse i nuvarande patientdatalag som särskilt tillåter att uppgifterna lämnas ut genom direktåtkomst. Som redovisats i det föregående är utlämnande genom direktåtkomst enligt patient- datalagen endast tillåten i den utsträckning det framgår av lag eller förordning.

Frågan har uppmärksammats av exempelvis Läkemedelsverket och även varit föremål för uttalanden och tillsyn från Data- inspektionen. I sammanhanget kan exempelvis nämnas att Data- inspektionen i tillsynsbeslut bedömt att ett landstings sätt att lämna ut uppgifter för monitorering var att betrakta som direkt- åtkomst och därmed skedde i strid mot patientdatalagen.9 I det aktuella landstinget hade en särskild applikation utvecklats för att tillgodose behovet av källdatagranskning. Genom applikationen

8Prop. 2007/08:126 s. 202.

9Datainspektionens beslut 2012-11-09, dnr. 59-2012.

233

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

kunde åtkomst till patientuppgifter begränsas till att omfatta journalförda uppgifter endast om de patienter som samtyckt till att ingå i den kliniska läkemedelsprövningen. Den som utförde monitoreringen fick därmed inte som vid många andra varianter av direktåtkomst en potentiell tillgång till uppgifter om andra pati- enter än de som omfattades av den aktuella läkemedelsprövningen. Applikationen fungerade som en portal genom vilken behöriga monitorerare kunde logga in och därigenom ta del av patient- uppgifter i journalsystemet utan att ha möjlighet att ta del av uppgifter om andra patienter än de som ingick i studien. Vid onko- logen, där applikationen utvecklades, behövs vid de flesta studier i princip tillgång till all information i den enskilde patientens journal. Den som utför monitorereringen får därför tillgång till samtliga uppgifter om patienten, dvs. de uppgifter som finns i det aktuella journalsystemet.

Datainspektionen bedömer i beslutet att landstingets appli- kation, genom att det fungerar som en begränsad portal för inlogg- ning i journalsystemet innebär att uppgifter lämnas ut genom direktåtkomst, vilket inte är tillåtet för monitorering. Vidare pekar myndigheten på att det efter beslutet om utlämnande kan komma att dokumenteras nya uppgifter om patienten i journalsystemet, vilka i sådant fall kommer att vara åtkomliga för monitoreraren genom sidoapplikationen. Av den anledningen synes Datainspek- tionen mena att den tekniska utformningen är sådan att monitorn kan söka fram andra uppgifter än de som omfattas av vårdgivarens sekretessprövning och beslut om utlämnande. Sammanfattningsvis förelades landstinget att upphöra med att lämna ut uppgifter i applikationen på det sätt som beskrivits.

Närmare om vårt förslag

Elektroniskt utlämnande genom direktåtkomst kan ske på en mängd olika sätt och skilja sig mycket åt. Det finns exempel på direktåtkomst där den potentiella tillgången till uppgifter är större än vad den enskilde användaren i det enskilda fallet har behov av. Vidare finns exempel på direktåtkomst där den enskilde patientens samtycke inte krävs, men där det kan finnas en möjlighet för patienten att motsätta sig. Den typ av direktåtkomst som beskrivs ovan skiljer sig emellertid mycket från detta. En tydlig skillnad är att direktåtkomsten endast avser patienter som ingår i studien och

234

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

har lämnat sitt samtycke till deltagande. Den potentiella tillgången till uppgifter är därmed begränsad till det behov som finns för att kunna utföra källdatagranskningen. Den tillgång till överskotts- information som direktåtkomst ofta medför saknas därmed. Visserligen innebär direktåtkomsten att samtliga uppgifter om patienten går att nå i samband med källdatagranskningen. Såvitt utredningen har kunnat bedöma så motsvaras detta emellertid av det behov som i regel finns. Den eventuella överskottsinforma- tionen får samtidigt betraktas som väldigt begränsad. Utöver detta har patientens egen inställning avgörande betydelse för person- uppgiftsbehandlingen och utlämnandet av uppgifter. Patienten har samtyckt till deltagande i studien, till den personuppgifts- behandling som äger rum i studien och till det utlämnande av uppgifter som behövs för källdatagranskningen.

Sammantaget bedömer utredningen att det finns övervägande skäl som talar för att direktåtkomst för monitorering vid forskning inom hälso- och sjukvården bör vara tillåtet. Förutom vad som redovisats ovan kan direktåtkomst, i den form som här är aktuell, även betraktas som ett mer integritetsvänligt alternativ än utläm- nande på medium för automatiserad behandling. Vid den senare formen av utlämnande lämnas uppgifter ut exempelvis genom filöverföring, på cd eller på usb-minne. Ett sådant utlämnande innebär att uppgifterna sprids utanför prövarens organisation och ska omhändertas av den sponsrande läkemedelsföreraget. Detta trots att sponsorn inte har något behov av att ta del av uppgifterna på detta sätt eller att fortsatt hantera dem i sin verksamhet. Enligt god klinisk sed ska en sponsor inte heller känna till försöks- personernas identitet. Att i dessa fall lämna ut uppgifter genom direktåtkomst skulle därmed kunna innebära att patientens behov av skydd för den personliga integriteten bättre tillgodoses. Detta genom att uppgifter vid monitoreringen inte föranleder någon ytterligare spridning och lagring av uppgifterna. Den som utför monitoreringen har därmed endast en tillfällig tillgång till uppgifterna så länge det behövs för monitoreringen. Ett utläm- nande genom direktåtkomst för monitorering förefaller därför vara mer ändamålsenligt än andra former av elektroniska utlämnanden.

Läkemedelsverket har även i kontakter med utredningen framfört att det är av stor betydelse att regelverket ger monitorer förutsättning att granska läkemedelsprövningar på det sätt som krävs enligt reglerna om god klinisk sed och i övrigt på ett ändamålsenligt sätt med användandet av säkra tekniska lösningar.

235

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

Att regelmässigt lämna ut uppgifter manuellt på papper anses inte vara någon bra lösning och när det gäller utlämnanden på medium för automatiserad behandling anförs att det kan skapa risker för informationsläckage. Myndigheten har också pekat på att utlämnande på medium för automatiserad behandling i regel innebär att uppgifterna lämnar kliniken, dvs. prövarens verksamhet, och att det saknas behov av detta både för sponsorns räkning och för möjligheterna att följa god klinisk sed.

Sammantaget bedömer vi att det finns skäl att tillåta direkt- åtkomst för monitorering vid forskning inom hälso- och sjuk- vården. Utredningen föreslår därför att detta ska tillåtas genom en uttrycklig bestämmelse i hälso- och sjukvårdsdatalagen. Utläm- nande genom direktåtkomst för monitorering ska endast vara tillåten om patienten samtyckt till medverkan i forskningsstudien och till den personuppgiftsbehandling som görs inom ramen för studien samt till utlämnandet av uppgifter för monitorering.

Eftersom bestämmelser om direktåtkomst i sig inte har sekretessbrytande effekt bör en sekretessbrytande bestämmelse föras in i offentlighets- och sekretesslagen. Visserligen har pati- enten, genom att lämna sitt samtycke till utlämnandet av uppgifter, eftergivit sekretessen till förmån för monitoreringen. Samtidigt bedömer vi att det finns skäl att tydliggöra att direktåtkomsten får avse uppgifter som dokumenterats efter det att patienten lämnat sitt samtycke till utlämnandet och att detta bör tydliggöras genom en sekretessbrytande bestämmelse på motsvarande sätt som gäller för andra typer av direktåtkomst. Av offentlighets- och sekretess- lagen bör därför följa att hälso- och sjukvårdssekretess inte hindrar sådant utlämnande genom direktåtkomst vid kliniska prövningar som görs i enlighet med den föreslagna bestämmelsen i hälso- och sjukvårdsdatalagen.

236

12Ett tydligare ansvar för patientjournalen och dess innehåll

12.1Vårt uppdrag m.m.

I utredningens övergripande uppdrag ingår att identifiera både nödvändiga förutsättningar för en ändamålsenlig och mer samman- hållen informationshantering inom hälso- och sjukvården och vilka hinder för en sådan informationshantering som finns i dag. Med utgångspunkt från det ska utredningen föreslå de lagstiftnings- åtgärder som behövs.

En väsentlig del av personuppgiftsbehandlingen i hälso- och sjukvården görs primärt i syfte att bidra till god och säker vård av enskilda patienter. För att åstadkomma en fungerande och samman- hållande reglering av behandlingen av personuppgifter i hälso- och sjukvården är det därför nödvändigt att särskilt beakta vad som gäller i fråga om patientjournalen. Inom ramen för vårt övergripande upp- drag är patientjournalen och patientjournalföringen därför av cen- tral betydelse.

Hantering av personuppgifter i patientjournaler är nödvändig för att kunna erbjuda en god och säker vård. Dokumentationen av olika åtgärder och insatser kan vara helt avgörande för patient- säkerheten. I en tid när allt fler vårdgivare samverkar i vården av enskilda patienter blir betydelsen av dokumentationen i patient- journalen dessutom ännu större. Fler och fler yrkesutövare är involverade i vården av en patient och i journalföringen rörande den aktuella patienten. Det gör bland annat att frågor om en ända- målsenlig journalföring och om ansvar för patientjournalens inne-

237

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

håll och utformning behöver hänga med och vid behov anpassas till rådande och framtida förhållanden

Regler om hantering av uppgifter i patientjournaler fanns fram till 1 juli 2008 framför allt i patientjournallagen (1985:562), men även i lagen (1998:544) om vårdregister. De materiella regler som reglerar journalföringsplikten och patientjournalens innehåll m.m. har därefter reglerats i 3 kap. patientdatalagen (2008:355), för- kortad PDL. Patientdatalagens regler om journalföring gäller både inom offentlig och privat hälso- och sjukvård, alldeles oberoende om journaler förs på papper eller elektroniskt. I praktiken över- fördes de flesta bestämmelser om patientjournalen och journal- föringen i princip oförändrade från patientjournallagen till patient- datalagen. Det innebär bland annat att även dagens bestämmelser i allt väsentligt bygger på det förslag till lag som lämnades av Journalutredningen i deras huvudbetänkande Patientjournalen (SOU 1984:73).

Sedan mitten av 1980-talet, då patientjournallagen trädde ikraft, har det på flera plan skett en stor utveckling av hälso- och sjuk- vården. När det gäller patientjournalföringen har utvecklingen gått från en tid när patientjournalen var starkt förknippad med enskilda yrkesutövare och deras journalföringsplikt, till en tid när vård- givarens betydelse för hanteringen av patientjournaler blivit allt större. Där patientjournalen tidigare i stor utsträckning kunde hanteras isolerat av enskilda yrkesutövare eller enskilda kliniker, har vi i dag landstingsövergripande journalsystem där vårdgivaren är den som tillhandahåller de närmare förutsättningarna för journalföringen och för utbytet av uppgifter inom och mellan organisationer. Det innebär att vårdgivare och yrkesutövare i större utsträckning än tidigare tillsammans ansvarar för att journalföringen är ändamåls- enlig och att uppgifterna är korrekta och kan ligga till grund för patientens fortsatta vård. Bland annat mot den bakgrunden kan det enligt vår bedömning finnas särskilda skäl för att analysera hur regelverket är anpassat till de behov och förutsättningar som gäller i dag.

Vidare har vi även gått från en tid där journalföringen många gånger handlade om att i efterhand dokumentera de bedömningar som gjorts och de åtgärder som vidtagits i vården av en patient, till en tid när journalföringen och användningen av uppgifter i en patientjournal kan stödja yrkesutövaren direkt i själva arbets- processen. Journalföringen kan då ske i samband med den individ- inriktade patientvården och ge ett konkret och kunskapsstyrande

238

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

beslutsstöd till den som står i begrepp att ta ställning till patientens vård och behandling. De möjligheter att på detta sätt förändra informationshanteringen som den tekniska utvecklingen har fört med sig utgör också en anledning till översyn av regelverket.

Av utredningsdirektivet framgår vidare att utredningen särskilt ska överväga förändrade förutsättningar för att ansöka om journal- förstöring. Enligt nuvarande lagstiftning får ansökan om för- störande av patientjournal göras till Inspektionen för vård och omsorg, antingen av den enskilde själv eller av någon annan som omnämns i journalen. I de fall vårdpersonal för in felaktigheter i journalen av misstag finns två alternativa sätt att korrigera miss- taget. Antingen görs en rättelse enligt patientdatalagen eller så kontaktar vårdgivaren patienten och ber denne ansöka om för- störande av journalanteckningen. Det första alternativet, en rättelse, innebär att den felaktiga uppgiften ändå finns kvar i journalen. För det andra alternativet kan det i vissa fall finnas omständigheter som gör att det inte är lämpligt att vårdgivaren kontaktar patienten. Det kan t.ex. inträffa att uppgifter om en helt annan patient antecknas i en patients journal. Mot den bakgrunden har utredningen fått i uppdrag att överväga om det bör införas en möjlighet för vård- givare att ansöka om journalförstöring och, om det bedöms som lämpligt, lämna förslag till en sådan reglering.

Sammantaget innebär detta att det i utredningens uppdrag i första hand ingår att analysera frågor om ansvaret för patient- journalen och dess innehåll samt hur de delarna i regelverket kan bidra till en mer ändamålsenlig och sammanhållen informations- hantering inom hälso- och sjukvården.

Även om det i och för sig inte finns några hinder för det enligt utredningsdirektivet har vi uppfattat direktivet så att det i vårt upp- drag inte primärt ingår att pröva alla materiella bestämmelser i patientdatalagens regelverk om patientjournalen och journalföringen. Vi har således inte gjort någon närmare analys exempelvis av bestämmelserna om journalföringsplikt.

239

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

12.2Gällande rätt om ansvaret för patientjournalen och dess innehåll

12.2.1Grundläggande förutsättningar

Tillgång till rätt information i rätt tid är grundläggande för en god och säker vård. Även ur ett integritetsperspektiv är det centralt att de uppgifter som hanteras om en patient är korrekta och relevanta för ändamålet. Därför är det noga reglerat i lag hur en patient- journal ska föras och hur uppgifterna i journalen ska hanteras.

I patientdatalagen finns bestämmelser om skyldigheten att föra journal och vad en journal ska innehålla. Men det finns också bestämmelser i patientdatalagen som syftar till att informations- säkra innehållet i journalen. Det är framförallt bestämmelserna om ansvar för anteckningen (3 kap. 4 §), anteckning av patientens avvikande mening (3 kap. 8 §), skyndsamhet (3 kap. 9 §), signering (3 kap. 10 §), rättelse (3 kap. 14 §), bevarandetid (3 kap. 17 §) och bestämmelserna om journalförstöring (8 kap. 4 §). Nedan redogörs översiktligt för vad dessa regler innebär och lite kort om patient- journalen som allmän handling samt vad som gäller för gallring av journaluppgifter m.m.

Varför ska det finnas en patientjournal?

Det grundläggande syftet med att föra journal och bevara journal- anteckningarna är att det ska finnas information om patienten till- gänglig för hälso- och sjukvårdspersonalen så att patienten kan få vård och behandling under säkra förhållanden och av god kvalitet. Journalen ska i första hand kunna användas av hälso- och sjuk- vårdspersonalen som ett hjälpmedel för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjlighet att utöva tillsyn över hälso- och sjukvården. Journal- uppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga sammanhang, t.ex. i klinisk och epidemiologisk forskning. Det är därför viktigt att uppgifterna som finns i patientjournalen är korrekta och att man kan lita på att de inte kan ändras hur som helst.

240

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

Vem ska föra patientjournal?

I 3 kap. 3 § PDL anges vilka som är skyldiga att föra patientjournal. Skyldigheten gäller främst den som har legitimation eller ett särskilt förordnande att utöva ett visst yrke inom hälso- och sjukvården eller tandvården. Den som är verksam som kurator i den allmänna hälso- och sjukvården är också skyldig att föra journal.

Även andra personalkategorier än de som räknas till hälso- och sjukvårdspersonal får dokumentera i en patientjournal om det följer av de rutiner för dokumentation som finns i verksamheten. Det kan exempelvis handla om undersköterskor och skötare som på olika sätt deltar i patientens vård och behandling

12.2.2Ansvaret för uppgifterna i patientjournalen

Den som för journal ansvarar enligt 3 kap. 4 § PDL för de uppgifter som han eller hon för in i journalen. Patientjournalen ska innehålla uppgift om vem som har gjort en viss anteckning och när anteck- ningen gjordes (3 kap. 6 § PDL). Ansvaret för journalanteckningen hör ihop med det personliga yrkesansvaret. Den som tillhör hälso- och sjukvårdspersonalen bär enligt 6 kap. 2 § patientsäkerhetslagen (2010:659), förkortad PSL, själv ansvaret för hur han eller hon full- gör sina arbetsuppgifter. Journalanteckningen ska återge på vilket sätt yrkesutövaren fullgjort sina arbetsuppgifter. Det ingår i arbets- uppgifterna att ge patienten en sakkunnig och omsorgsfull vård som uppfyller kraven på vetenskap och beprövad erfarenhet. För att kunna göra det måste yrkesutövaren ta del av den bakgrunds- information som finns om patienten samt dokumentera sina egna ställningstaganden och insatser i patientjournalen.

Det är viktigt av flera skäl att uppgifter om journalförarens identitet och yrkeskompetens finns i journalen. Det kan t.ex. vara viktigt i samband uppföljning och kvalitetssäkring och i samband med tillsynsärenden. Också vårdpersonalens arbete underlättas av att det går att utläsa av journalen vilka kolleger som tagit del i vården.1

Genom att signera journalanteckningen bekräftar yrkesutövaren att innehållet i journalanteckningen är kontrollerat och att han eller hon kan stå för innehållet.2

1Prop. 1984/85:189 s. 19.

2Socialutskottets betänkande 1984/85:SoU33 s. 9.

241

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

Det framgår bara indirekt av lagstiftningen vem som har ansvaret för hanteringen och bevarande av patientjournalerna. Vårdgivaren har enligt 3 kap. 1 § PSL ansvar för att planera, leda och kontrollera verksamheten så att kravet på god vård i hälso- och sjukvårdslagen uppnås. I hälso- och sjukvårdslagen (1982:763), förkortad HSL, finns utöver det övergripande kravet att hälso- och sjukvården ska bedrivas så att god vård uppnås även t.ex. krav på att det där det bedrivs vård ska finnas den personal, de lokal och den utrusning som behövs för att nå detta mål (2 a och 2 e HSL). Det är naturligt att den som bedriver och ansvarar för verksamheten också ansvarar för hanteringen och förvaringen av journalerna.3

Varje vårdgivare eller varje myndigheter inom en vårdgivare är enligt 2 kap. 6 § PDL personuppgiftsansvarig för de personupp- gifter som behandlas i verksamheten.

Vårdgivaren ansvarar alltså för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i verksamheten. I det ansvaret ligger också ett ansvar för gallring och arkivering.

Den som bedriver hälso- och sjukvårdsverksamhet ska alltså ordna med bl.a. journalförvaring och iaktta vad som krävs beträffande skyddsnivån och bevarandetiden.4

12.2.3Patientens avvikande mening ska antecknas

Varje uppgift i en journalhandling som upprättas inom hälso- och sjukvården ska utformas så, att patientens integritet respekteras. Uppgifterna ska vila på ett korrekt underlag och inte vara av nedsättande eller kränkande karaktär. Hänsynen till patienten förut- sätter en betydande återhållsamhet när det gäller uppgifter om patientens privatliv. Detsamma gäller subjektiva värderingar som bara bör få förekomma om de grundas på korrekt underlag och är av verklig betydelse för medicinska ställningstaganden. Uppgifter om tredje person bör så långt möjligt undvikas5. Känsliga uppgifter som patienten meddelat i förtroende ska inte ogenomtänkt föras in i journalen. I den mån uppgifterna är relevanta för tolkning av sjukdomsbilden ska de givetvis skrivas in, vilket ställer särskilda krav på utformningen. En patientjournal behöver dock mera sällan innehålla detaljerade återgivanden.

3Prop. 1984/85:189 s. 26 och prop. 1991/92:104 s. 9.

4Aa s. 11.

51984/85:189 s. 14 f och 20 f.

242

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

Om en patient anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det enligt 3 kap. 8 § PDL antecknas i journalen. Bestämmelsen är en komplettering till bestämmelserna om rättelse och journalförstöring. För att rättelse av en journal- uppgift på patientens begäran ska göras krävs att den som ansvarar för uppgiften är ense med patienten om felaktigheten. Om patienten inte lyckas övertyga den som ansvarar för journalen om att en viss uppgift är felaktig kommer uppgiften inte att ändras.

Patienten har även en möjlighet att få journaluppgifter för- störda, men detta är tillåtet endast i undantagsfall. En patients möjlighet att få journaluppgifter utplånade är i realiteten ganska små eller i vart fall omständliga.6

I takt med att vårdgivare samarbetar och inför journalsystem som gör det möjligt att följa patienten genom processer och över vårdgivargränser kan det vara av betydelse för enskilda patienter att kunna markera missnöje med journaluppgifter som man av någon anledning anser är felaktiga.7

Bestämmelsen om avvikande mening ger den enskilda patienten en möjlighet att markera att han eller hon har en avvikande upp- fattning från vad som har antecknats i journalen. Det är tillräckligt att det av anteckningen framgår att patienten har en avvikande uppfattning. Vilken uppfattning patienten har behöver således inte på grund av denna bestämmelse redovisas. Bestämmelsen innebär ingen rätt för patienten att själv skriva i sin journal eller bestämma vad som ska stå i den.8

Det finns dock inget hinder mot att patienter tillåts att mera direkt bidra till innehållet i journalen genom att t.ex. registrera uppgifter från egenvård såsom mätvärden eller liknande. Vård- givaren ansvarar för att det förs journal i enlighet med patientdata- lagen och att journalföringen är ändamålsenlig.

Exempel på sådan informationsinhämtning som kan ske elek- troniskt och på ett effektivt sätt bidra till innehållet i patient- journalen är olika former av hälsodeklarationer som patienter kan fylla i t.ex. inför en kontakt med vården. Det kan även handla om att patienter registrerar och elektroniskt rapporterar in olika mät- värden till en vårdgivare.

Det förhållande att patienter med hjälp av den tekniska utveck- lingen elektroniskt kan bidra med sådana uppgifter som har

6Prop. 2007/08:126 s. 93.

7SOU 2006:32 s. 261.

8SOU 2006:32 s. 538.

243

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

betydelse för en god och säker vård innebär dock inte att det är patienten som för journalen. Det bör i stället betraktas som att vårdgivaren i sina rutiner för att inhämta den information som behövs för god och säker vård tillhandahåller definierade möjlig- heter för patienten att bidra med viktig information. Ur ett journalföringsperspektiv är det heller ingen egentlig skillnad mellan en hälsodeklaration som förut inkom på papper och tillfogades journalen och en hälsodeklaration som lämnas in elektroniskt och tas om hand elektroniskt i journalen.

Det är i princip uteslutande via internet som vårdgivare och patienter kan kommunicera elektroniskt. Av den anledningen är det nödvändigt att vårdgivare som tillhandahåller sådana möjlig- heter även ser till att vidta de säkerhetsåtgärder som krävs, t.ex. för att skydda uppgifterna från obehörig åtkomst. Såväl ur ett patient- säkerhetsperspektiv som ur integritetshänseende måste även patientens identitet kunna säkerställas vid sådan elektronisk kom- munikation.

12.2.4Patientjournalen som allmän handling

Patientjournaler som upprättas och förvaras inom den offentliga hälso- och sjukvården utgör allmänna handlingar enligt tryck- frihetsförordningen. Det innebär att sådana patientjournaler omfattas av bestämmelserna om offentlighet och sekretess som finns i tryckfrihetsförordningen och i offentlighets- och sekretess- lagen (2009:400), förkortad OSL.9 Detta har påverkat utform- ningen av lagstiftningen om patientjournaler, som noggrant reg- lerat hur uppgifter får rättas, förstöras och hur länge de ska bevaras. På det sättet kan man säga att offentlighetsprincipen påverkar även privat utförd hälso- och sjukvård.

Rätten att ta del av uppgifter i en patientjournal som finns i den offentliga hälso- och sjukvården är följaktligen reglerad på samma sätt som rätten att ta del av andra allmänna handlingar. Offent- lighetsprincipen gäller i grunden, men bestämmelser om sekretess begränsar rätten att ta del av handlingarna.

En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten. När det gäller diarium, journal, register eller annan förteckning som förs löpande anses en handling upprättad när handlingen färdig-

9 Prop. 1984/85:189 s. 15 ff.

244

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

ställts för anteckning eller införing (2 kap. 7 § första stycket tryck- frihetsförordningen).

Högsta förvaltningsdomstolen har i en dom 2013 beslutat att en anteckning som görs i en patientjournal omedelbart blir en allmän handling. Domstolen fann att signeringen av en journalanteckning inte har någon betydelse för bedömningen av när anteckningen ska anses utgöra del av en allmän handling i tryckfrihetsförordningens mening. Domstolen menade också att signeringskravet inte avsetts ha någon sådan funktion utan motiverats av patientsäkerhetsskäl. Journalanteckningen blir omedelbart att se som allmän när den skrivs in i journalen. Korrigering av eventuella skrivfel bör fritt kunna ske i direkt anslutning till införandet, men om journal- anteckningen ändras senare, t.ex. i samband med signering, blir båda versionerna av anteckningen att anse som en allmän hand- ling.10

Det är inte tillåtet att sätta rätten att ta del av allmänna hand- lingar ur spel genom att förstöra sådana handlingar som omfattas av den rätten. Grundläggande bestämmelser om hur allmänna hand- lingar ska bevaras samt om gallring och annat avhändande av sådana handlingar meddelas enligt 2 kap. 18 § tryckfrihetsförordningen i lag. Sådana bestämmelser finns framförallt i arkivlagen (1990:782), men bestämmelserna om journalförstöring är också exempel på en reglering av när allmänna handlingar får förstöras.

12.2.5Bevarande och gallring av journalhandlingar

En journalhandling ska enligt 3 kap. 17 § PDL bevaras i minst 10 år efter det att sista anteckningen fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får dock meddela föreskrifter om att vissa slags journalhandlingar ska bevaras ännu längre.

För den offentliga hälso- och sjukvården och tandvården gäller bestämmelserna i arkivlagen om att bevara och gallra så kallade allmänna handlingar (3 kap. 18 § PDL). Det innebär i praktiken att journalhandlingarna kommer att fortsätta att bevaras även efter 10 år om det inte finns någon gallringsbestämmelse som säger annat.

Journalhandlingar inom såväl allmän som enskild hälso- och sjukvård ska alltså bevaras den minsta tid som anges i patientdata- lagen eller i författningar som har meddelats med stöd av lagen.

10 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.

245

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

Längre bevarandetider kan vara föreskrivna i andra lagar. Efter utgången av den minsta tiden för bevarande får sådana handlingar gallras. Den som överväger en sådan gallring ska beakta bestäm- melserna i 9 § första stycket i och tredje stycket personuppgifts- lagen (1998:204), förkortad PUL. Men om journalhandlingarna ut- gör allmänna handlingar måste dock bestämmelserna i arkivlagen och de bestämmelser som meddelas med stöd av arkivlagen beaktas.11

Bestämmelserna i arkivlagen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.

Genom patientdatalagen infördes samma minsta bevarandetid för journaler från offentlig och enskild hälso- och sjukvård.

Journalhandlingar får gallras

En journalhandling ska alltså enligt 3 kap. 17 § PDL bevaras i minst 10 år efter det att sista uppgiften fördes in i handlingen. Bestäm- melsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar (sådana som förs hos offentliga vårdgivare) träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.

Bestämmelsen i 10 § arkivlagen om att allmänna handlingar får gallras är alltså ett undantag från huvudregeln om att myndigheters allmänna handlingar ska bevaras. Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det ska vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställnings- eller sökmöj- ligheter, sämre möjligheter att kontrollera handlingars autenticitet m.m.

Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som ska gallras ur dess arkiv av patientjournalhandlingar. Gallringsföreskrifter för

11 Prop. 2007/08:126, s. 213 f.

246

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

sådana myndigheter fattas av kommunfullmäktige respektive lands- tingsfullmäktige. Deras föreskriftsrätt begränsas dock av att hänsyn ska tas till att återstående material ska tillgodose arkivbildningens syften. Dessutom får gallringsföreskrifter inte strida mot bevarande- reglerna i patientdatalagen och i andra författningar om minsta bevarandetid för patientjournalhandlingar. Avvikande gallrings- bestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring. Någon bestämmelse om att patient- journaler eller vårdregister ovillkorligen måste gallras finns emeller- tid inte. 12

Samrådsgruppen för kommunala arkivfrågor är ett samverkans- organ för Riksarkivet och Sveriges kommuner och landsting13. Samrådsgruppen ska främja samverkan mellan stat, kommuner och landsting inom arkivområdet, till gagn för utvecklingen av arkiv- frågorna. Tonvikten ska ligga på frågor som är av gemensamt intresse för den offentliga sektorn. Samrådsgruppen har bl.a. utarbetat råd om bevarande och gallring inom en rad kommunala områden, t.ex. när det gäller landstingens, regionernas och kom- munernas patientjournaler och övrig medicinsk dokumentation.14

I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket och i tredje stycket PUL att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Enligt förarbeten innebär denna bestämmelse i personuppgiftslagen inte någon ovill- korlig skyldighet att gallra journalerna.15

Varje vårdgivare som deltar i ett sammanhållet journalförings- system ansvarar för bevarandet av de ospärrade journaluppgifter som vårdgivaren själv gör tillgängliga i det sammanhållna journal- föringssystemet. Ett sådant ansvar vilar alltså inte på en vårdgivare som endast har en potentiell tillgång till dessa uppgifter. Det inne- bär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan vård- givares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren. En tanke med

12Prop. 2007/08:126 s. 137.

13http://www.samradsgruppen.se/

14En uppdaterad version av gallringsråd inom detta område är under 2013 ute på remiss.

15Prop. 2007/08:126 s. 99.

247

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

den sammanhållna journalföringen är dock att en vårdgivare inte ska behöva hämta hem och lagra en annan vårdgivares journal- handlingar. Dubbeldokumentation ska så långt möjligt undvikas. För att patientsäkerheten ska kunna tillgodoses lär det ibland bli nödvändigt att göra detta. En sådan åtgärd innebär att vårdgivaren framställer en ny handling. Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journal- handlingar som har sitt ursprung i den egna verksamheten.

En myndighet får enligt 6 kap. 8 § andra stycket PDL gallra journalhandlingar och andra handlingar som är tillgängliga för myndigheten endast genom direktåtkomst vid sammanhållen journalföring. Denna gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna ska bli arkivansvarig för privata vårdgivares journalhandlingar eller andra handlingar som myndigheten potentiellt sett har tillgång till, jfr 3 § första stycket arkivlagen.

Den som är personuppgiftsansvarig enligt patientdatalagen ska se till att den registrerade får information om personuppgifts- behandlingen. Det innebär att patienten ska få information om vad som gäller i fråga om bevarande och gallring.

12.2.6Signeringskravet – kontrolläsning och bekräftelse av uppgifternas riktighet

För att patientjournalen ska kunna fylla sin uppgift att utgöra en säker grund för insatser i vården krävs det att innehållet är korrekt och oförvanskat. Patientjournalen ska kunna utgöra ett pålitligt underlag för den vård och behandling som ges till patienten. Miss- förstånd och felskrivningar kan leda till ödesdigra konsekvenser.16

I patientjournallagen infördes ett krav på journalanteckningar ska signeras av den som ansvarar för uppgiften. Signeringen innebär att den som ansvarar för en journalanteckning läser igenom den och bekräftar att den är korrekt. Därefter får journalanteckningen sin slutliga utformning. Signeringen uttrycker det ansvar för att uppgiften är korrekt som faller på den som fört in uppgiften. Vård- givaren har det övergripande ansvaret för att journaler förs i verksamheten och för att uppgifterna i journalerna är korrekta, men den som för journal är ansvarig för de uppgifter som han eller hon för in.

16 Socialutskottets betänkande 1984/85:SoU33 s. 9.

248

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

Signeringen kan vara viktig ur patientsäkerhetssynpunkt men har inte betydelse för anteckningens status som allmän handling.17 I förarbeten till patientjournallagen anfördes att även om kontroll- signeringen saknar betydelse för tillämpning av offentlighets- principen, kan den ha värde som bevis i t.ex. ett ansvarsärende, om fråga senare uppkommer om den rätta innebörden av en anteck- ning. Fel eller förväxlingar i samband med att ett diktat skrivs in kan påverka förutsättningarna vid den fortsatta vården. Kontrolläsning ansågs därför motiverad av säkerhetsskäl.18

I patientdatalagen infördes en möjlighet för Socialstyrelsen att föreskriva om undantag från signering. I förarbeten till denna undantagsmöjlighet anfördes19 följande om signeringskravet.

De patientsäkerhetsskäl som anfördes vid införandet av signerings- kravet gäller fortfarande. Dessa skäl gäller än mer vid anteckningar i stora eller kompatibla journalsystem där anteckningarna kan komma att läggas till grund för behandlingsåtgärder och medicinering av andra vårdenheter än den där anteckningarna gjorts. I sådana fall är det av särskild vikt att uppgifterna dessförinnan har kontrollästs så att risken för missförstånd och felskrivningar kan minimeras. Det lagstadgade kravet på att journalanteckningar, om inte synnerligt hinder möter, ska signeras av den som ansvarar för uppgiften ska därför inte ändras. Det kan däremot finnas skäl att göra undantag från signeringskravet när man väger nyttan av signeringen mot det merarbete som signerings- kravet skulle innebära. Bedömningen av när signering kan åsidosättas ska överlåtas till regeringen eller den myndighet som regeringen bestämmer. Vid bedömningen när undantag kan medges bör risker för patientsäkerheten eller andra viktiga faktorer som talar för signering övervägas.

I föreskrifterna (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården har vårdgivarna tilldelats en möjlighet att besluta om vissa undantag från signeringskravet i sin verksamhet. Väsentliga ställningstaganden som rör vård och behandling, förhållningsregler enligt smittskyddslagen (2004:168) samt epikriser och andra sammanfattningar ska alltid signeras. Men vårdgivaren kan i sina rutiner för signering besluta vilka andra anteckningar som inte behöver signeras. I en enkätundersökning genomförd av tidningen Sjukhusläkaren, som besvarades av femtio läkare runt om i landet, framkom att endast en respondent uppgav

17Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.

18Prop. 1984/85:189 s. 19.

19Prop. 2007/08:126 s. 94.

249

Ett tydligare ansvar för patientjournalen och dess innehåll SOU 2014:23

att kliniken tillvaratagit möjligheten att göra undantag från signeringskravet.20

Föreskrifternas bestämmelser om signering kompletteras med en bestämmelse om att vårdgivaren ansvarar för att journal- uppgifterna låses en viss tid efter det att de förts in i journalen. Låsning innebär enligt föreskrifterna att vårdgivaren säkerställer att uppgifter i patientjournalen inte kan ändras eller utplånas annat än med stöd av bestämmelserna i patientdatalagen. Uppgifterna ska låsas senast 14 dagar efter att de har förts in i journalen. Fram till dess behöver vårdgivaren inte ha några tekniska hinder mot att någon i verksamheten ändrar innehållet i en viss journalanteckning.

Bestämmelsen i föreskrifterna om att osignerade uppgifter måste låsas efter 14 dagar gäller för behandling av uppgifter i system som är helt eller delvis automatiserade. Denna bestämmelse behövs för att även osignerade anteckningar ska få ett tekniskt skydd mot ändring. När det gäller manuellt förda journaler kan rättelse av praktiska skäl inte utföras på annat sätt än med stöd av bestämmelserna om rättelse eftersom en ändring oftast inte kan göras utan att det syns. För att ändringar av uppgifter i dator- journaler inte ska vara tekniskt möjliga att göra obemärkt hur länge som helst måste det finnas rutiner för signering eller låsning.

Det är enligt vad utredningen fått veta relativt vanligt att hälso- och sjukvårdspersonal i anslutning till en patients besök i vården eller någon annan vårdåtgärd själva gör journalanteckningen och signerar den i direkt anslutning till att texten förs in. En sådan snabbhet både i införandet av uppgiften och av kvalitetssäkringen av uppgiften är sannolikt det säkraste sättet att föra journal på.

Men det är fortfarande också vanligt att läkare dikterar vad som ska antecknas i journalen. Dessa diktat förs sedan in i journalen av en läkarsekreterare. Hur snabbt sådana diktat förs in och hur snabbt de sedan signeras kan variera mycket mellan olika verksam- heter. Enligt vad som framkommit till utredningen är det inte ovanligt att yrkesutövare som ska ta vid senare i vårdkedjan får grunda sina ställningstaganden på uppgifter som inte är signerade av den som svarar för uppgiften. På så sätt får uppgifter som inte är kontrollerade betydelse för patientens vård och behandling.

Utredningen konstaterar att vårdgivarens ansvar för säkerheten i vården innebär att vårdgivaren måste se till att det finns ändamåls-

20 Sjukhusläkaren. Signering: Så tyckte läkare från norr till söder. 2013-02-19. Tillgänglig på http://www.sjukhuslakaren.se/2013/02/19/signering-sa-tycker-lakare-fran-norr-till-soder/ [2013-11-20].

250

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

enliga och tillräckligt säkra rutiner i verksamheten om på vilket sätt och hur snabbt uppgifter ska journalföras och signeras. Kontroll- läsning och signering måste göras så snabbt att en felaktighet inte får ödesdigra följder.

I de fall då signeringen görs i direkt anslutning till att anteck- ningen förs in kan felaktigheter korrigeras formlöst. Felaktigheter i en journalanteckning som signeras först vid ett senare tillfälle ska rättas i enlighet med reglerna för det i samband med signeringen. Konsekvensen av att osignerade anteckningar används i vården och läggs till grund för behandling av patienter är att en anteckning som förts in i en patientjournal inte får rättas eller utplånas annat än med stöd av de bestämmelser som reglerar detta.

Om journalanteckningen fick korrigeras formlöst ända fram till signeringen skulle det inte finnas tillräcklig spårbarhet avseende de uppgifter som legat tillgrund för bedömningar och ställnings- taganden i vården. Det förhållandet att en anteckning inom den offentliga vården blir allmän handling direkt genom att uppgiften förs in talar också för att uppgiften inte får rättas eller utplånas annat än med stöd av särskilda bestämmelser – även om uppgifter inte är kontrolläst och signerad. 21

12.2.7Rättelse av felaktiga uppgifter

Vårdgivaren har ansvar för att journaler förs i verksamheten och för att det görs på ett ändamålsenligt och korrekt sätt. När det gäller elektroniskt förda journaler har den personuppgiftsansvarige också ett ansvar enligt 9 § h PUL att självmant vara aktiv och se till att behandlade personuppgifter är korrekta samt att felaktigheter rättas.

Uppgifter som förts in i en journalhandling får enligt gällande rätt inte utplånas eller göras oläsliga annat än med stöd av bestäm- melserna om journalförstöring (eller med stöd av gallringsbeslut, se ovan). Detta regleras uttryckligt i 3 kap. 14 § PDL. En rättelse av en journalanteckning måste därför vara spårbar. Kravet innebär bl.a. att en rättelse i en journalhandling alltid måste göras så att den ursprungliga texten klart framgår också efter rättelsen. Det är inte tillåtet att utplåna den ursprungliga texten. Men det måste ändå vara tydligt vilken uppgift det är som gäller fortsättningsvis. Vid

21 Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.

251

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den.

En journalanteckning som är införd i en patientjournal kan komma att ligga till grund för bedömningar av en patients fortsatta vård – även om den inte är signerad. Mot bakgrund av att signering är en kvalitetskontroll av anteckningen så är detta ett förhållande som vårdgivaren måste beakta vid utformningen av de rutiner för vård och behandling samt dokumentation som ska gälla i verksam- heten. Av patientsäkerhetsskäl bör det inte finnas fördröjningar varken när det gäller införandet av en anteckning eller kontrolläsning och signering av den. Rutinerna för hur signeringen ska gå till måste också vara anpassade till vilken verksamhet som bedrivs.

De särskilda regler som gäller för rättelse och journalförstöring ska tillämpas för korrigering redan innan anteckningen är signerad eller låst. Enligt vad som framkommit till utredningen används anteckningar som inte kontrollästs och signerats i stor utsträckning som underlag för vård och behandling. Mot den bakgrunden är det viktigt att anteckningar som förts in endast kan korrigeras med stöd av särskilda bestämmelser. Även det förhållandet att anteck- ningen blir en allmän handling i den offentliga vården redan genom införandet stödjer ett sådant synsätt. 22

I förarbetena till patientjournallagen anfördes att en journal- anteckning kunde rättas formlöst i omedelbar anslutning till att den infördes.23 Därefter är alltså anteckningen att anse som införd och får bara rättas eller förstöras med stöd av de regler som gäller för det i patientdatalagen. Detta kan motiveras av att det måste finnas en spårbarhet när det gäller de uppgifter som trots att det inte signerats ändå kan komma att ligga till grund för en patients vård och behandling.

Det är den som ansvarar för journalanteckningen som ska bedöma om en rättelse ska göras och också se till att nödvändiga rättelser görs. När det gäller journalanteckningar som ska signeras ska rättelsen av eventuella felaktigheter normalt göras i samband med signeringen. Det är den som svarar för uppgiften som bäst kan bedöma uppgiftens riktighet.

22Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.

23Prop. 1984/85:189 s. 44.

252

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

12.2.8Att ta bort uppgifter från patientjournalen

Med journalförstöring avses ett totalt förstörande av hela eller vissa delar av journalen i enlighet med bestämmelser i patientdatalagen. Journalförstöring utreds och beslutas av Inspektionen för vård och omsorg efter ansökan från den som nämns i journalen och skiljer sig därmed från gallring som görs på vårdgivarens initiativ.

Möjligheten till journalförstöring infördes genom lagen (1980:11) om tillsyn av hälso- och sjukvårdspersonal m.fl. Bak- grunden till bestämmelsen var vetskapen om att en journal- anteckning kan uppfattas som så stötande för en patient att dess förekomst kan innebära en alltför stor påfrestning för patienten. En journalanteckning som patienten uppfattar som felaktig eller kränkande kan medföra att han eller hon i fortsättningen avstår från att söka vård eller från att lämna uppgifter om sig själv som har betydelse för vården.24

Enligt bestämmelsen i patientdatalagen får Inspektionen för vård och omsorg på ansökan av patienten eller någon annan som omnämns i journalen besluta om att den helt eller delvis ska för- störas. Förutsättningarna för detta är att godtagbara skäl anförts, att uppgifterna inte behövs för patientens vård och att det från allmän synpunkt inte finns skäl att bevara journalen. Innan ansökan prövas får den som ansvarar för journalen ges tillfälle att yttra sig i frågan (8 kap. 4 § PDL).

Kravet på godtagbara skäl innebär att en patient inte utan vidare kan få sin journal eller en del av den förstörd. Det krävs att anteckningarna rimligen kan medföra en psykisk belastning eller liknande för patienten om de bevaras. Genom inskränkningen att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen ges enligt förarbeten en möjlighet att beakta olika samhällsintressen som avser journalmaterialet – till exempel insynen, forskningen och ekonomin i vården.25 Om journalhandlingarna exempelvis legat till grund för ett beslut hos en myndighet eller är bevis i en rättslig process kan de oftast inte förstöras av allmänna skäl.

Det är inte bara patienten själv som kan ansöka om journal- förstöring. Även någon annan som omnämns i journalen kan ha anledning att ansöka om förstöring. Frågan har t.ex. aktualiserats när en förälder som inte är vårdnadshavare velat få anteckningar

24SOU 1984:73, s. 179.

25Prop. 1978/79, s. 49.

253

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

som rör honom förstörda och dessa varit införda i barnets journal26. Däremot finns ingen möjlighet för vårdgivaren att ansöka om journalförstöring.

Det är Inspektionen för vård och omsorg som behandlar ansökningarna och fattar beslut om journalförstöring. I samband med att möjligheten till journalförstöring lagreglerades fanns dock önskemål om att sjukvårdshuvudmannen skulle vara den som fattade besluten.27

Journalförstöring innebär alltså att samtliga journalhandlingar som innehåller uppgifter som omfattas av beslutet ska utplånas. Förstöring ska ske av både originalhandlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen måste följaktligen handlingen begäras åter. I 3 kap. 11 § PDL föreskrivs att om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det antecknas i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Dessa anteck- ningar syftar bl.a. till att underlätta arbetet med att spåra journal- handlingar.

12.3Kort om patientjournalens utformning

Rätt information i rätt tid är nödvändigt för att kunna ge patienten en god och säker vård. Rätt information innebär att den är relevant för situationen, att den är uttryckt på ett entydigt sätt och inte kan misstolkas samt att den presenteras i ett sammanhang.

För att åstadkomma detta fullt ut krävs att vårdgivarna använder ett gemensamt regelverk för dokumentation och informations- hantering, för innehåll och sammanhang. Ett sådant regelverk är en viktig grund för att utveckla it-stöd som kan hantera informationen på ett effektivt och säkert sätt. Regelverket är en del av strategin för Nationell eHälsa.

Socialstyrelsen har ett nationellt ansvar för att samordna arbetet med en ändamålsenlig och strukturerad dokumentation. Syftet med arbetet är att relevant och korrekt information om en person ska kunna tillgängliggöras för behörig personal i olika delar av verk-

26Prop. 1984/85:189, s. 30.

27Prop. 1978/79:220, s. 37.

254

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

samheter, över geografiska, tekniska och organisatoriska gränser. För att förbättra hanteringen av information inom vård och omsorg har Socialstyrelsen utvecklat en nationell informations- struktur. Med den som grund ska verksamheter kunna utveckla funktionella it-stöd och standardiserade mallar för dokumentation.

Målet är att den nationella informationsstrukturens modeller för hur information i vård och omsorg kan struktureras ska omsättas i praktiken av huvudmän på nationell, regional och lokal nivå. För att nå målet arbetar Socialstyrelsen med att ta fram regelverk och vägledning för hur informationsstrukturen ska användas.

Gemensamma begrepp och termer inom hälso- och sjukvården och socialtjänsten bidrar till en god och säker vård och omsorg. För att patientuppgifterna i vårdprocessen ska bli entydiga bör natio- nellt överenskomna begrepp och termer, klassifikationer och kod- verk användas och endast nödvändiga uppgifter dokumenteras. När innehåll i patientjournalen uttrycks med enhetliga termer och koder skapas bättre förutsättningar för patientsäkerheten och återanvändning av patientuppgifter i form av jämförelser, uppfölj- ning och statistik.

Socialstyrelsen ansvarar för ett nationellt fackspråk samt metoder för hur det ska tas omhand och användas. Socialstyrelsen har lagt grunden till ett nationellt fackspråk för vård och omsorg. Det består av termbanken, klassifikationer och kodverk samt det internationella begreppssystemet Snomed CT. Målet är att det nationella fackspråket ska komma i bred användning och därmed bidra till att den information som skapas i vård och omsorg är enhetlig, entydig och jämförbar.

Förändringen till enhetliga och strukturerade journalsystem kan ta lång tid. Socialstyrelsen har till uppgift att stödja förändrings- arbetet med förvaltning av och metoder för den nationella informationsstrukturen, begrepp, termer och klassifikationer samt Snomed CT.

255

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

12.4Våra överväganden och förslag

12.4.1Vissa bestämmelser om journalföring förs över från patientdatalagen

Vårt förslag: Bestämmelserna i 3 kap. patientdatalagen om journalföringsplikten, patientjournalens innehåll, skyldigheten att utfärda intyg om vården och om patientjournaler i krig ska föras över oförändrade till hälso- och sjukvårdsdatalagen. Andra bestämmelser i kapitlet förs över med vissa förändringar och ett par nya bestämmelser tillkommer.

Vissa av bestämmelserna i nu gällande 3 kap. patientdatalagen påverkas inte av utredningsen förslag. Det är t.ex. bestämmelsen om vilka yrkesgrupper som är skyldiga att föra patientjournal, bestämmelserna om vad en patientjournal får och ska innehålla och bestämmelsen om skyldigheten att utfärda intyg om vården. Vi föreslår därför att dessa bestämmelser ska föras över i huvudsak oförändrade till hälso- och sjukvårdsdatalagen.

När det gäller bestämmelsen om vad en patientjournal maximalt får innehålla föreslår vi att utformningen ändras endast på så vis att ändamålet vårddokumentation skrivs ut i stället för att en paragraf- hänvisning till ändamålsbestämmelsen görs.

Bestämmelserna om vad en patientjournal minimalt ska inne- hålla förs över från patientdatalagen.28 En i huvudsak motsvarande bestämmelse som uttrycker vad en patientjournal ska innehålla fanns redan i patientjournallagen.29

Anteckning i patientjournalen om utlämnanden

Om en journalhandling eller avskrift eller kopia av handlingen har lämnats ut till någon, ska det enligt i 3 kap. 11 § patientdatalagen dokumenteras i journalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Bestämmelsen syftar till att underlätta utredningen om var det finns journalhandlingar för att kunna verkställa beslut om journalförstöring.30 Från doku- mentationsskyldigheten undantas i dag utlämnanden som görs

28Prop. 2007/08:126 s. 91 f.

29Prop. 1984/85:189 s. 38 f.

30Prop. 1984/85:189 s. 43 f.

256

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

genom direktåtkomst, exempelvis till patienten själv eller till andra vårdgivare genom sammanhållen journalföring. Enligt bestämmelserna om sammanhållen journalföring anses en journalhandling utlämnad redan i och med att den görs tekniskt eller potentiellt tillgänglig för anslutna vårdgivare. I förarbetena till patientdatalagen motiverade regeringen detta med att det skulle medföra ett orimligt admini- strativt merarbete för yrkesutövarna, om det varje gång en ny anteckning görs i journalen även ska noteras vilka vårdgivare som är anslutna till den sammanhållna journalföringen och alltså i strikt mening är mottagare av den nya informationen.31

Utredningen ansluter sig till den uppfattningen och föreslår att bestämmelsen ska kompletteras med två ytterligare undantag från dokumentationsskyldigheten. Vi föreslår att det inte ska behöva antecknas att ett utlämnande har gjorts till ett nationellt eller regionalt kvalitetsregister och inte heller när ett utlämnande har gjorts till patienten själv. Utlämnanden till nationella och regionala kvalitetsregister kännetecknas inte sällan av upprepade utläm- nanden över tid. De uppgifter som lämnas ut kan dessutom finnas på många olika platser i ett elektroniskt patientjournalssystem. Att under de förutsättningarna dokumentera vad som lämnats ut, till vem och när, skulle på motsvarande sätt som vid direktåtkomst medföra en orimligt stor administrativ insats. Dessutom förutsätter registrering i nationella kvalitetsregister att patienten, efter att ha blivit informerad om personuppgiftsbehandlingen, inte motsätter sig medverkan i kvalitetsregistret. Patienten ska således äga känne- dom om ett sådant utlämnande. Därutöver har en patient även rätt att på eget initiativ begära att uppgifter i ett nationellt kvalitets- register utplånas. Något beslut från Inspektionen för vård och omsorg, som vid journalförstöring, med efterföljande sökning av de uppgifter som ska förstöras är således inte aktuellt.

Av motsvarande skäl anser vi inte heller att utlämnanden som har gjorts till patienten själv måste dokumenteras.

31 Prop. 2007/08:126 s. 140.

257

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

Krav på dokumentation av information till patienten

En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla

1.uppgift om patientens identitet,

2.väsentliga uppgifter om bakgrunden till vården,

3.uppgift om ställd diagnos och anledning till mera betydande åtgärder,

4.väsentliga uppgifter om vidtagna och planerade åtgärder, och

5.uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts i fråga om val av behandlings- alternativ och om möjligheten till en förnyad medicinsk bedöm- ning.

Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

Kravet i femte punkten om att patientjournalen ska innehålla dokumentation av den information som lämnats till patienten infördes i patientjournallagen år 1999.

Kommunikation mellan patient och närstående samt vård- personal av alla kategorier av stor vikt för en säker och kvalitativt god hälso- och sjukvård. Kravet på information ska dokumenteras i patientjournalen infördes i lagen just för att poängtera att patient- informationen är viktig. Men enligt förarbetena fanns det en risk för att ett krav på en alltför detaljerad dokumentation kunde leda till väsentligt extra arbetsinsatser vilket kunde medföra att tiden för det direkta patientarbetet inskränks. 32 Regeringen anförde därför att det inte ställas alltför långtgående krav på dokumentationen. Med tanke på utvecklingen mot en mer datoriserad hantering av journalföringen ansåg regeringen att det borde vara möjligt att på ett inte alltför tidsödande sätt dokumentera sådana uppgifter som har betydelse i det enskilda fallet. Hit hör uppgifter som bedöms ha betydelse för slutsatser som dras, överenskommelser och beslut som fattas, skäl för att patientens krav inte kan tillgodoses samt situationer då patienten avstår från behandling.

32 Regeringens proposition (prop. 1998/99:4) Stärkt patientinflytande. s. 32 f.

258

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

Enligt utredningens bedömning ska bestämmelsen om att dokumentera den information som lämnats till patienten därför tolkas mot bakgrund av grundbestämmelsen om vad en journal ska innehålla och med koppling till övriga krav i femte punkten. Det är de uppgifter som behövs för en god och säker vård av patienten som ska antecknas. Det innebär att det inte är all löpande informa- tion som patienten får i den kontinuerliga kommunikationen som ska dokumenteras i patientjournalen. Den information som ska dokumenteras är sådan individuellt anpassad information som har betydelse för patientens fortsatta vård, t.ex. som underlag för överenskommelser med patienten eller för val av behandlings- alternativ.

12.4.2Ny bestämmelse om patientjournalen

Vårt förslag: I hälso- och sjukvårdsdatalagen ska kapitlet om patientjournalen inledas med bestämmelser som beskriver vad som avses med en journal.

Under utredningens arbete har framförts synpunkter på att det är en brist att det nuvarande kapitlet om patientjournalen inte inne- håller en samlad definition av vad patientjournalen är. Utredningen delar den uppfattningen och bedömer att patientjournalens centrala betydelse för informationshanteringen inom hälso- och sjukvården gör att det är särskilt viktigt med en tydlig definition. För att underlätta för den som ska tillämpa bestämmelserna om journal- föring föreslår utredningen därför att kapitlet om patientjournalen inleds med en beskrivning av vad som avses med patientjournal och journalhandling. Dessa begrepp finns även med i definitionslistan i lagens inledning.

Enligt utredningens förslag avses med en patientjournal en eller flera journalhandlingar som rör samma patient. En journalhandling är en framställning i skrift eller bild eller en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En sådan handling upprättas eller inkommer i samband med vården av en patient och innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.

259

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

Patientjournalen består alltså av en samling journalhandlingar som berör vården av en enskild patient. En del av dessa handlingar har upprättats direkt i samband med vården, medan andra har t.ex. kommit in från andra vårdgivare eller från myndigheter.33

Utredningens förslag till definition av patientjournalen och journalhandlingar innebär inga förändringar i sak jämfört med vad som gäller i dag. Förslaget handlar i allt väsentligt om att samla ihop definitionerna och tydliggöra dem i kapitlets inledning.

12.4.3Patientjournalen är även en informationskälla vid undervisning och utbildning

Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen som anger syftet med en patientjournal ska överföras till hälso- och sjukvårdslagen och kompletteras med en uppgift om att journalen även syftar till att vara en informationskälla i samband med undervisning och utbildning.

Patientjournalen är i första hand ett arbetsinstrument för hälso- och sjukvårdspersonalen. Journalens grundläggande syfte är att till- godose patientens intresse av en god och säker vård. Patient- journalen har även betydelse inte bara för patienten själv utan även som t.ex. underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang, som källmaterial vid forskning och kvalitetssäkring. Detta framgår av den nuvarande bestämmelsen i patientdatalagen, enligt vilken det anges att journalen även är en informationskälla för

patienten,

uppföljning och utveckling av verksamheten,

tillsyn och rättsliga krav,

uppgiftsskyldighet enligt lag, samt

forskning.

Enligt utredningens uppfattning är patientjournalen även en alldeles avgörande informationskälla för utbildning av framtida hälso- och sjukvårdspersonal. Studeranden i hälso- och sjukvården kan ha

33 Regeringens proposition (prop. 1984/85:189) om patientjournallag m.m., s. 38.

260

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

behov av att använda patientuppgifter i olika situationer och för olika syften. Det kan exempelvis handla om att ta del av uppgifter för att kunna ge en god och säker vård av en patient som den studerande möter. På motsvarande sätt kan en studerande ha behov av att ta del av uppgifter för att i efterhand kvalitetssäkra sina bedömningar och åtgärder i konkreta patientmöten. Men det kan även handla om att ta del av patientuppgifter för ren utbildning som inte har något med den studerandes deltagande i vården av en patient att göra. Det handlar i dessa fall om att återanvända information i patientjournaler för att använda dem i undervisning och utbildning av framtida hälso- och sjukvårdspersonal. På mot- svarande sätt som journalen är en viktig informationskälla exempel- vis för den medicinska forskningen har journalen även central betydelse för möjligheterna att bedriva en ändamålsenlig utbildning av hälso- och sjukvårdspersonal. Mot den bakgrunden föreslår utredningen att det i hälso- och sjukvårdsdatalagen uttryckligen framgår att patientjournalen är en informationskälla även för undervisning och utbildning.

Att i hälso- och sjukvårdsdatalagen ange att patientjournalen är en informationskälla för undervisning och utbildning innebär inte att de närmare förutsättningarna för att använda personuppgifter i undervisningssammanhang påverkas. Hur uppgifter om patienter får användas i sammanhang utanför den egentliga patientvården eller vårdgivarens övriga kärnverksamhet är en helt annan fråga. Utredningen har bland annat i en promemoria i samband med en delredovisning som överlämnades till regeringen den 31 december 2013 redogjort för möjligheterna för studeranden att med stöd av gällande rätt ta del av uppgifter i en patientjournal. Promemorian återfinns i bilaga 4 till detta slutbetänkande.34

12.4.4Förtydliganden i fråga om vem bestämmelserna om patientjournalen riktar sig till

Vår bedömning: Bestämmelserna om patientjournalen bör så långt möjligt uttrycka vem som har att följa dem. Vissa bestäm- melser som ska föras över från patientdatalagen bör ändras på så sätt att vårdgivaren skrivs in i paragrafen som ansvarigt subjekt.

34 PM om Studerandens möjligheter att ta del av och använda patientuppgifter, bilaga 4.

261

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

I andra paragrafer bör det uttryckas att det är den som för patientjournal som ska vara ansvarig.

Vårt förslag: Bestämmelsen om anteckning av en patients av- vikande mening ska föras över till hälso- och sjukvårdsdatalagen med tillägg att det är vårdgivaren som ansvarar för att anteck- ningen om att patienten har en avvikande mening förs in i jour- nalen.

De materiella bestämmelserna om patientjournaler fördes över nästan helt oförändrade från 1985-års patientjournallag till patient- datalagen den 1 juli 2008. Vi anser att det nu är dags att göra vissa moderniseringar av flera av bestämmelserna för att bättre uttrycka vem som handlingsdirektiven riktar sig till.

Vi anser att en bestämmelse i de allra flesta fall bör uttrycka vilket subjekt som har att följa den. Ibland kan det dock uttryckas underförstått utan att det innebär risker för missförstånd. När det t.ex. gäller vad en journal ska innehålla så uttrycks det i gällande rätt och i vårt förslag som ett krav på innehållet utan att den riktar sig till något subjekt. En sådan bestämmelse riktar sig förstås till den som kan påverka innehållet. Det innebär att både vårdgivaren i egenskap av ytterst ansvarig för patientjournalen och den som för patientjournal måste känna till och rätta sig efter bestämmelserna om vilka uppgifter som ska finnas i en patientjournal.

Utredningen föreslår att vårdgivararen som ansvarigt subjekt förs in i bestämmelsen om anteckning av en patients avvikande mening och i bestämmelsen om utformningen av patientjournalen. Även i flera av bestämmelserna om ansvaret för uppgifterna förs vårdgivaren i som ansvarigt subjekt. Se mer om dessa bestämmelser i det följande.

262

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

12.4.5Patientens möjlighet att bidra med uppgifter i patientjournalen

Vår bedömning: En patient kan, efter vårdgivarens anvisningar, bidra med uppgifter i en patientjournal genom att exempelvis fylla i elektroniska formulär som vårdgivaren tillhandahåller.

Det har ibland ifrågasatts om det är tillåtet för patienter att elektroniskt bidra med uppgifter i en patientjournal. Enligt utred- ningens bedömning är en vårdgivare som ansvarar för patient- journalen också ansvarig för vilka uppgifter som samlas in och ska också bestämma formerna för detta. Om vårdgivaren anser att uppgifter som patienten bidrar med har betydelse för patientens vård och behandling kan vårdgivaren bestämma om detta och hur det ska gå till.

Patienten har dock inte någon ovillkorlig möjlighet eller rätt att på eget initiativ registrera uppgifter i patientjournalen. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs fastställa på vilka sätt patienten kan bidra med viktig information. På samma sätt som att en vårdgivare kan be en patient att fylla i en pappersenkät som sedan manuellt förs in i en journal, kan en patient få ett elektroniskt formulär som efter vårdgivarens anvisning kan fyllas i av patienten och elektroniskt överföras till patientjournalen.

Olika former av hälsodeklarationer som patienten får fylla i inför en kontakt med vården kan vara exempel på sådan informa- tionsinhämtning som kan göras elektroniskt. Det kan vara ett effektivt sätt att låta patienten bidra till innehållet i patient- journalen. Det kan även handla om att patienter registrerar och elektroniskt rapporterar in olika mätvärden till en vårdgivare.

Även om patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med sådana uppgifter som har betydelse för en god och säker vård, innebär det dock inte att det är patienten som för journalen. Det bör i stället betraktas som att vårdgivaren i sina rutiner för att inhämta den information som behövs för god och säker vård tillhandahåller definierade möjligheter för patienten att bidra med information. Ur ett journalföringsperspektiv är det heller ingen skillnad mellan en hälsodeklaration som förut inkom på papper och tillfogades journalen och en hälsodeklaration som lämnas in elektroniskt. Samtidigt vill utredningen betona att det,

263

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

både ur ett kvalitets- och ett integritetsperspektiv, är viktigt att sådana elektroniska formulär som patienter kan fylla i utformas på ett sådant sätt att det så långt möjligt endast är de efterfrågade uppgifterna som kan registreras.

En vårdgivare som ger patienter möjlighet att bidra med upp- gifter elektroniskt behöver även vidta säkerhetsåtgärder för att skydda uppgifterna från obehörig åtkomst, t.ex. genom att se till att en överföring över internet är krypterad. Även med hänsyn till behovet av tillförlitliga uppgifter och hög datakvalitet kan vård- givare ha anledning att vidta lämpliga åtgärder. Det kan exempelvis handla om att säkerställa att det är den avsedda patienten som bidrar med uppgifterna i patientjournalen.

12.4.6Vårdgivarens ansvar för patientjournalen m.m. förtydligas

Vårt förslag: Vårdgivarens yttersta ansvar för journalen ska uttryckas i en paragraf i början av kapitlet om patientjournalen. Vårdgivaren ska se till att det vid vård av patienter förs patient- journaler och att uppgifter förs in i journalen så snart som möjligt. Vidare ska nuvarande bestämmelser om att en patient- journal ska föras för varje patient och att den inte får vara gemensam för flera patienter, föras över till hälso- och sjuk- vårdsdatalagen.

Vårdgivarens yttersta ansvar för patientjournalen

Det behöver enligt utredningens mening bli mer tydligt i lagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vård- givaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att de används på ett sådant sätt att de bidrar till en god och säker vård.

I gällande lag finns det en passivt formulerad regel som anför att det vid vård av patienter ska föras patientjournal. Vidare anförs i bestämmelsen att en patientjournal ska föras för varje patient och inte får vara gemensam för flera patienter. Det uttrycks inte i bestämmelsen vem som ansvarar för att detta uppnås. I äldre lag- stiftningstradition inom hälso- och sjukvårdsområdet uttrycktes

264

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

sällan ansvaret på ledningsnivå, i stället betonades hälso- och sjuk- vårdspersonalens individuella yrkesansvar. Det anförs dock i förarbeten till patientjournallagen35 att det medicinska lednings- ansvaret inom hälso- och sjukvården innebär ett yttersta ansvar för att underställd personal fullgör sina skyldigheter i vården, däribland journalföringen. Vårdgivarens ansvar uttrycktes dock inte bokstav- ligen i någon bestämmelse. Eftersom bestämmelserna överfördes utan ändring till patientdatalagen finns ännu i dag inte någon bestämmelse som ger uttryck för vårdgivarens yttersta ansvar för patientjournalen. Det finns inte några oklarheter om att vård- givaren har detta ansvar, men utredningen anser ändå att det är viktigt att ge bokstavligt uttryck för vad som gäller.

Vi föreslår därför en bestämmelse där det framgår att vård- givaren ska se till att det vid vård av en patient förs patientjournal. I bestämmelsen uttrycks också att det ska föras en patientjournal för varje patient och att journalen inte får vara gemensam för flera patienter. Den som bedriver hälso- och sjukvårdsverksamhet har alltså ansvaret för att det upprättas journaler.

Den aktuella bestämmelsen formulerar också att vårdgivarens yttersta ansvar för journalföringen innebär att vårdgivaren ska se till att uppgifter som ska antecknas förs in i journalen så snabbt som möjligt. Mer om detta ansvar följer i nästa avsnitt.

Ansvar för skyndsamhet i journalföringen

Med hänsyn till säkerheten i vården är det nödvändigt att viktiga uppgifter som ska journalföras förs in i journalen så snart som möjligt. Det finns annars risk för att uppgifter som kan vara av betydelse för vårdresultatet glöms bort, förvanskas eller av annan anledning aldrig dokumenteras. Det är också viktigt att uppgifterna finns i journalen snabbt så att den som behöver uppgifterna i ett senare led i vårdprocessen verkligen har uppdaterade uppgifter till- gängliga. Också patientens rättssäkerhet kräver att journaluppgift- erna tas in i journalen så snart som möjligt. I takt med att patienten bereds möjlighet att ta del av sin egen journal genom direktåtkomst blir det också allt mer betydelsefullt att även patienten har tillgång till aktuella uppgifter.

Bestämmelsen gäller alla journalhandlingar och alla slags journal- anteckningar; både anteckningar i en journalhandling och infogande

35 Regeringens proposition 1984/85:189 om patientjournal m.m. s. 26.

265

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

av journalhandlingar som upprättats inom verksamheten eller som inkommit utifrån.36

Det är viktigt att väsentliga uppgifter om undersökningar och bedömningar med mera finns tillgängliga så fort som möjligt efter ett besök i vården. Samtidigt är det förståeligt att det kan gå en kort tid innan en dikterad uppgift blir införd i journalen och tillgänglig för resten av personalen. Patientdatalagens krav på att uppgiften ska föras in i journalen så snart som möjligt har av Socialstyrelsen tolkats som att man inte kan acceptera någon längre fördröjning.

I ett tillsynsbeslut har Socialstyrelsen uttalat att en vårdgivare avseende en akutklinik måste se till att samtliga journaldiktat i fort- sättningen skulle journalföras fortlöpande och senast inom två dygn från den aktuella medicinska åtgärden.37 Socialstyrelsens bedömning gjordes mot bakgrund av att tillsynen gällde verksam- heten vid en akutklinik.

Vårdgivaren måste anpassa sina rutiner för hur snabbt en journalanteckning ska föras in i patientjournalen efter behoven i sin verksamhet och de krav på säkerhet som måste ställas.

En anteckning eller en handling ska anses införd när det faktiskt skrivs in eller överförs till journalsystemet. När en löpande anteck- ning förs i ett journalsystem är den införd och därefter också en allmän handling om vårdgivaren är en myndighet.38

Vårdgivaren har det övergripande ansvaret över resurserna i verksamheten och hur de ska användas. Ansvaret för att arbetet läggs upp på ett sådant sätt att det finns tid att så snabbt som möjligt föra in de uppgifter som ska finnas i journalen måste därför ligga på vårdgivarnivå. Det är en viktig patientsäkerhetsfråga att nödvändiga uppgifter snabbt finns tillgängliga i patientjournalen.

12.4.7Vårdgivarens ansvar för utformningen av patientjournalen förtydligas

Vårt förslag: I hälso- och sjukvårdsdatalagens ska anges att vårdgivaren ska se till att patientjournaler förs på svenska språket och är tydligt utformade så att förståelse och utbyte av uppgifter underlättas. Vidare ska, som i dag, framgå att patient- journalen ska vara så lätt som möjligt att förstå för patienten.

36Prop. 1984/85:189 s. 41.

37Den 24 november 2008, dnr 44-9129/08.

38Högsta förvaltningsdomstolens dom den 27 maj 2013, mål nr 5319-12.

266

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

Nuvarande möjlighet för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om patient- journalens språk, innehåll och utformning samt om hur patient- journalen ska hanteras och försvaras ska överföras till hälso- och sjukvårdsdatalagen.

I patientdatalagen finns i dag flera bestämmelser som syftar till att möjligöra ändamålsenligt utbyte av personuppgifter inom hälso- och sjukvården. Det finns t.ex. bestämmelser som reglerar hur den elektroniska åtkomsten inom en vårdgivares verksamhet ska vara ordnad och det finns bestämmelser som möjliggör direktåtkomst mellan olika vårdgivare.

Det finns dock inte i gällande lag bestämmelser som mer konkret uppmanar till att strukturera eller formulera patient- journalen på ett sådant sätt att det finns faktiska förutsättningar för det tekniska utbytet. Det finns inga bestämmelser som ställer krav på hur informationen ska struktureras eller vilka termer och begrepp som ska användas. Även om det inte finns någon mer detaljerad bestämmelse följer det dock av vårdgivarens över- gripande ansvar för verksamheten och patientjournalen att vård- givaren även ansvarar för att dokumentation utformas och kan användas på ett sätt som lever upp till syftet med lagen.

När det gäller den språkliga utformningen finns i gällande lag ett uttryckligt krav på att patientjournalen ska vara skriven på svenska, vara tydlig utformad och lätt att förstå för patienten. Kravet på att journalen ska vara tydligt utformad är förstås ett krav som både innefattar struktur och språklig tydlighet. Enligt förarbetena till patientjournallagen39 avses med ”tydligt utformade” handlingens tekniska utformning.

Utredningen föreslår att innebörden av vårdgivarens ansvar för utformningen förtydligas något genom att föra över den befintliga bestämmelsen om språket i journalen och lägga till i paragrafen att journalen ska vara tydligt utformad så att förståelse och utbyte av uppgifter underlättas.

Utredningen föreslår att de bestämmelser om bemyndiganden inom detta område som finns i befintlig lagstiftning ska föras över till den nya lagen.

Mera detaljerade bestämmelser avseende innehåll och utform- ning av patientjournalen får alltså föreskrivas av regeringen eller

39 Prop. 1984/85:189 s. 42.

267

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

Socialstyrelsen. Arbete med framtagandet av en enhetlig informa- tionsstruktur och ett nationellt fackspråk kan komma att utmynna i diverse föreskrifter. Dessa kommer enligt utredningen upp- fattning att kunna meddelas med stöd av dessa delegationsbestäm- melser.40

Vi föreslår även att bestämmelsen med bemyndiganden om hur patientjournaler ska hanteras och förvaras ska föras över till den nya lagen.

12.4.8Vårdgivaren ska säkerställa att uppgifter är korrekta och att felaktigheter rättas

Vårt förslag: En bestämmelse ska införas som ställer krav på vårdgivaren att säkerställa att uppgifterna i en patientjournal är korrekta och att felaktiga uppgifter rättas. Vårdgivaren ska också ansvara för att uppgifter inte utplånas eller görs oläsliga annat än med stöd av de bestämmelser som gäller för det. Lagen ska innehålla en bestämmelse om hur en rättelse ska gå till.

Inledning

Vårdgivaren har ansvar för att journaler förs i verksamheten och för att det görs på ett ändamålsenligt och korrekt sätt. Vårdgivaren ansvarar även för att journalerna hanteras och förvaras i enlighet med de bestämmelser som finns. Vidare är en vårdgivare person- uppgiftsansvarig för den behandling av personuppgifter som vård- givaren utför. Den som är personuppgiftsansvarig är enligt 9 § h PUL skyldig att se till att rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana uppgifter som är felaktiga eller ofull- ständiga med hänsyn till ändamålen med behandlingen av upp- gifterna. Skyldigheten för vårdgivaren att vara aktiv och se till att uppgifterna i en patientjournal är korrekta är alltså uttryckligt reglerat i personuppgiftslagen. Även bestämmelserna om signering och rättelse är ett uttryck för detta ansvar. Vårdgivarens ansvar för hantering av patientuppgifter följer även av att vårdgivaren är ytterst ansvarig för hela verksamheten.

40 Prop. 2007/08:126 s. 103.

268

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

I nuvarande patientdatalagen uttrycks vårdgivarens skyldighet bara indirekt genom signeringskravet och genom att reglera hur själva rättelsen ska gå till. Detta är enligt vår bedömning en ofullständighet i lagen. Det bör enligt vår mening vara tydligt att vårdgivarens ansvar innebär en skyldighet att vara aktiv och se till att felaktiga journaluppgifter rättas. Utredningens utgångspunkt är därför att det också bör uttryckas genom konkreta bestämmelser i hälso- och sjukvårdsdatalagen att vårdgivaren har ett särskilt ansvar för att innehållet i patientjournalerna är korrekt och att det finns en skyldighet att rätta. Det är ett viktigt ansvar som bör regleras tillsammans med övriga regler om vårdgivarens hantering av person- uppgifter i hälso- och sjukvården. Grundläggande bestämmelser som reglerar ansvar och hantering av journaluppgifter bör finnas i samma lag.

Tydligare ansvar för vårdgivaren

Vårdgivarens ansvar för säkerheten i vården och för hanteringen av personuppgifter innebär enligt utredningens bedömning också ett ansvar för att uppgifterna i en patientjournal är korrekta. Utred- ningen föreslår att vårdgivarens ansvar för att uppgifterna i en patientjournal är korrekta, uttrycks genom en bestämmelse i hälso- och sjukvårdsdatalagen som ställer krav på att vårdgivaren är aktiv och kontrollerar att uppgifternas riktighet samt rättar felaktiga uppgifter. Denna skyldighet ska gälla oavsett i vilken form jour- nalerna förs. Lagen bör vara så fullständig som möjligt avseende de grundläggande kraven som bör ställas på vårdgivare och hälso- och sjukvårdspersonal när det gäller journalföring och hantering av uppgifter. Att uppgifter är korrekta och att felaktigheter rättas är centralt såväl för integritetsskyddet som för kvaliteten och säker- heten i hälso- och sjukvården. Den principen bör ha en naturlig plats och vara tydligt uttryck i hälso- och sjukvårdsdatalagen.

Denna skyldighet för en vårdgivare innebär att vårdgivaren måste ge instruktioner till verksamheten om hur kontrollen av upp- gifternas riktighet ska uppfyllas och om hur rättelser av patient- journaler ska hanteras. Det är nödvändigt att de som arbetar åt en vårdgivare vet hur de ska agera när en felaktighet upptäcks. Det är också viktigt att de rättelser som görs är tydliga och kan tolkas av de som arbetar i verksamheten så att patientjournalen kan fortsätta att vara ett effektivt arbetsverktyg. Personalen behöver också ha

269

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

tydliga instruktioner om hur felaktiga uppgifter får utplånas, se vårt förslag i det följande.

Det går sannolikt inte att uttömmande precisera vad som ska ingå i vårdgivarens övergripande ansvar för att uppgifter i patient- journaler är korrekta. Riktlinjer och instruktioner till personalen har givetvis en självklar plats i detta, liksom vårdgivarens ansvar för att ensa användningen av de termer och begrepp som förekommer i verksamheten. På en övergripande nivå har vårdgivare även mycket att vinna på att implementera tekniska funktioner som bidrar till att se till att korrekta uppgifter dokumenteras och att det görs på rätt plats i patientjournalen. Att bygga in integritetsskyddande och kvalitetssäkrande funktioner i vårdens it-stöd har många fördelar och kan göras på en mängd olika sätt. Det kan exempelvis handla om olika funktioner som t.ex. gör att vissa termer och begrepp endast kan uttryckas på ett eller fler fördefinierade sätt eller att vissa uppgifter endast kan dokumenteras på vissa platser i en patientjournal. Att införa en mer strukturerad vårddokumentation med anpassade funktioner är sannolikt ett av de mest effektiva sätten för vårdgivare att ta ansvar för patientjournalernas innehåll. Det skulle även kunna medföra positiva effekter vad gäller hälso- och sjukvårdens administrativa börda genom att både journal- föringen och informationsinhämtandet i patientmötet blir effek- tivare.

Genom vårt förslag tydliggörs vårdgivarens ansvar för att till- handahålla en administrativ, organisatorisk och teknisk infra- struktur som ger hälso- och sjukvårdspersonalen förutsättningar att dokumentera korrekta och relevanta uppgifter på ett ändamåls- enligt sätt.

Utredningen föreslår därtill att bestämmelsen i gällande patient- datalag om att uppgifter i en patientjournal inte får göras oläsliga eller utplånas i andra fall än vad som gäller enligt lag förtydligas på så vis att vårdgivaren läggs till som ansvarigt subjekt.

270

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

12.4.9Den som för journal ska kontrollera sina uppgifter

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att den som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. I lagen ska också finnas en bestämmelse om hur den som för journal ska rätta felaktiga uppgifter.

Vår bedömning: Detta ansvar tillsammans med vårdgivarens yttersta ansvar för att journalerna är korrekta innebär att signeringskravet, i form av ett uttryckligt krav på kvittens, kan tas bort.

Inledning

Den som för journal ansvarar i dag för de uppgifter som han eller hon för in i journalen och för att dessa uppgifter signeras. I enlighet med vad som redovisats ovan har vårdgivaren således det övergripande ansvaret för att journaler förs i verksamheten och för att uppgifterna i journalerna är korrekta, men den som för patient- journal är ansvarig för de uppgifter som han eller hon för in.

Det framgår inte direkt i lagen vad signeringskravet innebär och hur det i praktiken ska uppfyllas. Kravet på att den som svarar för en anteckning också ska signera får dock anses innebära att en anteckning som förts in ska kontrolleras av den som ansvarar för uppgiften och sedan undertecknas. Signeringskravet har varit reg- lerat i lag sedan patientjournallagen trädde i kraft 1985. Kravet var omdiskuterat redan vid införandet. Varken journalutredningens betänkande41 eller propositionen42 innehöll något sådant förslag. Av kostnadsskäl ansågs det inte lämpligt att införa något generellt krav på kontrolläsning. För att någon tveksamhet inte skulle föreligga om ansvaret för uppgifternas riktighet infördes i stället en uttrycklig bestämmelse om att den som för journal ansvarar för att de uppgifter som han eller hon för in i journalen är riktiga.43 Signeringskravet kom sedan att föras in i lagen samband med riks- dagsbehandlingen av patientjournallagen.44

41SOU 1984:73.

42Prop. 1984/85:189.

43Prop. 1984/85:189 s. 20.

44Socialutskottets bestänkande 1984/85:SoU33.

271

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

Allt sedan dess har en debatt förts om signeringskravet är meningsfullt och ändamålsenligt. I Myndighetens för vårdanalys rapport Ur led är tiden45 tas signeringskravet upp som ett exempel på en administrativ åtgärd där värdet av åtgärden kan diskuteras i relation till vilken insats som krävs.

Det finns enighet om att måste ska gå att lita på uppgifterna i en patientjournal, men den omdiskuterade frågan är om signerings- kravet fyller någon sådan funktion i praktiken? På grund av det höga tempo som råder i hälso- och sjukvården är det ofta nöd- vändigt att kunna lita även på uppgifter som inte är signerade. Av redogörelserna i det föregående framgår även att uppgifter som förs in i en patientjournal inte får ändras annat än med stöd av särskilda regler. Detta gäller oavsett om uppgifterna är signerade eller inte.

Vårdgivarens ansvar och det ansvar som ligger hos den som för in uppgifter i en patientjournal är grundläggande och behövs för att säkerställa att uppgifterna i en patientjournal är korrekta. Frågan är om det utöver detta ansvar behöver finnas bestämmelser om att en kontrolläsning också måste signeras? Vårdgivarens ansvar för journalen och den enskilde yrkesutövarens ansvar för de uppgifter som förs in kan tillsammans med de bestämmelser som reglerar vilka möjligheter till ändring av innehållet som finns vara tillräck- liga för att säkra innehållet i patientjournalen. De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är viktigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte får förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.

Krav på kontrolläsning men inte på undertecknandet som dess kvittens

Utredningen anser att kvalitetskravet avseende journalanteck- ningen uttrycks bättre genom att förtydliga kravet på ansvar för anteckningen än genom att behålla signeringskravet som det är utformat i dag. Signeringskravet innebär dels att den som ansvarar för uppgiften ska kontrollera att de uppgifter som han eller hon ansvarar för är korrekta, dels att denna kontroll bekräftas med en

45 Myndigheten för vårdanalys Rapport 2013:9, Ur led är tiden s. 44 ff.

272

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

signering. Utredningen anser att det viktigaste är att i lagen uttrycka kravet på att uppgifterna ska kontrolleras.

Vi menar att signeringskravet, som det har kommit att tillämpas i praktiken, inte fyller den funktion som lagstiftaren en gång såg framför sig. Signeringen ger inte uttryck för den kvalitetskontroll den egentligen är avsedd att göra. I stället för att en signerad uppgift betyder att den är kontrolläst och riktig verkar innebörden av en signerad uppgift i dag endast vara att den är just signerad. Det förhållande att hälso- och sjukvårdspersonal ofta beskriver signeringen som en administrativ pålaga med liten eller ringa betydelse för tilliten till uppgifternas riktighet och säkerheten i vården, gör att det i dag starkt kan ifrågasättas om kravet är ändamålsenligt.

Det kan heller inte uteslutas att lagstiftningens utformning, dvs. att fokus ligger på att en uppgift ska signeras, har bidragit till en olycklig förskjutning från den nödvändiga kontrollen av upp- gifternas riktighet till den mer administrativa kvittensen.

Sammantaget bedömer vi därför att det finns skäl att ändra lag- stiftningen så att den på ett tydligt sätt uttrycker att den som journalför ansvarar för sina uppgifter och att de är korrekta, alldeles oavsett om en administrativ kvittens är synlig eller inte. Signeringskravet, som det är utformat i dag, bör därför tas bort. I anslutning till ett uttryckligt ansvar för vårdgivaren avseende patientjournalens innehåll vill vi därför även tydliggöra yrkes- utövarens ansvar för de uppgifter som han eller hon för in i journalen. Vi föreslår därför ett tillägg till ansvaret för uppgifterna som innebär att yrkesutövaren ska kontrollera att uppgifterna är riktiga. Denna kontroll görs antingen i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in.

Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsning skett. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet och kvalitet.

Vårt förslag innebär ingen begränsning av det ansvar som en yrkesutövare redan i dag har för sina uppgifter. Tvärtom avser vi med förslaget att förtydliga vad ansvaret egentligen handlar om. Det är upp till vårdgivaren att ha tydliga rutiner för hur detta ansvar för uppgifternas riktighet ska upprätthållas generellt i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verksamheter och vårdgivare att det finns tillit till

273

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

att dokumentationen är korrekt och användbar. Detta ställer stora krav på vårdgivare och yrkesutövare när det gäller ansvaret för uppgifterna i patientjournalen. Vårt förslag om att uttrycka detta på ett annat sätt än genom signeringskravet förminskar inte detta ansvar.

Rättelse av en felaktighet

Vi föreslår att bestämmelsen i patientdatalagen om hur rättelse av en journalanteckning ska gå till förs över med vissa förtydliganden i en egen paragraf. Det ska framgå att det är den som för patient- journal som utför rättelsen. Det ska också uttryckas i bestämmelsen att rättelsen ska göras så att den ursprungliga texten inte blir oläslig eller oåtkomlig.

12.4.10Vårdgivare ska få utplåna uppenbara felaktigheter i patientjournalen

Vårt förslag: En vårdgivare ska få utplåna uppgifter i en patient- journal. Vårdgivaren ska enbart kunna göra detta om det är sannolikt att den uppgift som ska utplånas inte har använts som underlag för bedömningar och ställningstaganden i samband med patientens vård och behandling. Utöver detta ska det krävas att den uppgift som ska tas bort är uppenbart felaktig och att rättelse inte är en tillräcklig åtgärd för att tillgodose skyddet för den registrerades integritet.

Inledning

Med beaktande av patientsäkerheten och skyddet för de registrerades integritet är det nödvändigt att vara mycket noggrann i samband med hantering av personuppgifter i hälso- och sjukvården. Det finns en hög medvetenhet om detta i hälso- och sjukvården. Trots detta inträffar det ibland att felaktiga noteringar görs i en patientjournal. Det kan t.ex. hända att felaktiga uppgifter om en patients hälsotillstånd förs in, t.ex. en felaktig uppgift om dos eller styrka av ett läkemedel. Om misstaget inte uppmärksammas i anslutning till att uppgifterna förs in får uppgifterna dock inte

274

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

utplånas från journalen. Däremot är det möjligt för vården att rätta uppgifterna enligt de regler som gäller för det i nu gällande 3 kap. 14 § PDL. En sådan åtgärd är ofta tillräcklig för att säkra att inne- hållet i journalen blir korrekt. Det kommer fortfarande att synas i journalen att den rättats och det finns en spårbarhet avseende den felaktiga uppgiften. En rättelse innebär således inte att den felaktiga uppgiften får tas bort från journalen.

Andra felaktiga noteringar i journalen blir mer problematiska för hälso- och sjukvården. Om t.ex. anteckningar om vård och behandling görs på fel patient uppstår en känslig situation. Det kan i värsta fall innebära ett otillåtet spridande av sekretessbelagda uppgifter att inte helt kunna ta bort de felaktiga noteringarna.

Den enda möjligheten att helt ta bort dessa uppgifter är att vända sig till den patient som journalen avser eller till den patient som omnämns i den felaktiga anteckningen (om den finns något omnämnande) och uppmana någon av dem att ansöka om journal- förstöring. Detta framstår sannolikt som märkligt för patienten att behöva ta ansvar för. Varför ska han eller hon behöva besvära sig med att hantera sådana misstag som gjorts i vården? Det kan också vara svårt att hantera detta utan att den registrerade får ta del av uppgifter om en annan registrerad. En anteckning i en patient- journal som egentligen avser en annan person kan innebära patient- säkerhetsrisker och integritetsrisker för den patient som ”äger” journalen. Även med hänsyn till den patient vars uppgifter hamnat fel kan det medföra sådana risker. Det är därför angeläget att en sådan felaktighet snabbt kan rättas.

Utredningen har därför fått i uppdrag att utreda möjligheten att göra det tillåtet för vårdgivaren att ansöka om journalförstöring. Utredningens utgångspunkt är att av hänsyn till de registrerades integritet måste felaktigheter i en patientjournal kunna åtgärdas på ett enkelt sätt utan onödig administration - men med beaktande av de säkerhetsaspekter som vi här redogjort för. En vårdgivare ska inte kunna ändra innehållet i en patientjournal utan att följa ändamålsenliga regler för hur det ska gå till.

275

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

Vårdgivare bör få en möjlighet att under vissa förutsättningar ta bort felaktiga uppgifter

Uppgifter som förts in i en journal kan enbart bli helt utplånade med stöd av bestämmelsen om journalförstöring. Det är dock bara patienten eller någon annan som omnämns i en patientjournal som kan ansöka om journalförstöring. Det innebär stora olägenheter för vårdgivaren och hindrar verksamheten från att bära ett fullständigt ansvar för att uppgifterna i journalen är riktiga.

Om t.ex. felet består i att uppgifter på fel patient förts in i en journal blir det komplicerat att åstadkomma en rättelse som inne- bär att båda patienternas integritet respekteras. Huvudregeln är ju att det föreligger sekretess avseende de aktuella uppgifterna mellan de båda patienterna. Ändå är det bara någon av dessa som kan ansöka om journalförstöring. Det blir en ömtålig fråga som är svår att hantera på ett bra sätt för vårdgivaren. För att åtgärda det fel som vårdgivaren själv orsakat finns det i dagsläget ingen annan laglig lösning än att vårdgivaren lägger över ansvaret för att rätta till felet på någon av de registrerade.

Den patient som journalen avser kan ansöka om att uppgifterna som avser en annan patient ska förstöras. Ansökan ska lämnas till Inspektionen för vård och omsorg, som ska utreda och fatta beslut i frågan. Det är sannolikt att en sådan ansökan skulle bifallas. Men det är inte någon enkel och snabb väg att behöva vända sig till en myndighet för att rätta till en uppenbar felaktighet. Det kan inne- bära risker för patienten så länge som de felaktiga uppgifterna finns kvar i journalen. För båda berörda patienter kan det också medföra risker för integritetskränkningar så länge som de felaktiga upp- gifterna är åtkomliga i journalen. För de registrerades skull vore det önskvärt med en möjlighet för vårdgivarna att åtgärda sådana uppenbara fel.

Utredningen anser att vårdgivaren måste få en möjlighet att åtgärda uppenbara felaktigheter i patientjournalen. Vi anser att det inte är en tillräckligt bra lösning att ge vårdgivarna en möjlighet att i dessa lägen ansöka om journalförstöring. Det tar onödigt lång tid att rätta till felaktigheterna om det måste krävas ett myndighets- beslut för det.

Vi anser att det av hänsyn till de patienter som drabbas av dessa felaktigheter är nödvändigt att en rättelse måste kunna göras enkelt utan tidsödande administration. Vårdgivaren har ansvar såväl för att erbjuda en god och säker vård som för en säker informations-

276

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

hantering. Det är därför rimligt att vårdgivarna också får ta ansvar för att åtgärda uppenbara felaktigheter som kan få konsekvenser för en eller flera patienter.

Enligt gällande rätt får uppgifter i en patientjournal endast utplånas eller göras oläsliga med stöd av bestämmelsen om journal- förstöring eller med stöd av bestämmelser om gallring enligt arkivlagen. Dessa bestämmelser utgör undantag från skyldigheten att bevara allmänna handlingar när det gäller patientjournaler som förs av en offentlig vårdgivare.

Utredningens förslag om att vårdgivare ska få utplåna felaktiga uppgifter innebär när det gäller den offentliga vården ytterligare ett undantag från skyldigheten att bevara allmänna handlingar. Utred- ningen måste därför överväga om detta undantag innebär en oacceptabel konflikt med offentlighetsprincipen. När det gäller patientjournalens ställning som allmän handling är den redan mycket starkt begränsad av den starka sekretess som råder avseende uppgifterna i journalen. Patientjournalens viktigaste uppgift är att finnas till hands i syfte att erbjuda patienten en god och säker vård. Mot den bakgrunden är det nödvändigt för vården att så långt möjligt kunna lita på innehållet i en patientjournal.

Vårdgivaren har ett ansvar för att innehållet i patientjournalen är korrekt. Det finns redan i dag en möjlighet för patienten att under vissa förutsättningar få uppgifter utplånade ur en patientjournal. Utredningen föreslår nu en möjlighet för vårdgivaren att under vissa begränsade förutsättningar få utplåna uppgifter i en journal. Syftet med det undantaget är att vårdgivaren på ett bättre sätt kan ta ansvar för att det bara finns korrekta uppgifter i en patient- journal. Vårdgivarens rätt att utplåna felaktiga uppgifter är en undantagsbestämmelse som enligt utredningens förslag bara ska få tillämpas om en rättelse inte är en tillräcklig åtgärd. Vårt förslag innebär endast ett mindre tillägg till de möjligheter som redan finns att trygga en patientjournals innehåll. Vi gör mot denna bakgrund bedömningen att förslaget inte innebär någon konflikt mot offent- lighetsprincipen.

Närmare om villkoren för vårdgivares utplåning av uppgifter

Det grundläggande villkoret för att en utplåning på vårdgivarens initiativ ska vara möjlig är att det är sannolikt att den eller de upp- gifter som ska utplånas inte har legat till grund för bedömningar

277

Ett tydligare ansvar för patientjournalen och dess innehåll

SOU 2014:23

och ställningstaganden vid vård och behandling av den patient som journalen avser. Om en felaktig uppgift har haft betydelse för vården av patienten är det viktigt av spårbarhetsskäl att den fel- aktiga uppgiften inte utplånas. Det kan vara betydelsefullt för den fortsatta vården av patienten att veta vilka uppgifter som legat till grund för behandlingen. Även för att kunna följa upp och kvalitets- säkra vården är det viktigt att den dokumentation som funnits i ett vårdförlopp går att återskapa. I samband med en utredning av en vårdskada kan det vara nödvändigt att det går att få fram vilken dokumentation som fanns att tillgå vid vårdtillfället. Därför anser utredningen att felaktiga uppgifter som använts i vården inte ska utplånas utan rättas i enlighet med den bestämmelse som gäller för det.

Med förutsättningen att felet ska vara uppenbart avser utred- ningen att den felaktiga uppgiften ska ha förts in av rent förbi- seende. Det ska vara en uppgift som entydigt är felaktig i den aktuella journalen, t.ex. att fel uppgift noterats på grund av någon form av förväxling. Det kan t.ex. handla om att uppgiften i sig är korrekt, men den avser en annan patient. Det ska inte vara fråga om en uppgift som noterats på grund av någon bedömning, som senare visar sig felaktig.

En ytterligare förutsättning för att vårdgivaren ska få ta bort det uppenbara felet är att det – av hänsyn till en registrerads integritet – inte är tillräckligt att rätta felaktigheten enligt de bestämmelser som gäller för det. Huvudregeln är att uppenbara fel ska rättas i enlighet med de befintliga reglerna om rättelse. Det ska alltså inne- bära ett bristande skydd för en registrerads integritet att upp- gifterna finns åtkomliga på det sätt som blir resultatet av en vanlig rättelse. En rättelse enligt patientdatalagen innebär ju inte att de felaktiga uppgifterna utplånas. Det innebär endast att någon form av markering görs om att en uppgift är felaktig. I förekommande fall skrivs i stället en riktig uppgift in i stället. Spårbarheten avseende den felaktiga uppgiften kan vara konstruerad på olika sätt i olika journalsystem.

Om det handlar om att samma uppgift av misstag förts in flera gånger gör utredningen bedömning att det är möjligt för vård- givaren att formlöst se till att uppgiften bara noteras så många gånger som är nödvändigt. En sådan rättelse innebär ju inte att själva informationen går förlorad.

I de fall där den uppenbara felaktigheten består i att uppgifter om fel patient förs in i en patientjournal kan det vara känsligt för

278

SOU 2014:23

Ett tydligare ansvar för patientjournalen och dess innehåll

båda patienterna om de felaktiga uppgifterna inte kan tas bort helt och hållet. Utredningen anser att en sådan situation är ett typfall då det inte är tillräckligt att åtgärda felet genom att tillämpa reglerna om rättelse. Vi anser att vårdgivaren i sådana situationer på ett enkelt och snabbt sätt måste kunna utplåna de felaktiga uppgifterna från journalen. Det skulle innebära mer administration både för vårdgivaren och för Inspektionen för vård och omsorg om sådana fel endast kunde åtgärdas genom att vårdgivaren ansökte hos myndigheten om journalförstöring. Det skulle också innebära att det tog längre tid att åtgärda felet. Ju längre tid det tar att rätta till ett fel ju större blir risken för att en registrerads integritet kränks. Utredningen har därför valt att föreslå att vårdgivaren under vissa förutsättningar själv får rätta till uppenbara fel.

Av utredningens förslag till bestämmelse framgår att möjlig- heten för vårdgivaren att utplåna uppgifter bara får användas om rättelse inte är en tillräcklig åtgärd. I första hand ska bestämmelsen om rättelse användas för att åtgärda uppenbara fel. Bestämmelsen kan bli tillämplig först om det inte är tillräckligt med en rättelse för att trygga en registrerads integritet. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, ska det ske med urskill- ning och varsamhet.

Utredningens förslag till bestämmelser riktar sig till vårdgivaren som ansvarig för behandlingen av personuppgifterna i verksam- heten. Det innebär att vårdgivaren måste ha rutiner till de som arbetar i vården om hur de ska hantera rättelse och utplåning av uppgifter i journalen. Vårdgivaren måste ge instruktioner till verk- samheten hur denna nya möjlighet att åtgärda felaktigheter ska användas.

Vårdgivarens ansvar för hantering av journaluppgifter innebär att vårdgivaren i första hand måste se till att det inträffar så få felaktiga noteringar i journalerna som möjligt. Journalsystemen måste vara användarvänliga. Det ska vara enkelt att göra rätt – svårt att göra fel. Vårdgivaren ansvarar även för att arbetet med patienter och dokumentation av vården läggs upp på ett ändamålsenligt och säkert sätt.

Utredningens förslag innebär att vårdgivaren för att kunna ta ansvar för informationshanteringen också måste följa upp hur den nya möjligheten till att ta bort felaktigheter används i verk- samheten. Ett sådant kvalitetsarbete kan ge vårdgivaren signaler om vilka brister som finns när det gäller t.ex. användbarhet av journal- systemen och även om brister avseende hur vårdarbetet är utformat.

279

13En informationshantering med patienten i centrum

13.1Bakgrund

Under 2011 presenterade Riksrevisionen sin rapport Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?

(RiR 2011:19). I rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinforma- tion vid rätt tillfälle.

Motiven för granskningen var att hälso-och sjukvården och den kommunala omsorgen under senare år genomgått stora struktur- förändringar, vilket bland annat gjort att antalet aktörer på området har ökat. Den nationella vårdgarantin och det fria vårdvalet som införts har bland annat medfört att ett större antal vårdgivare involveras i vården av patienter, vilket ställer nya krav på möjlig- heterna för vårdpersonalen att ta del av uppgifter om patienterna. Det har därmed blivit allt viktigare att säkerställa ett effektivt och säkert utbyte av information mellan olika vårdgivare. Riksrevisionen anför i granskningen att vårdens organisering har kommit att bli avgörande för informationsutbytet. Riksrevisionen anför bl.a. följande.

Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation.

Vidare framhöll Riksrevisionen att det i ett landsting med få vård- givare är enklare att få tillgång till patientinformation eftersom patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare. Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de

281

En informationshantering med patienten i centrum

SOU 2014:23

konsekvenser som det ökade antalet privata vårdgivare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författningsreglering.

I regeringens skrivelse om Riksrevisionens rapport aviserades sedan regeringen denna utredning.1 Regeringen anför i skrivelsen bland annat att insatser till enskilda inte ska vara mindre säkra eller av lägre kvalitet till följd av bristande tillgång till information. Utan sådan tillgång till uppgifter ökar, enligt regeringens skrivelse, risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Utöver direkt negativa konsekvenser för den enskilde kan brister i möjligheten att samverka och samarbeta genom att effektivt utbyta uppgifter mellan verksamheter också få negativa följder för hälso- och sjuk- vården och socialtjänsten på en övergripande nivå. Vidare uttalar regeringen att den delar Riksrevisionens bedömning att det finns behov av att se över patientdatalagen (2008:355), förkortad PDL, och annan berörd lagstiftning i syfte att utreda hur ett effektivt utbyte av information mellan socialtjänsten och hälso- och sjuk- vården kan säkerställas. Mot den bakgrunden aviserade regeringen denna utredning genom att uttala följande.

Regeringen avser därför snarast att förordna en särskild utredare med uppdrag att med beaktande av integritetsaspekterna utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informations- hantering inom och mellan hälso- och sjukvården och socialtjänsten.

Hälso- och sjukvård utförs i dag av en mångfald av vårdgivare, privata som offentliga, som var för sig och tillsammans samverkar för att ge god och säker vård. En ändamålsenlig informations- hantering är en av förutsättningarna för att alla patienter ska garanteras en likvärdig tillgång till hälso- och sjukvård av god kvalitet.

13.2Några utgångspunkter för utredningen

Utredningen har mot bakgrund av regeringens uppdrag bedrivit ett omfattande arbete med att identifiera förutsättningar och hinder för en mer ändamålsenlig och sammanhållen informations- hantering.

1 Regeringens skrivelse 2011/12:34.

282

SOU 2014:23

En informationshantering med patienten i centrum

Under arbetets gång har det blivit tydligare och tydligare att behovet av informationsutbyte kring individen i dag är störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet med hälso- och sjukvården är därför att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att patienten ska få en god och säker vård. Ytterligare en förutsättning är att såväl hälso- och sjukvårds- insatserna som informationshanteringen bygger på respekt för patientens självbestämmande och integritet.

Vi har i tidigare avsnitt redogjort för den omfattande struktur- förändring som hälso- och sjukvården har genomgått de senaste åren, inte minst efter patientdatalagen trädde ikraft 1 juli 2008. En ökad specialisering, ett ökat antal vårdgivare och en ökad patient- rörlighet är några av de grundläggande faktorer som har påverkan både på de faktiska behoven och på de legala möjligheterna att hantera och utbyta uppgifter om patienter.

Fler vårdgivare innebär även fler gränser mellan vårdgivare, vilket bland annat kan skapa rättsliga hinder eller begränsningar för hur information får hanteras och utbytas. Samtidigt behöver de verksamheter som bedriver hälso- och sjukvård ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation.

Huvudmannen som har ansvar för hälso- och sjukvården i området och som finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer - oavsett om individens resa har passerat offentliga och privata aktörer. Rätt information på rätt plats i rätt tid för är en nyckel för att informa- tionshanteringen ska kunna bidra till ännu bättre resultat för patienterna. Det kräver även ett regelverk med individen och indi- videns behov i centrum.

För den enskilde individen handlar det bland annat om att känna trygghet i att hälso- och sjukvårdens aktörer har tillgång till den information om den enskilde som behövs för att kunna ge en så god och säker vård som möjligt i de situationer som uppstår. Sannolikt förutsätter de flesta individer att den information om dem som behövs av samverkande vårdgivare i en vårdprocess finns tillgänglig

283

En informationshantering med patienten i centrum

SOU 2014:23

på ett lika effektivt och säkert sätt som om processen hade hanterats av en och samma vårdgivare. För den enskilde handlar det även om att känna trygghet med de fria val som den enskilde har rätt att göra i hälso- och sjukvården, t.ex. att fritt välja vårdgivare och att välja att ta emot eller avstå från erbjudanden om vård. Där- utöver finns ett övergripande intresse för alla medborgare att känna tillit till att den hälso- och sjukvård som erbjuds i det egna lands- tinget eller i den egna kommunen står sig väl i förhållande till vad som erbjuds i andra delar av landet, exempelvis med avseende på jämlikhet, kvalitet, säkerhet och tillgänglighet. En informations- hantering med individen i centrum är därför en av de grund- läggande förutsättningarna för att kunna leva upp till individens behov och förväntningar på hälso- och sjukvårdssystemet.

Utredningen vill genom några exempel beskriva på vilket sätt dagens mer organisationsinriktade lagstiftning riskerar att medföra negativa konsekvenser för patienten både i enskilda behandlings- situationer och i ett vidare perspektiv. Gemensamt för exemplen är att olika former av organisatoriska gränser i stor utsträckning påverkar möjligheterna att ge god och säker vård, arbeta preventivt och möta befolkningens behov, förbättra resultatet för patienterna m.m.

13.3Utredningens reflektioner kring gällande rätt

Nedan redovisas fyra olika exempel som på olika sätt har bäring på frågan om hur en mer ändamålsenlig och sammanhållen informa- tionshantering kan stimuleras. Exemplen rör såväl informations- hanteringen i patienters individuella möten med hälso- och sjuk- vården som förutsättningarna att hantera information för att säkra kvaliteten i patienteras vård eller för att arbeta förebyggande och stödjande.

Syftet med exemplen är att tydliggöra några av de hinder och problem som dagens lagstiftning uppställer. För att möjliggöra en informationshantering som bidrar till bättre resultat för patienterna måste vi, enligt utredningens bedömning, hitta lösningar på dessa problem.

284

SOU 2014:23

En informationshantering med patienten i centrum

13.3.1Exempel 1. Konsekvenser för informationsutbytet beroende på olika driftformer inom ett landstings ansvarsområde

Hantering av information mellan olika landstingsdrivna verksamheter

Akademiska sjukhuset i Uppsala och Svartbäckens vårdcentral finansieras och drivs i dag båda av Landstinget i Uppsala län. Det innebär bland annat att personuppgifter rörande patienter som finns i vårdcentralens och sjukhusets verksamhet är tillgängliga för åtkomst både för sjukhuspersonal och för vårdcentralspersonal. En anställd får ta del av de relevanta uppgifterna om denne deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården (exempelvis kvalitetssäkring). Beroende på hur landstinget valt att definiera sin verksamhet i vårdenheter och vårdprocesser kan en patient ha rätt att exempelvis spärra information som dokumenterats på sjukhuset för personal på vårdcentralen. Spärren kan dock hävas av personal på vård- centralen om patienten samtycker till det. Om ett samtycke inte kan inhämtas kan spärren hävas av personal om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. En sådan spärr gäller dock inte i förhållande till vård- centralspersonalen om denne behöver tillgång till uppgifterna för andra ändamål för sitt arbete inom hälso- och sjukvården, t.ex. kvalitetssäkring, statistikframställning, utvärdering m.m.

Hantering av information mellan verksamheter som bedrivs av olika vårdgivare inom landstinget

På Liljeforstorg i centrala Uppsala ligger en annan vårdcentral, som även den finansieras av landstinget men för tillfället drivs av den privata vårdgivaren Capio. Det innebär bland annat att person- uppgifter rörande patienter som finns i denna vårdcentrals och Akademiska sjukhusets verksamhet som huvudregel inte får vara elektroniskt tillgängliga för åtkomst för både sjukhuspersonal och vårdcentralspersonal. För att uppgifterna ska få vara tillgängliga genom direktåtkomst krävs att reglerna om sammanhållen journal- föring tillämpas, det vill säga att patienterna informerats om det och valt att inte motsätta sig en sådan direktåtkomst. För den som motsätter sig ska informationen genast spärras så att den inte kan

285

En informationshantering med patienten i centrum

SOU 2014:23

vara tillgänglig för personal i de respektive verksamheterna. Om det sedan uppstår ett behov för sjukhuspersonalen att ta del av sådan information om individen som dokumenterats av vård- centralen måste en begäran göras till vårdcentralen om att häva spärren och lämna ut informationen. En sådan begäran kan göras av patienten eller i en nödsituation, där patienten inte kan göra det, av sjukhuspersonalen. Spärren är alltså hård och kan inte hävas av personal på sjukhuset, utan ett formellt beslut måste fattas av befattningshavare på vårdcentralen. På kvällar och helger är vård- centralen emellertid stängd, vilket innebär att uppgifter inte kan hävas i de situationer det behövs under dessa tidpunkter.

För patienter som inte har motsatt sig att sjukhuset och vård- centralen får tillgång till varandras patientuppgifter är informa- tionen dock tillgänglig. Det innebär dock inte att sjukhuspersonal kan ta del av informationen som dokumenterats på vårdcentralen på Liljeforstorg på samma sätt som de kan göra för information som dokumenterats på Svartbäckens vårdcentral. En förutsättning för att vid behov få ta del av uppgifterna från Liljeforstorg vård- central är att patienten samtyckt till det.

Oavsett om ett samtycke från patienten finns får sjukhus- personal inte genom direktåtkomst ta del av patientuppgifter från Liljeforstorg vårdcentral för något annat syfte än vård och behand- ling. Uppgifter får därmed inte på detta sätt användas för kvalitets- säkring, statistikframställning eller annat. Varken Akademiska sjukhuset eller Liljeforstorg vårdcentral har således rätt att genom direktåtkomst hantera personuppgifter över vårdgivargränser för att exempelvis utvärdera och kvalitetssäkra de gemensamma vård- processer deras patienter befinner sig i.

Utbyte av information mellan verksamheter som drivs direkt av landstinget respektive landstingsägda bolag

I sammanhanget kan noteras att den beskrivna situationen ovan är densamma även om landstinget själv skulle driva vårdcentralen på Liljeforstorg genom ett landstingsägt bolag. Även om sekretess inte gäller mellan landstinget och ett av landstinget ägt bolag (sådana kommunala bolag som avses i 2 kap. 3 § offentlighets- och sekretesslagen [2009:400], förkortad OSL), är direktåtkomst mellan sådana verksamheter inte tillåten enligt 5 kap. 4 § PDL.

286

SOU 2014:23

En informationshantering med patienten i centrum

Konsekvenserna

Ovanstående situation visar endast på några skillnader som uppstår om en offentligfinansierad verksamhet inom ett och samma lands- ting drivs i offentlig eller i privat regi. Det är inte endast personalen som ska hålla reda på och känna till vilka verksamheter som drivs av vilka aktörer, utan även för invånarna gäller det att känna till i vilka situationer man har en möjlighet att motsätta sig, lämna samtycke etc. För patienter är detta inte alltid helt uppenbart, vare sig i den stund det handlar om att välja vårdgivare eller när patienten befinner sig i en pågående vårdprocess. De organisatoriska gräns- erna blir i praktiken även mer otydliga och svårare att upptäcka i takt med att vårdgivare i ännu större utsträckning än tidigare samverkar kring patienterna, t.ex. genom att vara lokaliserade i samma byggnad.

Motsvarande situation som den ovan beskrivna gör sig även gällande i den kommunala hälso- och sjukvården när olika aktörer är inblandade i den enskildes hälso- och sjukvård. Utmaningen är emellertid större än så eftersom det i många verksamheter, t.ex. sär- skilda boenden inom äldreomsorgen och i stora delar av hemsjuk- vården, utförs både sociala insatser och hälso- och sjukvårds- insatser. Vilka dessutom kan utföras av olika vårdgivare respektive utförare. Problematiken kring informationshantering inom och mellan den kommunala hälso- och sjukvården och socialtjänsten uppmärksammas huvudsakligen i avsnitt 31.

Våra sammanfattande reflektioner

Ovanstående exempel ger anledning till reflektion över regelverkets utformning i relation till individens behov. Vi bedömer att det är på det lokala planet som individen har störst behov av att viktig information hålls samman och alltid finns tillgänglig när individen möter vården. Vi ifrågasätter om det för individens del finns något tillräckligt starkt skäl som motiverar att förutsättningarna för en mer sammanhållen informationshantering ska vara beroende av om den vårdgivare individen möter drivs i offentlig eller privat regi.

Det kan exempelvis ifrågasättas om det är rimligt att det råder sekretess mellan vårdcentralen på Liljeforstorg och Akademiska sjukhuset en km därifrån, när bevekelsegrunderna för organisa- tionen av verksamhetens drift sannolikt handlat om något helt

287

En informationshantering med patienten i centrum

SOU 2014:23

annat. För en utomstående betraktare synes det närmast som att sekretessgränserna uppstår slumpmässigt utan reell koppling till behov av öppenhet för att garantera alla patienter en jämlik vård av hög kvalitet.

I sammanhanget kan även noteras att det sannolikt inte råder sekretess (tystnadsplikt) mellan vårdcentralen på Liljeforstorg och S:t Görans sjukhus i Stockholm, eller för den delen Hälsocentralen Dragonen i Umeå. Detta eftersom S:t Göran, Dragonen i Umeå och vårdcentralen på Liljeforstorg för tillfället drivs av samma vård- givare (Capio).

Exemplen ovan visar att det är hög tid att ställa frågan om hur ett framtida regelverk kan utformas för att stimulera en informa- tionshantering som bidrar till bättre resultat för alla patienter, oav- sett hur vården är organiserad.

13.3.2Exempel 2. Möjligheterna till aktiv hälsostyrning i län med liten eller stor mångfald av aktörer

Aktiv hälsostyrning innebär, något förenklat, att man med tydligt fokus på prevention identifierar och proaktivt stödjer risk- populationer. Det kan exempelvis handla om att man försöker identifiera mångbesökare inom vissa sjukdomsgrupper för att i nästa skede kunna erbjuda dem en särskild vårdcoach.

Statistik visar exempelvis att det finns en liten grupp patienter med ett stort vårdbehov. En procent av befolkningen inom Stockholms läns landsting beräknas stå för cirka 30 procent av sjukvårdskostnaderna. Dessa personer har i snitt 8 olika diagnoser, 65 vårdkontakter på ett år, en inläggning var tredje månad, mycket låg självskattad livskvalitet samt stora behov av stöd, vård- koordinering och coachning.2 Nationella och internationella erfarenheter visar att ett preventivt arbetssätt med en aktiv hälso- styrning kan förbättra och effektivisera vården för dessa patient- grupper.

För att identifiera dessa individer som är i behov av och kan erbjudas särskilt stöd behöver stora mängder grunddata hanteras maskinellt. En vårdgivare har möjlighet att göra den typen av personuppgiftsbehandling inom sin egen verksamhet. Mellan vård- givare finns däremot hinder för det, såväl i offentlighets- och sekretesslagstiftningen som i patientdatalagen. Förutom att sekre-

2 Jfr Stockholms läns landsting Rapport Aktiv hälsostyrning - vårdcoacher 2012.

288

SOU 2014:23

En informationshantering med patienten i centrum

tess och tystnadsplikt gäller mellan olika vårdgivare är denna typ av personuppgiftsbehandling genom direktåtkomst inget tillåtet ända- mål enligt patientdatalagen. Någon möjlighet att inhämta individernas samtycke och sedan lämna ut uppgifter för samkörning finns inte heller, eftersom man måste hantera samtliga personuppgifter rörande samtliga individer för att över huvud taget identifiera de relevanta personerna.

En slutsats är således att ett landsting med få privata aktörer har väldigt goda förutsättningar att identifiera de länsinvånare som kan erbjudas ett särskilt stöd. Finns däremot många privata aktörer i den offentligfinansierade sjukvården inom ett landsting blir förutsättningarna väsentligt försämrade. För medborgarnas del handlar det om att möjligheterna att på detta sätt få stöd i att hantera sin hälsa bl.a. är beroende av vem som utför den offentligt finansierade hälso- och sjukvården i länet. I längre perspektiv påverkar detta naturligtvis utsikterna för en mer jämlik vård.

Aktiv hälsostyrning är endast ett av många exempel på hur regelverket påverkar huvudmannens, dvs. landstingets eller kom- munens, möjligheter att vidta ändamålsenliga åtgärder för att möta länsinvånarnas behov. För den huvudman som ansvarar för befolk- ningens hälsa handlar det i dag mycket om att i större utsträckning än tidigare arbeta preventivt för att identifiera riskfaktorer, sätta in resurser där behoven är som störst och på olika sätt tillhandahålla effektiva verktyg för invånare att hålla sig friska.

Våra sammanfattande reflektioner

Ovanstående exempel visar på skillnader mellan olika huvudmäns möjligheter att arbeta med prevention och i övrigt vidta åtgärder för att möta invånarnas behov av hälsa och sjukvård. Som huvud- män har kommuner och landsting ett lagstadgat ansvar för den hälso- och sjukvård som med offentliga medel erbjuds och kommer invånarna till del. Det ansvaret kan inte överlåtas utan ligger alltid kvar på landstinget eller kommunen oavsett om en privat vård- givare står för själva driften av verksamheten.

För att huvudmännen ska kunna sköta detta ansvar måste det finnas förutsättningar att hantera de uppgifter som behövs för att vidta effektiva och ändamålsenliga åtgärder. Det är enligt utredningens bedömning inte rimligt att de organisatoriska gränser som finns mellan huvudmannen som ytterst ansvarig och utförarna

289

En informationshantering med patienten i centrum

SOU 2014:23

som ska förverkliga huvudmannens intentioner medför sådana konsekvenser som redovisas i exemplet. Det reser inte minst farhågor vad gäller jämlik vård. Sett över tiden, vad händer med en jämlik hälso- och sjukvård när skillnaderna avseende hur länen är organiserade medför konsekvenser för invånarnas hälsa?

Exemplet ovan visar återigen att det är hög tid att ställa frågan om hur ett framtida regelverk kan utformas för att stimulera en informationshantering som bidrar till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad. Vår utgångspunkt är att regelverket ska utgöra en garant för att alla som omfattas av ett offentligfinansierat system ges samma möjlig- heter.

13.3.3Exempel 3. Möjligheterna att kvalitetssäkra vårdprocesser över vårdgivargränser

Dagens regelverk medför liknande konsekvenser som ovan avse- ende möjligheterna att skapa bättre resultat för patienter i vård- processer över vårdgivargränser genom användning av nationella kvalitetsregister.

I ett landsting som t.ex. Norrbotten, kan en patients behand- lingsresa börja på vårdcentralen i Kiruna för att fortsätta på läns- delssjukhuset i Gällivare och för att sedan avslutas på länssjukhuset i Sunderbyn. I ett sådant landsting finns möjligheter att i ett kvalitetsregister följa och kvalitetssäkra patientens väg genom vårdsystemet. Detta eftersom såväl vårdcentralen som de två sjuk- husen drivs av landstinget, dvs. av en och samma vårdgivare. I kvalitetsregistret kan därmed landstinget, med stöd av bestäm- melserna i 7 kap. 9 § PDL, ha direktåtkomst till de uppgifter som lämnats till registret från vårdgivarens verksamheter. På det sättet kan landstinget ta ansvar och kvalitetssäkra hela patientens vård- process från det att den startade på vårdcentralen på hemorten och sedan fortsatte till två av sjukhusen i länet.

För ett landsting där vårdcentralen eller något av sjukhusen drivs i privat regi med offentlig finansiering saknas dock möjlig- heter till motsvarande kvalitetssäkring. Förutom att det råder sekretess mellan olika vårdgivare medger inte patientdatalagen direktåtkomst över vårdgivargränser för kvalitetssäkringsändamål. Det tas heller ingen hänsyn till om det är en och samma huvudman som finansierar samtliga verksamheter.

290

SOU 2014:23

En informationshantering med patienten i centrum

Offentlighets- och sekretesslagstiftningen reser tillsammans med patientdatalagen hinder för det finansierande landstinget att hantera patientuppgifter över vårdgivargränser för att säkra och utveckla kvaliteten i vården av de patienter som mött de vårdgivare som landstinget har huvudmannaansvar för. Ingen av de inblandade sjukhusen eller vårdcentralen kan därmed ta ett ansvar och kvalitets- säkra patientens process. Motsvarande problem gör sig även starkt gällande i exempelvis rikssjukvården, cancersjukvården och i äldre- omsorgen.

Våra sammanfattande reflektioner

Exemplet visar återigen på att regelverket medför negativa och omotiverade konsekvenser för dagens och morgondagens patienter. Ur ett grundläggande perspektiv kan det självklart ifrågasättas om det över huvud taget ska vara tillåtet med samverkan och vård- processer över vårdgivargränser, om det inte samtidigt finns goda legala förutsättningar för att säkra och utveckla kvaliteten i den vård patienterna ges. I realiteten är det förstås en omöjlighet, inte minst eftersom tät samverkan mellan vårdgivare många gånger är en förutsättning för att patienter ska kunna få den vård som är nöd- vändig till hög kvalitet. Inte minst centrala delar som rikssjuk- vården, cancersjukvården, primärvården och äldreomsorgen m.m. vilar på en förutsättning att huvudmän och vårdgivare samarbetar.

Vår utgångspunkt är att det avgörande inte bör var i vilken organisation informationen har dokumenterats utan i vilken situa- tion den behövs. I detta fall bör därför övervägas om inte alla vårdgivare som är inblandade i vården av en patient har behov av att ta del av den information som genererats under vårdprocessen för att kunna säkra och utveckla sin egen och den totala insatsen.

13.3.4Exempel 4. Hantering av vårddokumentation i samband med byte av utförare

Varje vårdgivare eller myndigheter inom en vårdgivare är person- uppgiftsansvarig för de patientuppgifter som behandlas i verksam- heten. Vårdgivaren ansvarar för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt i verksamheten. I det ansvaret ligger också ett ansvar för gallring och arkivering. Det innebär att

291

En informationshantering med patienten i centrum

SOU 2014:23

varje vårdgivare måste föra sina egna journaler. En privat entre- prenör får därför inte föra journal i ett landstings eller en kommuns journaler.

I samband med att patientdatalagen trädde ikraft gjordes vissa lättnader i sekretessbestämmelserna. De innebär att sekretess inte hindrar att patientuppgifter lämnas mellan olika hälso- och sjuk- vårdsmyndigheter inom ett landsting eller mellan sådana myndig- heter inom en kommun. Dessa lättnader omfattar alltså inte privata utförare i landstinget eller kommunen. Reglerna innebär förenklat att det i praktiken krävs ett samtycke från patienten för ett utlämnande över vårdgivargränserna som omfattar alla vårdgivare inom ett sådant område. Däremot är det möjligt att utbyta patient- uppgifter mellan alla vårdgivare oavsett organisationsform och geografiskt område under förutsättning att reglerna om samman- hållen journalföring följs.

Konsekvensen av vårdgivarens ansvar för journalerna och reglerna om sekretess och tystnadsplikt är att det kan bli svårt att upprätthålla kontinuiteten i vården och i informationshanteringen i samband med att privata utförare tillkommer eller avvecklas. För patienterna finns det en uppenbar risk för att aktuell och viktig information inte längre finns tillgänglig där den behövs och när det behövs. Det kan exempelvis handla om att läkemedelsordinationer och andra viktiga uppgifter som i ena stunden finns tillgängliga i system för sammanhållen journalföring nästa stund inte längre finns där p.g.a. en verksamhetsövergång.

Med fler och fler aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det gäller inte bara under tiden de olika aktörerna erbjuder hälso- och sjukvård utan också när en ny verksamhet startas och i samband med att verksamheten ska övergå till en annan aktör.

När en privat vårdgivare (vårdgivare nr 1) som bedrivit t.ex. en vårdcentral enligt avtal med ett landsting förlorar sitt kontrakt i samband med en ny upphandling, ska vårdgivare nr 1 fortsätta att förvara och bevara journalerna i enlighet med de regler som gäller enligt patientdatalagen. Om verksamheten inte klarar av det kan företrädaren för verksamheten ansöka hos Inspektionen för vård och omsorg om att journalarkivet ska tas om hand. Inspektionen kan då besluta om att journalarkivet ska förvaras hos en arkiv- myndighet.

Vårdgivare nr 2 som vunnit upphandlingen och som ska fort- sätta att erbjuda vård till de patienter som söker vård på vård-

292

SOU 2014:23

En informationshantering med patienten i centrum

centralen behöver förstås patienternas journaler för att kunna upprätthålla säkerheten och kontinuiteten i vården. Reglerna om tystnadsplikt innebär dock att det i praktiken inte är tillåtet att överföra uppgifterna från vårdgivare nr 1 till vårdgivare nr 2 utan varje patients samtycke.

Problemet som uppstår när patientuppgifter ska utlämnas över en sekretessgräns uppkommer också i samband med att ett lands- ting eller en kommun ska överföra en tidigare offentligt driven verksamhet till en upphandlad privat aktör. Och följaktligen också i samband med att en tidigare privat driven verksamhet ska återgå till en offentlig vårdgivare.

En patient som går till samma vårdcentral och kanske till och med träffar samma yrkesutövare har nog svårt att förstå varför ett samtycke efterfrågas. Om överföringen av journaler (alternativt journalkopior) ska göras på ett korrekt sätt kan det dessutom över tid bli nödvändigt att efterfråga patientens samtycke flera gånger för samma verksamhet.

Det finns i landstingen och kommunerna flera exempel på problem vid tillämpningen av dessa regler. Det förekommer att huvudmannen i avtalet reglerar att den privata utföraren ska föra journal i huvudmannens journaler. Det förekommer också att den vårdgivare som förlorat upphandlingen av konkurrensskäl vägrar att samarbeta om överföring av information.

Socialstyrelsen har i handboken till SOSFS 2008:14 beskrivit ett praktiskt sätt att lösa frågan om överföring av t.ex. journalkopior från en vårdgivare som utfört hälso- och sjukvård på entreprenad till den vårdgivare som ska ta över ansvaret för patienterna:

Informera patienterna om att vården övergår till en ny vårdgivare och att man avser att föra över journalkopior till den nya vårdgivaren och samtidigt erbjuda en möjlighet för patienterna att motsätta sig detta. När sedan den nya vårdgivaren avser att använda sig av journal- uppgifter från den förra vårdgivaren kan ett aktivt samtycke inhämtas.

Denna lösning motsvarar den som gäller vid sammanhållen journalföring och innebär ett gott integritetsskydd.

Denna lösning är pragmatisk, men inte helt tillfredsställande. Dels för att den kan strida mot en helt korrekt tillämpning av reglerna om tystnadsplikt i enskilda verksamheter, dels för att även denna lösning medför praktiska svårigheter. Eftersom rätt informa- tion vid rätt tillfälle är grundläggande för en god och säker vård vore det önskvärt med ett säkrare sätt att trygga informations- överföringen i samband med verksamhetsövergångar.

293

En informationshantering med patienten i centrum

SOU 2014:23

13.4Våra överväganden och förslag

13.4.1Inledning

De exempel som redovisas i det föregående sätter ljuset på några av de hinder för en ändamålsenlig informationshantering som dagens regelverk ger upphov till. Det finns framför allt ett behov av att se över hur regelverket kan utformas så att informationshanteringen i den patientinriktade verksamheten i första hand kan utgå ifrån individens behov i stället från hur hälso- och sjukvården är organi- serad.

Vidare framkommer det tydligt att förutsättningarna för huvud- männen att på olika sätt möta läns- och kommuninvånarnas behov, arbeta preventivt och låta kvalitet slå igenom som det centrala styrmedlet skiljer sig väsentligt åt beroende på hur stor mångfalden av utförare är i det offentligfinansierade systemet. Även detta ger anledning att överväga förändringar i lagstiftningen som suddar ut de organisatoriska gränserna och gör det möjligt för kommuner och landsting att ta ansvar för all hälso- och sjukvård som är offentligt finansierad.

13.4.2Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde

Vårt förslag: En vårdgivare ska genom direktåtkomst kunna lämna ut uppgifter som dokumenterats för ändamålet vård- dokumentation till en annan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Sådan direkt- åtkomst är enbart tillåten mellan den hälso- och sjukvårdsverk- samhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde.

För att en vårdgivare ska få ta del av uppgifter som gjorts tillgängliga genom direktåtkomst ska uppgifterna röra en patient som vårdgivaren har eller har haft en patientrelation med och uppgifterna ska behövas för något av de i lagen tillåtna ända- målen för personuppgiftsbehandling. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.

I offentlighets- och sekretesslagen ska införas en sekretess- brytande bestämmelse som möjliggör denna direktåtkomst.

294

SOU 2014:23

En informationshantering med patienten i centrum

I offentlighets- och sekretesslagen ska även införas en bestäm- melse om absolut sekretess för uppgifter som är potentiellt tillgängliga för en vårdgivare.

Vår bedömning: Genom förslaget blir förutsättningarna för informationshantering i den individinriktade patientverksam- heten i praktiken lika för alla vårdgivare inom en huvudmans ansvarsområde, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Förslaget syftar till att öka patient- säkerheten och kvaliteten i vården samt att bidra till en jämlik vård över hela landet. Förslaget ska läsas i ljuset av de integritets- skyddande bestämmelser som i övrigt föreslås, bland annat i form av patienternas möjligheter att begränsa åtkomsten mellan vårdgivare samt krav på risk- och sårbarhetsanalys och överens- kommelse om hur skyddet för personuppgifterna ska tillgodo- ses av vårdgivare som utbyter uppgifter genom direktåtkomst.

Inledning

Det är tydligt att utvecklingen i hälso- och sjukvården har gått från en tid där landsting och kommuner såväl ansvarade för som själva utförde i princip all hälso- och sjukvård, till en tid när landsting och kommuner allt mer blivit beställare inom sitt ansvarsområde. Politiska initiativ har på olika sätt stimulerat en ökning av privata utförare, som beställaren använder sig av för att utföra offentlig- finansierad verksamhet. Detta har lett till att mångfalden av aktörer i vård- och omsorgssektorn blivit tusentals fler under de senaste tio åren. Variationerna i landet är fortfarande stora, men utvecklingen går av allt att döma mot fler aktörer, större mångfald och större möjligheter för individen att välja vårdgivare. Fortfarande är det emellertid landsting och kommuner som finansierar verksamheten och som på en övergripande nivå har ansvaret för att de offentligt och privat drivna verksamheterna bedrivs med hög kvalitet och sammantaget kan svara mot invånarnas behov av hälso- och sjukvård.

Samtidigt är det lika tydligt att dagens regelverk utgår ifrån ett organisatoriskt synsätt som inte är anpassat till den rådande utvecklingen. Varje gång ett landsting eller en kommun erbjuder en privat aktör att bedriva hälso- och sjukvård med offentlig finansi- ering uppkommer en sekretessgräns i förhållande till den privata

295

En informationshantering med patienten i centrum

SOU 2014:23

verksamheten. En gräns som inte finns om huvudmannen fortsätter att själv bedriva verksamheten. En gräns som försvinner igen om huvudmannen i ett senare skede återtar driften av verksamheten. En privatisering medför även att olika regler för informations- hantering ska tillämpas i förhållande till den privata verksamheten och den verksamhet som huvudmannen själv utför. Det finns ett antal negativa konsekvenser av detta, både för möjligheterna att ge god och säker vård i enskilda fall och för att utveckla och säkra kvaliteten i vården.

Under utredningens arbete har det i olika sammanhang påtalats att det blivit svårare och svårare att hålla ihop informations- hanteringen på ett lokalt och regionalt plan, såväl i den individ- inriktade verksamheten som kring olika länsövergripande kvalitets- och förbättringssträvanden. Inte sällan framförs att dagens regel- verk för informationshantering inte ligger i linje med de politiska initiativen kring ökad mångfald, större valfrihet för invånarna och tydligare fokus på folkhälsa och prevention. Kommuner och lands- ting med få privata vårdgivare i sitt offentligfinansierade system har i dag bättre rättsliga förutsättningar att skapa en ändamålsenlig informationshantering än vad landsting och kommuner med en större mångfald av aktörer har.

Enligt utredningens bedömning medför de gränser som lag- stiftningen ställer upp mellan vårdgivare negativa konsekvenser med potentiella risker för patienter, vilket på sikt även kan påverka förutsättningarna för jämlik vård. För patienter blir situationen i det närmaste slumpartad, eftersom de legala möjligheterna för informationshanteringen är beroende av patientens bostadsort och landstingstillhörighet. Det visar enligt vår bedömning på ett grund- läggande behov av en lagstiftning som gör det möjligt för alla vård- givare som bedriver verksamhet som finansieras av samma lands- ting eller kommun att hantera och utbyta information på lika villkor.

Även för patienter kan den rådande situationen vara svår att överblicka. Vid utredningens kontakter med patientorganisationer har exempelvis framkommit att man inte alltid har kännedom om vårdgivaren drivs av landstinget eller någon privat aktör. Än mindre synes patienter veta att tillgången till rätt information i en konkret vårdsituation bl.a. är beroende av vem som driver den offentlig- finansierade verksamheten. Sammantaget kan det således bli svårt för patienten att överblicka att hennes val av vårdgivare kan få olika konsekvenser avseende tillgången på vårddokumentation. En annan

296

SOU 2014:23

En informationshantering med patienten i centrum

fråga är naturligtvis om detta är något som patienter i allmänhet ska behöva ta i övervägande, eller om patienter generellt ska kunna förutsätta att de offentligfinansierade verksamheterna har samma legala möjligheter att hantera uppgifter på ett sätt som bidrar till god och säker vård.

Vi bedömer att patienter har ett grundläggande intresse av att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att ge god och säker vård. Oavsett om patienten har varit aktiv och gjort ett informerat val av vårdgivare eller om patienten gjort ett mer passivt val har alla patienter, enligt vår bedömning, rätt att förutsätta att rätt informa- tion finns på rätt plats i rätt tid oavsett vilken offentligfinansierad vårdgivare patienten möter och hur samarbetet med andra vård- givare ser ut.

Reflektioner kring gällande rätt och bakgrunden till regelverket

Den ökade förekomsten av privat drivna verksamheter inom ett landsting eller en kommun innebär att sekretessgränser har kommit att uppstå mellan verksamheter som tidigare inte haft gränser mellan sig. Offentlighets- och sekretesslagstiftningen medför exempelvis att sekretess råder mellan det landstingsdrivna sjuk- huset och en vårdcentral som landstinget finansierar, men som drivs av en privat aktör. Dessutom innebär regleringen i patient- datalagen att informationsutbytet i förhållande till en privat vård- givare måste ske enligt ett delvis annat regelverk än vad som gäller i förhållande till verksamheter som landstinget själv driver.

Enligt patientdatalagen får inte en vårdgivare lämna ut person- uppgifter genom direktåtkomst i annan utsträckning än vad som följer av lag eller förordning. Ett tillåtet sätt att utbyta patient- uppgifter är att göra det med hjälp av reglerna om sammanhållen journalföring. Dessa regler gör det möjligt för olika former av vård- givare i hela landet att under vissa förutsättningar utbyta uppgifter.

En annan tillåten form av direktåtkomst är den som i dag reglerar utbytet av patientuppgifter inom ett landsting eller en kommun. Med stöd av dessa bestämmelser och bestämmelserna om lättnad i sekretessen kan landstinget eller kommunen utbyta patientuppgifter mellan olika myndigheter i samma landsting eller i samma kommun. Denna direktåtkomst är en förutsättning för att anställda vid andra myndigheter inom t.ex. ett landsting i praktiken

297

En informationshantering med patienten i centrum

SOU 2014:23

ska kunna beredas tillgång till uppgifterna genom sådan intern elektronisk åtkomst som regleras i patientdatalagen.3

Regeringen anförde i förarbetena att denna direktåtkomst var nödvändig för att patientdatalagen inte skulle ställa upp nya hinder för informationsutbyte inom sådana landsting som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Regeringen problematiserade detta ytterligare och anförde att det skulle inne- bära tillämpningsproblem om uppgiftsutbytet mellan olika myndig- heter bara kunde ske med stöd av bestämmelserna om samman- hållen journalföring. Det skulle t.ex. innebära problem när ett landsting, som satsat på att införa ett elektroniskt journalsystem under en nämnd, av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder. Regeringen framför en farhåga att sådana villkor för informationshanteringen skulle låsa fast nämndstrukturen i landsting och kommuner på ett olyckligt sätt. Förslaget om direktåtkomst mellan myndigheter inom ett landsting eller inom en kommun motiverades därför med att det inte ska vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun väljer att bedriva hälso- och sjukvård genom en eller flera myndigheter.4

I praktiken har vi egentligen i dag hamnat precis i den situation som regeringen ville undvika. Skillnaden är att landsting och kom- muner inte har delat upp hälso- och sjukvårdsverksamheten i olika nämnder, som regeringen tog höjd för, utan i stället fördelat driften av den offentligfinansierade verksamheten på ett stort antal privata och offentliga vårdgivare. Det samarbete som antogs behöva ske mellan nämnder har nu i stället kommit att behöva ske mellan ett stort antal privata och offentliga vårdgivare inom samma landsting eller samma kommun. Mellan dessa uppställs dock legala gränser som påverkar förutsättningarna för samverkan och informations- utbyte.

Även om regeringen ville möjliggöra ett ändamålsenligt informationsutbyte mellan olika nämnder i samma landsting eller samma kommun medger dagens regler emellertid inte direkt- åtkomst mellan de myndighetsdrivna verksamheterna som drivs i förvaltningsform och de som drivs i bolagsform.5 Denna direkt- åtkomst är således endast tillåten mellan myndigheter. Det är med dagens regler exempelvis inte tillåtet med direktåtkomst mellan

3Prop. 2007/08:126 s. 76.

4Prop. 2007/08 :126 s. 171 ff.

5Prop. 2007/08:126 s. 172.

298

SOU 2014:23

En informationshantering med patienten i centrum

Karolinska Universitetssjukhuset och Danderyds sjukhus annat än med stöd av reglerna om sammanhållen journalföring. Anledningen är att Danderyds sjukhus drivs i bolagsform av Stockholms läns landsting medan Karolinska Universitetssjukhuset drivs direkt av landstinget. Däremot är sådan direktåtkomst tillåten mellan Karolinska Universitetssjukhuset och andra verksamheter som drivs av landstinget, exempelvis alla vårdcentralet m.m. som drivs av landstinget. Motsvarande exempel finns även i många andra landsting.

Det kan konstateras att driftsformerna i kommunerna och landstingen har fortsatt att utvecklas. Det är inte bara nämnd- organisationen som kan variera mellan olika kommuner och landsting utan också i vilken omfattning privata utförare anlitas. Totalt sett har antalet privata utförare ökat mycket de senaste åren. Det innebär att patienten ofta träffar flera olika vårdgivare när hon eller han genomgår en behandling för en sjukdom eller skada. Det kan också uttryckas som att det är flera olika vårdgivare med flera olika driftsformer som deltar i samma vårdprocess. För patienten framstår det ofta som om vården ges av samma vårdgivare, t.ex. kan de olika vårdgivarna till och med finnas i samma byggnad. Det finns därför skäl att underlätta informationsutbytet mellan de vård- givare som är verksamma i samma landsting eller samma kommun. Det är en grundläggande förutsättning för en informations- hantering som bidrar till bättre resultat för alla patienter, oavsett var patienterna bor och hur hälso- och sjukvården i det länet eller den kommunen är organiserad.

Förbättrade möjligheter till direkåtkomst för vårdgivare inom samma huvudmans ansvarsområde

Utredningen anser att inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen kunna följa patienten på ett enkelt och säkert sätt samt på ett sätt som är till nytta för patienten.

Vi anser vidare att reglerna i patientdatalagen inte ska styra vilka etableringsformer som är mest ändamålsenliga i en kommun eller i ett landsting. Det ska vara möjligt att organisera vården på olika sätt och ändå ha tillgång till rätt information i den individinriktade patientvården. Samma skäl som låg bakom slopandet av sekretessen mellan myndigheter inom ett och samma landsting samt tillåtandet

299

En informationshantering med patienten i centrum

SOU 2014:23

av direktåtkomst mellan dessa kan i dag åberopas i relation till de privata vårdgivarna.

Mot bakgrund av vad som redovisats i det föregående föreslår utredningen, något förenklat, att den nu gällande möjligheten till direktåtkomst mellan olika myndigheter hos en huvudman i praktiken utvidgas till att omfatta all offentligfinansierad hälso- och sjukvård som landstinget eller kommunen ansvarar för.

Utredningen föreslår att en vårdgivare får möjlighet att genom direktåtkomst lämna ut uppgifter som dokumenterats för ända- målet vårddokumentation till en annan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Det gör det exempelvis möjligt för de vårdgivare som är verksamma i bygg- naderna som utgör Danderyds sjukhus i Stockholm att ha direkt- åtkomst till varandras vårddokumentation när det behövs för vården av patienten eller när det behövs för att kvalitetssäkra verksamheten och patienternas processer. Förslaget gör det möjligt för exempelvis Capio Simrishamns sjukhus att utbyta patient- uppgifter med Skånes universitetssjukhus på i praktiken motsvar- ande sätt som är möjligt för det regiondrivna Helsingborgs lasarett att göra. För patienter på Aleris Specialistvård vid Bollnäs sjukhus kan information följa med i kontakterna med de landstingsdrivna verksamheterna på i stort samma sätt som om verksamheterna vore integrerade. I den kommunala hälso- och sjukvården kommer exempelvis två vårdgivare som står för hälso- och sjukvårds- insatserna på samma särskilda boende men vid olika tidpunkter på dygnet att få ännu bättre förutsättningar att hantera information om de boende. Det finns naturligtvis hur många exempel som helst, men här är endast platsen att lämna några för att beskriva vad som blir möjligt.

Detta förslag innebär att de organisatoriska gränserna mellan vårdgivare till viss del suddas ut genom att åtkomst till uppgifter om en patient får användas på i princip samma villkor inom en vårdgivares verksamhet som mellan de vårdgivare som finansieras av samma huvudman. Det avgörande blir inte längre var eller i vilken organisation uppgifterna är dokumenterade, utan i vilken situation uppgifterna behövs. Reglerna om informationshantering kan därmed bidra till jämlik vård oberoende av hur olika huvudmän har valt att organisera hälso- och sjukvården inom sitt ansvars- område. Lagstiftningen kommer därmed inte att göra att patienter som väljer en viss vårdgivare riskerar att få en vård med sämre säkerhet eller lägre kvalitet på grund av att uppgifter som doku-

300

SOU 2014:23

En informationshantering med patienten i centrum

menterats hos en annan vårdgivare i samma landsting eller kommun inte är åtkomlig för behörig personal när det behövs.

Den möjlighet till direktåtkomst som föreslås gäller emellertid endast för den hälso- och sjukvårdsverksamhet som vårdgivarna bedriver inom samma huvudmans ansvarsområde. Det innebär exempelvis att det endast är den hälso- och sjukvårdsverksamhet som t.ex. Capio bedriver med finansiering från Stockholms läns landsting som får utbyta uppgifter genom direktåtkomst med andra offentliga eller privata vårdgivare som också driver verksamhet som finansieras av det landstinget. Genom denna begränsning anpassas möjligheterna till direktåtkomst till de verksamheter som lands- tinget har huvudmannaansvaret för. Det handlar alltså om informa- tionsutbytet inom landstinget eller inom kommunen.

Vidare anser vi att det med hänsyn till behovet av skydd för den personliga integriteten inte får vara fråga om en okontrollerad spridning av uppgifter inom en huvudmans ansvarsområde. Det ska vara tillåtet att ta del av uppgifter när behov föreligger, men naturligtvis inte annars. I linje med de grundläggande kraven på hälso- och sjukvården att verksamheten ska bygga på respekt för patientens självbestämmande och integritet är det ytterst patienten som bestämmer vilken eller vilka vårdgivare som i enskilda situa- tioner får ta del av patientens uppgifter. Att uppgifter får lämnas ut genom direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär således ingen ökad rätt för vårdgivarna att faktiskt ta del av uppgifterna. Direktåtkomsten innebär i sig endast att uppgifterna får vara tekniskt åtkomliga så att de är möjliga att ta del av när det i enskilda situationer behövs.

För att en vårdgivare ska få använda denna möjlighet till direkt- åtkomst, dvs. ta del av uppgifter som gjorts tillgängliga av andra vårdgivare, ska uppgifterna röra en patient som vårdgivaren har eller har haft en patientrelation med. Det är således patienten som genom sitt val av vårdgivare och samtycke till vård avgör vilken vårdgivare som får ta del av uppgifter. Uppgifterna ska naturligtvis även behövas för något av de i lagen tillåtna ändamålen för person- uppgiftsbehandling. Det innebär att direktåtkomsten bara får användas för att ta del av uppgifter avseende enskilda som är eller har varit patienter i verksamheten och under förutsättning att upp- gifterna behövs för t.ex. vård och behandling eller kvalitetssäkring. Precis som i dag är det med detta förslag otillåtet för en vårdgivare att ta del av uppgifter om patienter som inte omfattas av vård- givarens verksamhet.

301

En informationshantering med patienten i centrum

SOU 2014:23

Utredningens förslag innebär visserligen en viss inskränkning i patientens integritetsskydd jämfört med vad som gäller i dag om dessa vårdgivare i stället tillämpar reglerna om sammanhållen journalföring. En skillnad är att uppgifter rörande en patient som motsätter sig medverkan i sammanhållen journalföring, dvs. lägger en spärr, inte ens är tekniskt åtkomliga för andra vårdgivare. Det är helt enkelt inte möjligt att ta del av uppgifterna eller att forcera spärren ens i nödsituationer. En spärr, enligt vårt förslag, mellan vårdgivare inom en huvudmans ansvarsområde innebär visserligen att den elektroniska åtkomsten begränsas, men uppgifterna kan vara tekniska åtkomliga och möjliga att ta del av exempelvis med patientens samtycke eller i en nödsituation. Se mer om patientens spärrmöjligheter i det följande.

Vidare innebär vårt förslag att vårdgivare, i jämförelse med vad som gäller vid sammanhållen journalföring, får möjlighet att behandla personuppgifter för fler ändamål, t.ex. kvalitetssäkring och verk- samhetsuppföljning. Samtidigt gäller detta dock bara de patienter som ingår i vårdgivarens verksamhet, dvs. de patienter som vård- givaren har eller har haft en patientrelation med. Förslaget innebär således inte att gränserna mellan vårdgivare helt slopas, utan att gränserna öppnas endast när det är påkallat med hänsyn till patientens väg genom hälso- och sjukvården.

Vårt förslag ska även ses i ljuset av de övriga förslag, bland annat om integritetsskyddande åtgärder, som utredningen lämnar. Det handlar bland annat om patienternas möjlighet att begränsa den elektroniska åtkomsten och direktåtkomsten (dvs. spärra) inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Vi redogör även i avsnitt 10 för ett förslag som innebär uttryckliga krav på vårdgivare som utbyter uppgifter genom direktåtkomst att göra en risk- och sårbarhetsanalys och komma överens med varandra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Bestämmelsen är tillämplig på den direktåtkomst som här föreslås och innebär att vårdgivare måste vidta åtgärder för att säkerställa att de övriga inblandade vårdgivarna har förutsättningar att leva upp till de integritetsskyddskrav som gäller vid behandling av så känsliga personuppgifter som det är fråga om i hälso- och sjukvården. Vi har i tidigare avsnitt även redogjort för vårt förslag om att tydliggöra vårdgivarens ansvar för informationshanteringen, bland annat genom att ställa krav på vårdgivaren att se till att informations- systemen utformas på ett sätt som tillgodoser patienternas behov

302

SOU 2014:23

En informationshantering med patienten i centrum

av integritetsskydd. För att stärka och vid behov kunna åstad- komma en mer effektiv tillsyn föreslår vi längre fram i detta betänkande även att Datainspektionen ska få möjligheter att förena beslut om förelägganden eller förbud med vite. Vidare redogörs nedan för utredningens förslag om absolut sekretess för uppgifter som är tillgängliga genom direktåtkomst mellan vårdgivare.

Utredningens förslag innebär inte att fler vårdgivare får utbyta uppgifter genom direktåtkomst än vad som är fallet i dag. Förslaget innebär i själva verket att de vårdgivare, inom ett landsting eller en kommun, som i dag utbyter uppgifter genom direktåtkomst enligt reglerna om sammanhållen journalföring nu kan göra det enligt utredningens förslag i stället.

Vidare har vårt förslag i dagsläget något olika relevans för olika kommuner och landsting, beroende på hur de organisatoriska förutsättningarna ser ut i de enskilda fallen. De kommuner och landsting som själva utför det mesta av hälso- och sjukvården har, som vi har redovisat, redan genom den befintliga lagstiftningen motsvarande möjligheter för personuppgiftsbehandlingen som vårt förslag syftar till att möjliggöra för alla kommuner och landsting. I landsting med få privata vårdgivare kan således sjukhusen, vård- centralerna, specialistmottagningarna m.m. redan i dag utbyta upp- gifter utan att tillämpa regelverket om sammanhållen journalföring.

Därutöver finns också skäl att förtydliga att vårt förslag inte innebär någon möjlighet till direktåtkomst i förhållande till verk- samheter som inte bedriver hälso- och sjukvård som huvudmannen ansvarar för. Det utvidgade området för direktåtkomst motsvarar således endast de verksamheter som landstinget eller kommunen i egenskap av huvudman har ansvar för. Vårt förslag ger därmed inte en kommun eller ett landsting en större möjlighet att utbyta upp- gifter än vad som redan i dag gäller om landstinget och kommunen av någon anledning skulle välja att utföra all hälso- och sjukvård helt i egen regi.

Sammantaget bedömer utredningen att den inskränkning i patienternas integritetsskydd som förslaget innebär uppvägs av den nytta i form av god och säker vård som förslaget syftar till att åstadkomma. Utredningen bedömer att förslaget är en nödvändig förutsättning för en jämlik och patientsäker hälso- och sjukvård, där patienter oavsett bostadsort kan känna trygghet i att lag- stiftaren inte satt upp särskilda hinder för informationshanteringen enbart på grund av hur patientens landsting eller kommun har valt att organisera den offentligfinansierade verksamheten.

303

En informationshantering med patienten i centrum

SOU 2014:23

Konsekvenser för tillämpningsområdet av reglerna om sammanhållen journalföring

Utredningens förslag medför konsekvenser för tillämpnings- området för sammanhållen journalföring. Vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för behöver således inte tillämpa reglerna om sammanhållen journalföring. Som en konsekvens av detta blir sammanhållen journalföring i stället det informationsutbyte som förekommer mellan vårdgivare som bedriver verksamhet som olika huvudmän ansvarar för eller som en privat vårdgivare utan offentlig finansiering utför. Se vidare om samman- hållen journalföring i avsnitt 14.

Sekretessbrytande bestämmelse

Bestämmelser i registerlagstiftning som tillåter direktåtkomst har emellertid ingen sekretessbrytande verkan i sig. Det innebär att ändringar i offentlighets- och sekretesslagen behövs för att upp- häva sekretessen och möjliggöra direktåtkomst mellan de offentliga och de privata vårdgivarna som bedriver hälso- och sjukvård som samma huvudman ansvarar för.

Något generellt upphävande av sekretessgränserna anser vi inte är påkallat, utan sekretessgenombrottet bör begränsas till att gälla under förutsättning att bestämmelserna om direktåtkomst följs. Utredningens förslag till sekretessgenombrott upphäver således inte sekretessgränserna mellan vårdgivare, privata eller offentliga, inom en huvudmans ansvarsområde. Det innebär att det i offentlig- hets- och sekretesslagens och tryckfrihetsförordningens mening fortfarande är fråga om ett utlämnande när uppgifter utbyts mellan vårdgivarna.

Utredningen föreslår således att hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL inte ska hindra att uppgifter lämnas ut till en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde i hälso- och sjukvårdsdatalagen. Vid annat utlämnande från vårdgivarna ska de vanliga sekretessbestämmelserna tillämpas. Sedan tidigare finns regler om undantag från sekretess mellan de olika myndigheter som bedriver hälso- och sjukvård inom huvudmannens område.

På grund av de bestämmelser som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare ska kunna lämna ut

304

SOU 2014:23

En informationshantering med patienten i centrum

uppgifter genom direktåtkomst. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhets- lagen (2010:659), förkortad PSL, och innebär därmed inget brott mot tystnadsplikten. Det är därmed samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.

Bestämmelse om absolut sekretess

Inom en huvudmans ansvarsområde kan vårdgivaren på grund av vårt förslag få potentiell tillgång till uppgifter som vårdgivaren inte får ta del av om inte förutsättningarna för att använda direkt- åtkomsten är uppfyllda. För att vårdgivaren inte ska behöva använda direktåtkomsten för att sekretesspröva uppgifter som denne inte har rätt att ta del av behövs en bestämmelse om absolut sekretess.

Vi föreslår därför att absolut sekretess ska gälla hos en myndig- het som bedriver hälso- och sjukvård eller annan medicinsk verk- samhet för uppgift om enskilds personliga förhållanden om upp- giften har gjorts tillgänglig för myndigheten av en annan sådan myndighet eller av en enskild vårdgivare enligt vad som föreskrivs om direktåtkomst, och om förutsättningar för att myndigheten ska få behandla uppgiften enligt 6 kap. hälso- och sjukvårdsdatalagen inte är uppfyllda.

Om förutsättningarna för vårdgivaren att få behandla upp- gifterna är uppfyllda eller om myndigheten tidigare har behandlat uppgiften med stöd av nämnda bestämmelser ska vanlig hälso- och sjukvårdssekretess tillämpas ifall någon begär ut handlingen.

13.4.3Patientens rätt att spärra information inom och mellan vårdgivare inom huvudmannens ansvarsområde

Vårt förslag: Patienten ska ha rätt att begränsa elektronisk åtkomst eller direktåtkomst till hans eller hennes vård- dokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Patienten får spärra åtkomst för de vårdenheter eller vårdgivare som på grund av patientens aktuella behov av vård inte kan antas behöva ha tillgång till dokumentationen. En uppgift om att det finns spärrade uppgifter och vilken vårdgivare som spärrat dem får

305

En informationshantering med patienten i centrum

SOU 2014:23

vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens ansvarsområde.

Vårdnadshavare till ett barn får inte begränsa elektronisk åtkomst eller direktåtkomst till uppgifter om barnet.

En patients begäran om spärr ska tillgodoses skyndsamt och föregås av att patienten får information om spärrens omfattning och dess konsekvenser. En spärr får inte läggas eller tas bort utan att patientens identitet har säkerställts. En patient kan när som helst begära att en spärr ska tas bort.

En spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården om patienten samtycker till det, eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgäng- ligen behöver.

Även om patienten har spärrat uppgifterna får den vårdgivare som har dokumenterat uppgifterna behandla dem för ändamål som anges i 2 kap. 5 § första stycket 3–6 och andra stycket samt 2 kap. 6 §.

Inledning

Hälso- och sjukvården ska bedrivas så att den uppfyller kraven på en god vård. Det innebär enligt hälso- och sjukvårdslagen till exempel att den ska bygga på respekt för patientens självbestäm- mande och integritet. Samma princip uttrycks i patientdatalagens syftesbestämmelse; personuppgiftsbehandlingen ska utformas så att patientens integritet respekteras. Bestämmelserna som gör det möjligt för patienten att motsätta sig (spärra) viss behandling av personuppgifter är ett utflöde av dessa principer.

Om en uppgift spärras enligt det regelverk som gäller i dag får den inte göras elektroniskt åtkomlig för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vård- givare – så kallade inre spärrar. Det finns även regler som gör det möjligt för en patient att motsätta sig att uppgifter görs tillgängliga genom sammanhållen journalföring.

Vi har i det föregående redogjort för vårt förslag om förbättrade möjligheter till direktåtkomst mellan offentlig finansierade vård- givare inom ett landsting eller inom en kommun. Syftet med dessa förslag är att patientens journaldokumentation ska finnas till- gänglig inom hela vårdprocessen – oavsett hur den kommun eller

306

SOU 2014:23

En informationshantering med patienten i centrum

det landsting som patienten befinner sig i har organiserat hälso- och sjukvården, dvs. även om vårdprocessen sträcker sig över flera vårdgivargränser. Detta för att vården ska kunna erbjudas på ett jämlikt sätt över landet och under så säkra former och så hög kvalitet som möjligt.

Patientens rätt att begränsa elektronisk åtkomst (spärr)

Samtidigt innebär vårt förslag att vårdgivare som i dag kan utbyta uppgifter genom direktåtkomst genom att tillämpa reglerna om sammanhållen journalföring, inte ska behöva tillämpa det regel- verket. För att patienterna ska känna tillit till vårdgivarnas informationshantering och för att integritetsskyddet ska värnas bör patienterna även med vårt förslag ha en bestämmanderätt över vårdgivarnas elektroniska tillgång till uppgifter. Det ligger även i linje med de grundläggande principerna i hälso- och sjukvårdslagen (1982:763), förkortad HSL, om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet.

Patientens möjlighet att motsätta sig åtkomst till uppgifter inom en vårdgivares verksamhet behöver därmed anpassas till vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde. Patienten ska ha en rätt att begränsa den elek- troniska tillgången till uppgifter inom och mellan de vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. Den rätt som en patient i dag har att begränsa den elektroniska tillgången exempelvis mellan en landstingsdriven vårdcentral och ett landstingsdrivet sjukhus ska patienten även ha mellan en privat driven vårdcentral (med offentlig finansiering) och det landstings- drivna sjukhuset och vice versa.

Mot den bakgrunden föreslår vi en rätt för patienten att begränsa den elektroniska åtkomsten eller direktåtkomsten till hans eller hennes vårddokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvård inom en huvudmans ansvars- område. I praktiken innebär förslaget att patienten exempelvis kan spärra uppgifter som dokumenterats av en vårdenhet hos vård- givare 1 mot andra vårdenheter hos samma vårdgivare samt mot vårdenheter hos andra vårdgivare som finansieras av samma huvud- man. Patienten kan dock inte spärra uppgifter mot de vårdenheter som deltar eller kan antas komma att delta i den pågående vården av patienten – oavsett om de vårdenheterna finns hos samma vård-

307

En informationshantering med patienten i centrum

SOU 2014:23

givare eller hos andra vårdgivare som finansieras av samma huvud- man. Med en sådan lösning säkerställs att de som har ett behov av uppgifter för att ge patienten en god och säker vård har tillgång till dem. Samtidigt kan en spärr läggas mot vårdenheter och vårdgivare som inte har ett sådant behov och inte deltar i vården av patienten.

En patient kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts tillgängliga utanför vårdenheten. Uppgifterna får då inte längre göras tillgängliga för andra vårdenheter än de som behöver har tillgång till uppgifterna i samband med patientens aktuella behov av vård. Patienten kan också när som helst begära att spärren tas bort. Hur det ska närmare ska göras kan inte närmare anges, men patienten bör vända sig till den vårdgivare som har dokumenterat uppgiften och begära att spärren tas bort. Beroende på hur samarbetet mellan vårdgivare ser ut kan det även tänkas att vårdgivarna utformar en gemensam administration för att häva spärrar på begäran av patienter. För den patient som har spärrat information hos flera vårdenheter eller vårdgivare kan en sådan organisatorisk lösning underlätta patientens möjligheter att rent praktiskt tillvarata sin möjlighet att begära att spärrar tas bort.

Med en spärr i detta sammanhang avses samma sak som i dag är fallet för spärrar inom en vårdgivares verksamhet. Det innebär att det i praktiken är den elektroniska tillgången till uppgifter som spärras. Till skillnad mot när patienter motsätter sig medverkan i sammanhållen journalföring, vilket innebär att uppgifterna inte på något sätt får vara tekniskt åtkomliga för andra vårdgivare, innebär denna spärr att uppgifterna kan nås om det exempelvis uppstår en nödsituation eller att patienten själv samtycker till att spärren hävs. En vårdgivare får dock inte lagligen ta del av en spärrad uppgift hos en annan vårdgivare under några andra förutsättningar.

För att ytterligare tillgodose patientens behov av integritets- skydd har utredningen i föregående avsnitt även lämnat förslag till bestämmelse om absolut sekretess i offentlighets- och sekretess- lagen, vilken förhindrar en offentlig vårdgivare att ta del av upp- gifter hos andra vårdgivare om uppgiften inte rör en patient som vårdgivaren har eller har haft en patientrelation med den enskilde patienten. Vidare ska utredningens förslag om direktåtkomst mellan vårdgivare även läsas i ljuset av de uttryckliga krav utred- ningen föreslår på vårdgivare att göra risk- och sårbarhetsanalyser och komma överens om hur informationssäkerheten och skyddet

308

SOU 2014:23

En informationshantering med patienten i centrum

för personuppgifterna ska tillgodoses vid utbyte genom direkt- åtkomst.

Begreppet vårdenhet definieras inte i patientdatalagen och inte heller föreslår utredningen att det ska tas in en definition i hälso- och sjukvårdsdatalagen. Det är därmed en organisatorisk enhet som vårdgivaren själv har att fastställa utifrån de förutsättningar som gäller i verksamheten. Hur stora olika vårdenheter är och vad som karaktäriserar dem kan skilja sig åt mellan olika vårdgivare. En vanligt förekommande definition i dag är att vårdenhet avser ”den organisatoriska enhet som leds av en verksamhetschef eller mot- svarande”. Det innebär exempelvis att en vårdcentral eller en mindre privat vårdgivare ofta utgörs av en enda vårdenhet medan ett sjukhus eller en privat vårdgivare som har verksamhet i flera olika delar av landet har många olika vårdenheter. Inom den kommunala hälso- och sjukvården finns ofta flertalet vårdenheter, bland annat beroende på kommunens storlek och de olika verk- samheternas karaktär.

De organisatoriska gränserna och indelningen i vårdenheter bör självklart dras på ett praktiskt och rimligt sätt som gör att verk- samheten kan bedrivas på ett ändamålsenligt sätt och inte tyngas med onödig administration. Även inom en vårdenhet gäller naturligtvis att endast den yrkesutövare som behöver uppgifterna för att kunna utföra sitt arbete inom hälso- och sjukvården, får ta del av uppgifterna.

Begreppet vårdprocess bör ersättas

I nuvarande bestämmelser i 4 kap. 4 § PDL används ordet vård- process för att förhindra att patienten spärrar information mellan vårdenheter inom en vårdprocess. Patienten får därmed inte spärra uppgifter mellan vårdenheter som ingår i samma vårdprocess. I förarbetena uttalas att avgränsningen av en vårdprocess är funk- tionell och inte organisatorisk såsom beträffande begreppet vård- enhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som har ett funk- tionellt samband.6 Ändamålet bakom reglerna är således att se till att de som har behov av patientens uppgifter kan ha tillgång till dem.

6 Prop. 2007/08:126 s. 241.

309

En informationshantering med patienten i centrum

SOU 2014:23

Vi har emellertid i flera sammanhang upptäckt att begreppet vårdprocess inte är lämpligt att använda i en lagstiftning om informationshantering. Det kan exempelvis inte uteslutas att en tolkning enligt den nuvarande paragrafens ordalydelse kan leda till att uppgifter kan behöva spärras mot de enheter som trots allt deltar i patientens vård och av det skälet har behov av uppgifterna.

Problemet är, enligt vår bedömning, mångfacetterat. En utmaning ligger i att över huvud taget kunna fastställa alla vård- processer i verksamheten. Inte minst för de patienter som befinner sig i en diagnosticerande fas torde det vara svårt, eller ibland till och med omöjligt, att i förväg avgränsa och fastställa vårdprocessen. Det har även konstaterats att en multisjuk äldre persons väg genom vården inte följer samma enkla linje med en början och ett slut som en patient med endast en diagnos. En annan orsak hänger ihop med att begreppet vårdprocess i hälso- och sjukvården normalt sett definieras primärt med hänsyn till verksamhetens process. Det innebär exempelvis att en patient kan befinna sig i ett flertal olika vårdprocesser samtidigt. Multisjuka äldre har t.ex. flera diagnoser, symptom och funktionsnedsättningar. Personen kan befinna sig i flera vårdprocesser samtidigt och en vårdprocess kan förhindra eller stanna upp en eller fler andra pågående vårdprocesser.7

Motsvarade exempel finns även bland personer med kroniska sjukdomar, vilket förekommer hos nästan halva befolkningen. Myndigheten för vårdanalys har i en rapport nyligen konstaterat att det förekommer kronisk sjukdom hos 44 procent av befolkningen och att var femte person under 20 år har fått minst en kronisk diagnos de senaste tre åren.8 I rapporten anges även att en fjärdedel av befolkningen i de landsting som studerats har två eller fler kroniska diagnoser och att kontakterna med primärvård, specialist- vård och kommunal hälso- och sjukvård är många.

Även den ökade specialiseringen av hälso- och sjukvården kan ha påverkan på vad som anses ingå i en vårdprocess och vad som anses ingå i en annan. Inte sällan handlar det dock om att patienten har ett eller flera sammanhängande hälsoproblem som tillsammans hanteras i ett antal olika vårdprocesser. För patienter som, t.ex. inom ramen för samma hälsoärende, befinner sig i flera vård- processer kan en tillämpning av nuvarande bestämmelse således

7Socialstyrelsen, Väntetider och patientens väg genom vården – exemplet multisjuka äldre (2013).

8Myndigheten för vårdanalys, VIP i vården? – Om utmaningar i vården av personer med kronisk sjukdom (2014:2).

310

SOU 2014:23

En informationshantering med patienten i centrum

leda till att uppgifter kan spärras mellan dessa sammanhängande vårdprocesser.

Eftersom det, enligt vår bedömning, inte har varit syftet med bestämmelserna anser vi att begreppet vårdprocess bör utgå och ersättas med en beskrivning av vad det egentligen handlar om. Därför har vi tagit bort ordet vårdprocess och i stället föreslagit att en spärr inte ska kunna läggas mot de vårdenheter som kan antas behöva ha tillgång till uppgifterna på grund av patientens aktuella behov av vård. Vi bedömer att denna bestämmelse kan vara lättare att tillämpa och uppmana till ett mer aktivt förhållningssätt i för- hållande till de patienter som uttrycker en vilja att spärra. Sett mot bakgrund av ändamålet bakom den nuvarande bestämmelsen med- för vårt förslag i just denna del sannolikt ingenting nytt i sak. Vi bedömer dock att det blir en mer pedagogisk utformning och en tydligare signal om att spärrar inte kan läggas mot de enheter som har ett behov av uppgifter för att ge patienten en god och säker vård, men att de däremot kan läggas mot vårdenheter och vård- givare som inte har ett sådant behov.

Vi bedömer även att förslaget om att ersätta ordet vårdprocess ger bättre uttryck för behovet av skydd för den personliga integriteten samt att det blir tydligare för patienten vilka spärrar som kan tillhandahållas och vilka som inte kan göra det. Förslaget gör även att vårdgivare behöver ta tydligare ställning till frågan i sak, dvs. till vilka vårdenheter som på grund av patientens behov av vård inte kan antas behöva ha tillgång till de aktuella uppgifterna.

I stället för att använda ett begrepp som vårdprocess, som kan innebära en rad olika saker och i sig inte ger patienten någon information om vare sig vilka spärrar som kan tillhandahållas eller vilka skäl som ligger bakom bestämmelsen, tydliggörs genom förslaget att det handlar om spärrar mot sådana verksamheter som inte har något med patientens vård att göra. Vi tror att det blir lättare för en patient att förstå.

Därutöver medför vårt förslag att det blir möjligt för patienten och tillsynsmyndigheten att göra en bedömning av om de spärrar som vårdgivare erbjuder patienter är ändamålsenliga i förhållande till det som uttrycks i paragrafen. Hur en vårdgivare i dag definierar en vårdprocess är upp till vårdgivaren att avgöra och torde inte vara helt enkelt att bedöma ur ett integritetsskyddsperspektiv. Möjlig- heterna att göra en sådan bedömning torde dock öka eftersom det med vårt förslag handlar om att analysera vårdgivares ställnings-

311

En informationshantering med patienten i centrum

SOU 2014:23

taganden till vilka enheter som, med hänsyn till patientens hälso- tillstånd, inte kan antas ha behov av uppgifter om patienten.

Uppgift om att det finns spärrade uppgifter får vara tillgänglig

Av nuvarande bestämmelser i 4 kap. 4 § PDL följer att uppgift om att det finns spärrade uppgifter om en patient, får vara tillgänglig för andra vårdenheter och vårdprocesser. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation.9

Utredningen föreslår att bestämmelsen förs över till hälso- och sjukvårdsdatalagen med en anpassning till utredningens förslag i övrigt. Det ska således uttryckas att en uppgift om att det finns spärrade uppgifter och uppgift om vilken vårdgivare som har spärrat dem får vara tillgänglig för andra vårdenheter eller vårdgivare inom huvudmannens anvarsområde.

Förutom att bestämmelsen, som anförs ovan, kan ge ett under- lag för dialog mellan patienten och hälso- och sjukvårdspersonalen möjliggör den att spärrar kan hävas utan att uppgifter som inte är relevanta i sammanhanget blir exponerade. Hälso- och sjukvårds- personalen kan då med patienten samtycke och med ledning av vilken vårdgivare som har spärrat uppgifter se till att endast ta del av dessa uppgifter och inga andra som patienten eventuellt kan ha spärrat. Se vidare i det följande om hur spärrar hävs.

Uppgifter om ordinerade läkemedel och varningsinformation undantas från spärrmöjligheter

Enligt utredningens förslag får patienten, med två undantag, spärra alla uppgifter som har dokumenterats för ändamålet vård- dokumentation. Undantagen består av uppgifter om ordinerade läkemedel och s.k. varningsinformation. Utredningen redogör i avsnitt 15 och 16 för våra överväganden och förslag rörande undan- tag från spärrmöjligheter för uppgifter om ordinerade läkemedel och uppgifter om varningsinformation som kan medföra allvarlig risk för patientens liv eller hälsa.

9 Prop. 2007/08:126 s. 242.

312

SOU 2014:23

En informationshantering med patienten i centrum

Sammantaget innebär utredningens förslag i de delarna att patienten inte får begränsa den elektroniska tillgången till uppgifter om ordinerade läkemedel och varningsinformation inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.

Information till patienten och säkerställande av identiteten m.m.

Om en patient begär att få spärra uppgifter mot andra enheter inom huvudmannens ansvarsområde bör vårdgivaren ha ett ansvar för att informera patienten om vad en sådan spärr kommer att omfatta och vilka konsekvenser spärren kan få för patienten. Med hänsyn till patientens behov av information för att kunna fatta beslut i frågor om vårdenheters och vårdgivares tillgång till upp- gifter föreslår vi att kravet på information uttryckligen ska anges i hälso- och sjukvårdsdatalagen. Att patienten får information om saken gör också att patienten får en ökad kännedom om effekterna av en spärr. Den som begär en spärr bör exempelvis få information om vilka vårdenheter eller vårdgivare som en spärr inte gäller mot, om hur spärren kan hävas och om vårdgivarens möjlighet att behandla uppgifterna för andra ändamål än patientens vård och behandling.

Vidare ska anges att vårdgivare ska se till att skyndsamt tillgodose patientens önskemål om spärr. Det innebär att vård- givaren, efter att ha informerat patienten och säkerställt patientens identitet enligt nedan, ska se till att tillgodose patientens begäran. Vårdgivare behöver därför ha såväl organisatoriska som tekniska förutsättningar för att administrera och effektuera en patients begäran om spärr.

Vårdgivaren har förstås också ett ansvar för att kontrollera att patienten är den han eller hon utger sig för att vara och att önske- målen om spärr avser de egna uppgifterna. I syfte att reducera risker för att det blir fel, t.ex. att fel patients uppgifter spärras eller att den som utger sig för att vara patienten helt enkelt är någon annan, föreslår vi att det införs ett uttryckligt förbud för vård- givaren att lägga eller ta bort en spärr utan att patientens identitet har säkerställts.

När det gäller tillvägagångssättet för att säkerställa en patients identitet så anser vi inte att det i lagen ska uppställas några särskilda krav. I hälso- och sjukvården finns redan i dag i ett flertal samman-

313

En informationshantering med patienten i centrum

SOU 2014:23

hang krav på att säkerställa identiteten, exempelvis genom legiti- mering fysiskt eller elektroniskt genom e-legitimation. Det före- kommer naturligtvis även att personal i ett fysiskt möte med patienter redan har en sådan kännedom om patientens identitet att en närmare identitetskontroll inte är befogad. Vi menar att de sätt på vilka hälso- och sjukvården i dag säkerställer patienternas identiteter även kan användas i det här aktuella sammanhanget om att lägga eller häva spärrar.

Som exempel på tillvägagångsätt som kan vara mindre lämpliga kan e-post och telefon nämnas. Om en sådan kommunikation inte görs på ett sådant sätt att patientens identitet är säkerställd är det i regel svårt, för att inte säga omöjligt, att egentligen veta vem som döljer sig bakom en e-postadress eller en telefonröst. Av den anled- ningen anser vi att sådana metoder bör användas med försiktighet.

I sammanhanget kan noteras att vi längre fram i betänkandet lägger motsvarande förslag vid sådana spärrar som kan aktualiseras för informationsutbyte mellan vårdgivare i system för samman- hållen journalföring.

Förbud för vårdnadshavare att spärra uppgifter om barn

Enligt nuvarande regelverk får vårdnadshavare till ett barn inte spärra uppgifter om barnet. Bestämmelsen tillkom på regeringens initiativ efter att flera organisationer i samband med remiss- yttranden på patientdatautredningens betänkande pekat på behovet av ett förbud i denna del.10

Utredningen har funnit övervägande skäl som talar för att förbudet att spärra barns uppgifter bör föras över till hälso- och sjukvårdsdatalagen och där anpassas till de nya möjligheterna med direktåtkomst inom en huvudmans ansvarsområde. Även om det rent faktiskt innebär ett väsentligt sämre integritetsskydd för barn i förhållande till vad som är fallet för andra patientgrupper, gör vi liksom regeringen bedömningen att skyddet för barnets liv och hälsa i detta fall väger tyngre.

Med barn avses den som är under 18 år. Avsikten med bestämmelsen är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till social- nämnden för att barnet ska få nödvändigt skydd, 14 kap. 1 § social- tjänstlagen (2001:453). Detta skäl har ansetts väga tyngre än den

10 Prop. 2007/08:126 s. 153.

314

SOU 2014:23

En informationshantering med patienten i centrum

integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter.

I takt med barnets stigande ålder och utveckling får barnet självt spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslås inte några särskilda bestämmelser. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jämför 6 kap. 11 § föräldrabalken.

Spärrade uppgifter får användas för andra ändamål än patientens vård

Enligt de nuvarande bestämmelserna i patientdatalagen gäller en spärr inom en vårdgivares verksamhet endast om uppgifterna ska användas för ändamålet vård och behandling av patienten. Det innebär att en patient exempelvis inte kan hindra vårdgivaren från att använda uppgifter om honom eller henne vid t.ex. uppföljning och kvalitetssäkring av den egna verksamheten.11 Uppgifterna är därmed tillgängliga om vårdgivaren behöver dem exempelvis för administration, planering, kvalitetssäkring, statistikframställning m.m.

Utredningen gör bedömningen att denna princip ska överföras från patientdatalagen. Även om patienten har spärrat uppgifter får därmed den vårdgivare som har dokumenterat uppgifterna behandla dem för sådana ändamål som inte rör patientens vård och behandling.

Hur spärrade uppgifter får göras åtkomliga igen

Av bestämmelserna i 4 kap. 5 § PDL följer att en spärr får hävas av en behörig befattningshavare hos vårdgivaren om patienten samtycker till det eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Av paragrafens andra stycke följer dess- utom att uppgift om vilka vårdenheter eller vårdprocesser som spärrat uppgifterna först ska göras tillgängliga och därefter får bara

11 Prop. 2007/08:126 s. 151.

315

En informationshantering med patienten i centrum SOU 2014:23

sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

Vi föreslår att bestämmelsen i huvudsak ska föras över till hälso- och sjukvårdsdatalagen. I lagen ska anges att en spärr får tas bort av den som behöver uppgifterna för sitt arbete i hälso- och sjukvården om patienten samtycker till det eller patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Utredningens förslag innebär bland annat en språklig förändring jämfört med nuvarande bestämmelse i patientdatalagen. Vi anser att begreppet behörig befattningshavare bör ersättas med den som behöver uppgifterna för sitt arbete i hälso- och sjukvården. I för- arbetena lämnas ingen ytterligare vägledning kring vad som avses med behörig befattningshavare, utan det bestäms av vårdgivarna själva.12 Förutom att behörig befattningshavare ger ett omodernt och opersonligt intryck, ger utredningens förslag en tydligare bild av vad det egentligen handlar om. Både för patienter och för personal tydliggörs därmed att det är den som behöver uppgifterna för sitt arbete inom hälso- och sjukvården som med patientens samtycke eller i en sådan nödsituation som beskrivs, får ta del av uppgifter som är spärrade.

Den nuvarande bestämmelsens andra stycke om tågordningen för åtkomst i de situationer där patienten inte kan samtycka behöver, enligt vår bedömning, inte föras över till hälso- och sjuk- vårdsdatalagen. Vi har i det föregående redogjort för att uppgift om att det finns spärrade uppgifter samt uppgift om vilken vårdgivare som har spärrat uppgifterna får vara tillgängliga. Det är således i första hand med hjälp av dessa uppgifter som hälso- och sjukvårds- personalen, precis som i dag, har att avgöra vilka uppgifter som kan antas ha betydelse för den vård som patienten oundgängligen behöver. Någon särskild bestämmelse härom bedöms därför inte behövas i sammanhanget.

12 Prop. 2007/08:126 s. 243.

316

SOU 2014:23

En informationshantering med patienten i centrum

13.4.4Ökade möjligheter för kommuner och landsting att fullgöra sitt ansvar för hälso- och sjukvården

Vårt förslag: En tystnadspliktsbrytande uppgiftsskyldighet ska införas i patientsäkerhetslagen.

Uppgiftsskyldigheten ska gälla privata vårdgivare i för- hållande till det landsting eller den kommun (huvudman) som enligt hälso- och sjukvårdslagen har ansvar för att erbjuda den aktuella hälso- och sjukvården. En sådan privat vårdgivare ska lämna ut de personuppgifter som huvudmannen behöver för ändamål som anges i 2 kap. 5 § hälso- och sjukvårdsdatalagen.

Vår bedömning: Förslaget syftar till att förbättra kommuners och landstings möjligheter att planera, följa upp och kvalitets- säkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvar för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vårdgivare med offentlig finansiering.

Inledning

Vi har genomgående uppmärksammat att en större och större del av den offentligfinansierade hälso- och sjukvården utförs av privata vårdgivare på uppdrag av kommuner och landsting. Det har bland annat medfört en osäkerhet vad gäller kommuners och landstings möjligheter att inhämta uppgifter från de privata vårdgivarna för att exempelvis kvalitetssäkra den hälso- och sjukvård som kommunen eller landstinget har huvudmannaansvar för.

Enligt utredningens bedömning finns i dag en tystnadsplikts- gräns mellan en privat vårdgivare och den myndighet inom hälso- och sjukvården som finansierar och har det övergripande huvud- mannaansvaret för verksamheten. Det kan dock inte uteslutas att ett utlämnande i enskilda fall ändå, exempelvis från en privat vård- givare till det finansierande landstinget, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i patient- säkerhetslagen.

Frågan om kommuners och landstings skyldigheter att följa upp verksamhet som drivs av annan och vilka möjligheter som finns att

317

En informationshantering med patienten i centrum

SOU 2014:23

ta del av personuppgifter för detta ändamål är komplex. Utred- ningen om en ny kommunallag berörde i delbetänkandet Privata utförare – kontroll och insyn (SOU 2013:53) frågorna på en mer övergripande nivå. Däremot finns fortfarande anledning att ytter- ligare analysera och överväga behovet av en ökad tydlighet rörande hälso- och sjukvårdshuvudmännens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata vårdgivare. Dessa frågor sätter även ljuset på innebörden av landstingets och kom- munens roll som huvudman.

Huvudmannaansvaret

Genom bestämmelserna i hälso- och sjukvårdslagen tydliggörs kommuners och landstings ansvar för hälso- och sjukvården. Enligt 3 § ska varje landsting erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget och i övrigt verka för en god hälsa hos hela befolkningen. Ett landsting får sluta avtal med någon annan om att utföra de uppgifter som landstinget ansvarar för enligt hälso- och sjukvårdslagen. I 18 § preciseras sedan kom- munens motsvarande ansvar för hälso- och sjukvården i särskilda boendeformer och viss dagverksamhet. Därutöver kan landstinget överlåta skyldigheten att erbjuda hemsjukvård till kommunen. På motsvarande sätt som gäller för landsting kan även kommunen sluta avtal med någon annan om att utföra de uppgifter som kommunen ansvarar för enligt hälso- och sjukvårdslagen.

Utredningen om en ny kommunallag för framtiden har konstaterat att även om en huvudman; ett landsting eller kommun, sluter avtal med någon annan om att utföra vissa uppgifter som landstinget eller kommunen ansvarar för så kvarstår huvudmannens övergripande ansvar för verksamheten.13 För att göra detta ansvar tydligare föreslog utredningen att det på olika ställen i lagstift- ningen uttryckligen ska tydliggöras att huvudmännen behåller huvudmannaskapet även efter ett överlämnande av vissa uppgifter. Utredningen föreslog även en uttrycklig skyldighet för kommuner och landsting att följa uppverksamhet som utförs av privata utförare.14

13Delbetänkande av Utredningen om en kommunallag för framtiden, Privata utförare kontroll och insyn, SOU 2013:53, s. 103.

14SOU 2013:53 s. 124 ff.

318

SOU 2014:23

En informationshantering med patienten i centrum

Oavsett hur en verksamhet utformas har kommunen och lands- tinget i egenskap av huvudmän alltjämt ett ansvar för att den hälso- och sjukvård som erbjuds håller god kvalitet. Vidare har kommuner och landsting alltid ett ansvar för att planera hälso- och sjukvården inom sitt ansvarsområde. Landstingets ansvar omfattar även det förebyggande arbetet för en god hälsa åt hela befolkningen. För att kommuner och landsting ska ha reella möjligheter att fullgöra sitt ansvar för hälso- och sjukvården är det ibland nödvändigt att kunna ta del av uppgifter från privata vårdgivare för att exempelvis planera och vidta särskilda insatser eller utvärdera kvaliteten i hälso- och sjukvården.

En uppgiftsskyldighet för privata vårdgivare bör införas

Offentlighets- och sekretesslagen gäller inte för privata vårdgivare. I stället finns bestämmelser om tystnadsplikt i patientsäkerhets- lagen. Enligt dessa bestämmelser får den som tillhör eller har till- hört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Det saknas direkta bestämmelser som anger vad ett obehörigt röjande är. En viss ledning kan dock hämtas från den menprövning som ska göras enligt offentlighets- och sekretesslagen.15 Även andra bestäm- melser i offentlighets- och sekretesslagen kan vara till ledning, till exempel de som reglerar när sekretessen kan brytas.

Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i offentlighet- och sekretesslagens regler.16 Grunden är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon får insatser av en offentlig eller enskild verksamhet.

Under utredningens arbete har det framkommit att det finns en osäkerhet från företrädare för privata vårdgivare om när man kan lämna ut information och vilken information man kan lämna ut. Även från huvudmännens sida finns det en osäkerhet om vilken information man kan begära in. Utredningen delar den osäkerhet som verksamheterna ger uttryck för. Enligt vår uppfattning är det i

15Prop. 1980/81:28, prop. 1981/82:186, prop. 2007/08:126 och prop. 2005/06:161.

16Prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.

319

En informationshantering med patienten i centrum

SOU 2014:23

dag inte tydligt att enskilda verksamheter kan lämna ut uppgifter till den huvudman som ansvarar för verksamheten utan hinder av tystnadsplikten. Det finns därför ett behov av att tydliggöra rätts- läget och skapa reella förutsättningar för huvudmannen att följa upp och ta sitt ansvar för att alla medborgare får tillgång till en hälso- och sjukvård av god kvalitet.

Kommuner och landsting har i dag möjligheter att ta del av upp- gifter för att planera, följa upp eller kvalitetssäkra sådan hälso- och sjukvård som utförs i verksamheter som drivs av kommunen eller landstinget själv. Samma möjligheter bör rimligen finnas även för sådan hälso- och sjukvård som landstinget eller kommunen ansvarar för men som utförs av en privat vårdgivare etablerad t.ex. enligt lagen (2008:962) om valfrihetssystem, lagen (2007:1091) om offentlig upphandling eller lagen (1993:1651) om läkarvårdsersätt- ning. I annat fall riskerar förutsättningarna för en jämlik hälso- och sjukvård av god kvalitet att bli beroende av organisatoriska faktorer.

I sammanhanget ska nämnas att det just när det gäller de verk- samheter som är etablerade enligt lagen om läkarvårdsersättning, den s.k. nationella taxan, redan i dagsläget finns viss uppgifts- skyldighet gentemot den finansierande huvudmannen. Enligt lagens 26 § ska en läkare som begär läkarvårdsersättning medverka till att den egna verksamheten kan följas upp och utvärderas. Läkaren ska årligen till landstinget lämna en redovisning med upp- gifter om mottagningens personal och medicintekniska utrustning samt om utförda vårdåtgärder och antalet patientbesök. Vidare ska läkaren på begäran av landstinget lämna upplysningar och visa upp patientjournal samt övrigt material som rör undersökning, vård eller behandling av en patient och som behövs för kontroll av begärd läkarvårdsersättning.

I förarbetena till bestämmelsen anför regeringen att lands- tingens ansvar för planering och finansiering av hälso- och sjuk- vården medför ett stort och berättigat behov av att följa upp att verksamheten bedrivs på ett sätt som ger ett bra resultat i hela hälso- och sjukvården med avseende på kostnader, effektivitet och kvalitet.17 Med hänsyn till det grundläggande behovet för en huvudman att följa upp den vård som finansieras och de enskilda patienternas behov av sekretess och integritetsskydd anför regeringen bland annat följande.

17 Prop. 2008/09:64 s. 60.

320

SOU 2014:23

En informationshantering med patienten i centrum

Enligt regeringens bedömning är det angeläget att landstingen får de uppföljningsredskap som de anser sig behöva för att följa upp den vård som de finansierar. Som flera landsting påpekat omfattas den personal vid landstingen som arbetar med uppföljning av vårdgivarnas verk- samhet av bestämmelserna i 7 kap. 1 c § sekretesslagen (1980:100) om hälso- och sjukvårdssekretess. Landstinget hanterar också en stor mängd känslig information redan idag bl.a. om patienter inom den offentligt drivna hälso- och sjukvården. Vidare finns en motsvarande möjlighet att granska journaler enligt 11 § tandvårdsförordningen (1998:1338).

Ytterligare en aspekt är att landstingen kan ha behov av att följa upp hela vårdkedjor med avseende på kvalitet, effektivitet och resultat. Uppföljning inom hälso- och sjukvården blir allt mer inriktad mot att följa hela processer istället för enskilda åtgärder. För att en sådan upp- följning ska vara möjlig behövs identifierbara patientuppgifter.

Utredningen delar i stort regeringens bedömning och anser att frågan om behov av uppföljning på en övergripande nivå inte är mindre för de vårdgivare som bedriver hälso- och sjukvård med stöd av andra former än lagen om läkarvårdsersättning. Vår generella utgångspunkt är att kommuners och landstings huvud- mannaansvar bland annat innebär ett ansvar för planering, uppfölj- ning och kvalitetssäkring av den hälso- och sjukvård som erbjuds invånarna. Vidare ska de rättsliga möjligheterna att vidta en sådan kvalitetssäkring etc. inte bero på organisatoriska förutsättningar. För att kommuner och landsting ska kunna ta ansvar för den hälso- och sjukvårdsverksamhet som de i egenskap av huvudmän har ett övergripande ansvar för behöver de ha tillgång till uppgifter om den hälso- och sjukvård som ges hos de utförare som anlitats. Regel- verket bör därför tydligt tillhandahålla förutsättningar för en ända- målsenlig planering, uppföljning och kvalitetssäkring av all hälso- och sjukvård huvudmannen ansvarar för.

Mot den bakgrunden föreslår vi en uppgiftsskyldighet för privata vårdgivare som verkar med offentlig finansiering. De ska vara skyldiga att till huvudmannen lämna de uppgifter som behövs för att huvudmannen ska kunna fullgöra sitt ansvar enligt hälso- och sjukvårdslagen. Det kan exempelvis handla om att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten, administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller att framställa statistik om hälso- och sjuk- vården. Förslaget gör det möjligt att på ett effektivt och säkert sätt följa upp all vård som erbjuds inom det område som landstinget eller kommunen ansvarar för oavsett vilka driftsformer som finns.

321

En informationshantering med patienten i centrum

SOU 2014:23

Samtidigt uppstår ett behov för sjukvårdshuvudmännen att tydlig- göra vilka uppgifter som behövs med hänsyn till de olika ändamål som gör sig gällande.

Som vid all personuppgiftsbehandling gäller även att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ända- målet får behandlas. Vidare behöver landsting och kommuner bedöma för vilka ändamål personuppgifter över huvud taget behöver samlas in, eller om det räcker med uppgifter som åtminstone inte direkt kan hänföras till enskilda individer. Vidare bedömer utred- ningen att den direkta tillgången till personuppgifter i de allra flesta fall endast behöver förekomma i ett initialt skede av hanteringen. Samma överväganden som görs vad gäller uppföljning, planering och kvalitetssäkring av den verksamhet som huvudmannen själv driver ska naturligtvis även göras i förhållande till de uppgifter som hämtas in från privata vårdgivare.

Vidare ska tydliggöras att uppgiftsskyldigheten endast gäller uppgifter om patienters hälsotillstånd eller andra personliga för- hållanden. Bestämmelsen medför därmed ingen ökad möjlighet för en huvudman att, jämfört med vad som gäller i dag, inhämta andra uppgifter som rör de privata vårdgivarnas verksamhet. Inte heller omfattas den andel privata vårdgivare som inte står under offentlig finansiering av utredningens förslag. Det är således de vårdgivare eller de vårdgivares verksamheter som bedrivs med ett landsting eller en kommun som huvudman, dvs. som finansiär, som omfattas av förslaget.

Genom utredningens förslag får huvudmännen samma möj- ligheter att ta ansvar för befolkningen och fullgöra sitt uppdrag alldeles oavsett hur hälso- och sjukvården i det enskilda landstinget eller den enskilda kommunen närmare är organiserad. Det innebär att ett landsting eller en kommun med många privata vårdgivare får samma möjligheter att fullgöra sitt uppdrag som landsting och kommuner med få privata vårdgivare. Förutom att följa upp den hälso- och sjukvård som ges medför förslaget nya möjligheter att genom aktiv hälsostyrning och liknande metoder kunna arbeta förebyggande och tillgodose behovet för individer som har många och ofta komplexa kontakter med hälso- och sjukvården. Det förebyggande arbetet behöver inte sällan tillgång till individ- uppgifter i det initiala skedet och genom utredningens förslag får huvudmän med en stor mångfald av aktörer lika goda möjligheter att erbjuda rätt vård till rätt person, som huvudmän med färre antal privata vårdgivare redan i dag har. För invånarna innebär detta

322

SOU 2014:23

En informationshantering med patienten i centrum

ökade möjligheter till en jämlik vård av god kvalitet oavsett i vilken kommun och vilket landsting invånarna bor i.

Denna uppgiftsskyldighet medför att det inte kommer att gälla någon tystnadsplikt mot huvudmannen avseende dessa uppgifter. Redan av befintliga regler i offentlighets- och sekretesslagen följer att det inte gäller sekretess mellan olika myndigheter inom hälso- och sjukvården hos samma huvudman eller i relation till sådana bolag där ett landsting eller en kommun utövar det rättsligt bestämmande inflytandet. Som exempel på det senare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB.

Bestämmelsen om tystnadsplikt i patientsäkerhetslagen är lik- som bestämmelsen om uppgiftsskyldighet till sin formulering riktad till hälso- och sjukvårdspersonalen (6 kap. 12 och 15 §§ PSL). Detta har historiska orsaker. Många krav som gäller för hälso- och sjukvårdsverksamhet riktades tidigare ofta direkt till yrkesutövarna. Detta har med utvecklingen av de krav som allt mer tydligt har ställts på huvudmännen i hälso- och sjukvårdslagen fört med sig att krav som riktar sig till privata utförare har ställts i den lag som reglerar yrkesansvaret. Bestämmelserna om tystnadsplikt och uppgiftsskyldighet överfördes oförändrade när patientsäker- hetslagen ersatte lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Traditionen kan ha sin grund att innan den utveckling med allt fler privata vårdgivare som vi har i dag satte fart bestod den privata vården mest av enskilda yrkesutövare som drev små egna mottagningar.

Vårt förslag till uppgiftsskyldighet för privata vårdgivare åter- finns därför i den bestämmelse som reglerar hälso- och sjukvårds- personalens upplysningsplikt i patientsäkerhetslagen.

13.4.5Informationsöverföring vid verksamhetsövergångar

Vår bedömning: För att kunna upprätthålla kontinuiteten och säkerheten i den vård som patienter erbjuds och säkerställa att rätt information finns på rätt plats i rätt tid, behöver en effektiv och säker informationsöverföring vid verksamhetsövergångar göras möjlig. En informationshantering med individen och individens behov i centrum förutsätter att de organisatoriska gränserna vid verksamhetsövergångar överbryggas.

323

En informationshantering med patienten i centrum

SOU 2014:23

Vårt förslag: I hälso- och sjukvårsdatalagen ska tas in ett antal bestämmelser om överföring av information vid verksamhets- övergångar. Huvudmannen ska ansvara för att den vårdgivare som ska ta över en verksamhet som huvudmannen driver får tillgång till de personuppgifter om patienter som behövs för att bedriva verksamheten.

Privata vårdgivare med offentlig finansiering som avser att upphöra med viss hälso- och sjukvårdsverksamhet ska se till att de personuppgifter om patienter som behövs för att bedriva verksamheten vidare överlämnas till annan vårdgivare som ska överta ansvaret för patientens vård och behandling. Om det inte finns någon annan vårdgivare som ska ta över ansvaret för patienternas vård och behandling ska den privata vårdgivaren i stället överlämna uppgifterna till huvudmannen för hälso- och sjukvårdverksamheten i det landsting eller den kommun där verk- samheten bedrivits.

Sekretess ska inte hindra att uppgifter lämnas ut till en enskild näringsidkare med stöd av dessa bestämmelser.

Inledning

Privat vårdgivare är en juridisk person eller en enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. Det är vårdgivaren som är ansvarig för att förvara och bevara patientjournalerna.18 I det ligger ett ansvar för att journaler upprättas och hanteras på ett ändamålsenligt och säkert sätt.

I patientdatalagen finns bestämmelser om hur länge journaler ska bevaras och vad som ska göras om den som upphört med sin verksamhet inte längre kan bevara journalerna på föreskrivet sätt. Dessa bestämmelser har vi i tidigare avsnitt föreslagit ska överföras till hälso- och sjukvårdsdatalagen.

Däremot finns inga bestämmelser om hur kontinuiteten i vård- dokumentationen och därmed i kvaliteten och säkerheten i vården av patienter ska upprätthållas i samband med att en vårdgivare ska ta över en annan vårdgivares verksamhet. Om till exempel en kommun i samband med att avtalstiden löper ut väljer att sluta avtal med en ny vårdgivare som ska driva ett särskilt boende så finns det inga regler för hur journalerna i verksamheten ska hanteras.

18 Prop. 1991/92:104 s. 7.

324

SOU 2014:23

En informationshantering med patienten i centrum

Vi har i det föregående redovisat ett antal konsekvenser som avsaknaden av sådana bestämmelser riskerar att ge upphov till. Det grundläggande syftet med informationshanteringen i hälso- och sjukvården i allmänhet och med journalföringen i synnerhet är att bidra till en god och säker vård för alla patienter. Syftet med patientjournalföringen riskerar att inte kunna uppnås fullt ut om inte den informationsöverföring som är nödvändig med hänsyn till detta ändamål inte kan komma till stånd på ett effektivt sätt vid verksamhetsövergångar.

Konsekvenserna av regelverket för vårdgivarnas ansvar för journaler och bestämmelserna om sekretess och tystnadsplikt är att det kan bli svårt att upprätthålla kontinuiteten i vården och i informationshanteringen när nya vårdgivare tillkommer eller avvecklas. För patientera uppstår risker om aktuell och viktig information helt plötsligt saknas. Inte sällan kan informationen även ha funnits tillgänglig i system för sammanhållen journalföring, vilket bland annat kan ha inneburit att även andra vårdgivare förlitar sig på att den aktuella informationen finns. För utred- ningens del är det uppenbart att informationshanteringen i hälso- och sjukvården inte längre kan ske isolerat verksamhet för verk- samhet. De täta och komplexa samarbeten som i dag kännetecknar utförandet av hälso- och sjukvård förutsätter en mer holistisk syn på informationshanteringen. Vårdgivare är i dag beroende av att information från andra vårdgivare finns tillgänglig i den stund behovet för patienten uppstår.

Mot bakgrund av detta och med anledning av vad utredningens redovisat i genomgången av gällande rätt i avsnitt 13.3.4 föreslår vi därför ett antal nya bestämmelser för att närmare reglera vad som ska gälla i samband med att en verksamhet får en ny privat utförare eller återgår till att drivas i offentlig regi. Syftet med förslagen är att säkerställa kvaliteten och säkerheten i den hälso- och sjukvård patienternas erbjuds.

Ansvar för landsting och kommuner i egenskap av huvudmän

Vi föreslår för det första att en huvudman, dvs. ett landsting eller en kommun, som överlämnar driften av en viss verksamhet ska ansvara för att den privata vårdgivaren får tillgång till de person- uppgifter om patienterna som behövs för att bedriva verksamheten. På vilket sätt huvudmannen i realiteten ska ta detta ansvar kan inte

325

En informationshantering med patienten i centrum

SOU 2014:23

regleras i detalj. Med hänsyn till de olika situationer och sam- arbeten som kan uppstå finns en risk att alltför detaljerade regler kan låsa in verksamheterna i lösningar som inte är tillräckligt flexibla i ett längre perspektiv. Vi bedömer dock att det kan finnas ett antal olika sätt för huvudmannen att rent praktiskt fullgöra sitt ansvar. Det är upp till hälso- och sjukvårdens aktörer att med hän- syn till behoven och förutsättningar i enskilda fall finna lämpliga former för detta.

Om huvudmannen och den privata vårdgivaren samarbetar genom att tillåta varandra direktåtkomst till patientuppgifter enligt de regler vi föreslagit i det föregående kan utföraren exempelvis använda direktåtkomsten för att få tillgång till de nödvändiga upp- gifterna om patienterna. Ytterligare ett alternativ kan vara att huvudmannen lämnar ut kopior (elektroniska handlingar eller i pappersform) till den privata vårdgivaren, som sedan har att ta emot dessa och fortsatt hantera dem enligt de grundläggande bestämmelserna. En sådan lösning är emellertid inte alltid att före- dra ur ett integritetsperspektiv, eftersom det innebär att uppgifter om den enskilde sprids för hantering och lagring på fler platsen är vad som egentligen kanske är nödvändigt.

Ett annat alternativ kan därför vara att huvudmannen, om så är möjligt och lämpligt, avhänder sig de allmänna handlingarna i enlighet med de regler som finns om detta i arkivlagen (1990:782), 2 kap. 17 § tryckfrihetsförordningen och lagen (1993:1383) om överlämnande av allmänna handlingar till andra organ än myndig- heter för förvaring.

Ansvar för vårdgivare och för kommunen eller landstinget i egenskap av huvudmän

För att kontinuiteten i den vård som ges till en patient ska säker- ställas föreslår vi dessutom att den vårdgivare med offentlig finan- siering som inte längre ska bedriva en viss verksamhet ska över- lämna de personuppgifter om patienterna, som behövs för att bedriva verksamheten, till den vårdgivare som ska ta över ansvaret för patientens vård och behandling. Vi föreslår inga detaljerade bestämmelser som närmare anger hur detta ska göras, utan det är upp till vårdgivaren att avgöra med hänsyn till omständigheterna i det enskilda fallet.

326

SOU 2014:23

En informationshantering med patienten i centrum

Vårdgivaren som upphör med en viss verksamhet kan exempel- vis välja mellan att överlämna kopior (elektroniska handlingar eller i pappersform) på de uppgifter som är nödvändiga för patientens vård eller att lämna över ansvaret för hela journalarkivet. Om den privata vårdgivaren tillåter andra vårdgivaren direktåtkomst till patientuppgifter enligt de regler som vi föreslagit i det föregående kan den nya vårdgivaren även använda direktåtkomsten för att få till gång till nödvändig vårddokumentation. En sådan lösning förut- sätter naturligtvis att vårdgivaren inte helt upphör med sin hälso- och sjukvårdsverksamhet, utan fortsatt bedriver hälso- och sjuk- vård och har reella möjligheter att ta ansvar för de aktuella upp- gifterna.

Om det uppstår en övergångstid mellan det att vårdgivaren upp- hör med att driva viss verksamhet och tills någon annan tar vid eller om huvudmannen själv ska bedriva verksamheten för längre eller kortare tid, ska uppgifterna lämnas över till landstinget eller kom- munen. Denna bestämmelse säkerställer ytterligare att viktig journalinformation inte går förlorad på grund av att ansvaret för driften av en verksamhet varierar över tid.

Om varken en annan privat vårdgivare eller en huvudman ska ta över journalerna enligt de regler som vi nu har beskrivit faller vård- givarens yttersta ansvar för journalarkivet ut. Om vårdgivaren sedan inte klarar av att förvara och bevara journalerna enligt gällande regler blir bestämmelserna om omhändertagande av journalarkiv tillämpliga. Socialstyrelsen ska i sådana fall besluta om att journalerna ska tas om hand.

Våra förslag till reglering av vad som gäller angående person- uppgifterna i en verksamhet blir inte tillämpliga i samband med att ett vårdföretag blir uppköpt av ett annat företag. I sådana fall ingår patientjournalerna i företagsöverlåtelsen och något problem med kontinuitet i dokumentationen behöver inte uppstå.

Ändringar i offentlighets- och sekretesslagen behövs för att upphäva sekretessen mellan huvudmannen och den privata vård- givaren. Vi föreslår att sekretess inte ska gälla om bestämmelserna om överföring av personuppgifter vid verksamhetsövergångar följs. Vid annat utlämnande från vårdgivarna ska de vanliga sekretess- bestämmelserna tillämpas. Sedan tidigare finns regler om undantag från sekretess mellan de olika myndigheter som bedriver hälso- och sjukvård inom huvudmannens område.

På grund av de bestämmelser som vi föreslår behövs ingen sär- skild reglering för att en enskild vårdgivare ska kunna lämna ut

327

En informationshantering med patienten i centrum

SOU 2014:23

uppgifter i samband med verksamhetsövergångar. Ett sådant utläm- nande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen och innebär därmed inget brott mot tystnads- plikten. Det är samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.

13.4.6Kommunalt ansvar för omhändertagna patientjournaler i kommunal hälso- och sjukvård eller hos elevhälsan

Vårt förslag: Patientjournaler inom hälso- och sjukvårdsverk- samheter som bedrivits med en kommun som huvudman eller inom elevhälsan ska efter ett omhändertagande förvaras avskilda hos arkivmyndigheten i den kommun där hälso- och sjukvården bedrivits. Patientjournaler i övriga verksamheter ska efter ett omhändertagande bevaras hos arkivmyndighet i det landsting där hälso- och sjukvården bedrivits.

Bestämmelser om att patientjournaler inom privat hälso- och sjuk- vård kan tas om hand om det på sannolika skäl kan antas att journalerna inte kommer att hanteras enligt gällande bestämmelser eller om den som ansvarar om journalerna ansöker om det införde i patientjournallagen 1992.19 Frågan hade utretts av journalutredningen som 1984 lämnade betänkandet Journalarkiv utanför den offentliga hälso- och sjukvården och tandvården.20 Bestämmelserna över- fördes sedan oförändrade till patientdatalagen.

Det alltså funnit regler för hur patientjournaler i privata verk- samheter ska tas om hand sedan början på 90-talet. När journal- utredningen beredde lagförslaget hade kommunerna ännu inget ansvar för hälso- och sjukvård för äldre och funktionshindrade. Ädelreformen21 började gälla den 1 januari 1992. Genom den fick kommunerna bl.a. ansvar för hälso- och sjukvården i särskilda boenden. En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Den kommunala hälso- och sjukvården med tiden alltmer börjat utföras av privata vårdgivare. Se avsnittet om En hälso- och sjukvård i utveckling.

19Prop. 1991/92:104.

20Ds S 1984:18.

21Prop. 1990/91:14.

328

SOU 2014:23

En informationshantering med patienten i centrum

Den svenska skolan blev ett kommunalt ansvar först 1991. Friskolereformen, som gjorde det möjligt för privata företag att bedriva skolverksamhet med kommunal finansiering, genomfördes 1992.22

Bestämmelserna som reglerar ansvaret för omhändertagna journaler utreddes alltså innan det fanns något behov av att över- väga ett kommunalt ansvar för vissa hälso- och sjukvårdsjournaler.

På grund av de regler som gäller i dag ska patientjournaler i privata verksamheter inom elevhälsan eller inom privata verk- samheter som bedrivs med kommunen som huvudman överföras till ett landstingsarkiv om ett omhändertagande av journalerna skulle bli aktuellt. Detta framstår inte som helt ändamålsenligt. Det är enligt utredningens bedömning lämpligare att patientjournaler som uppstår i privata verksamheter med anknytning till kommunen som huvudman för hälso- och sjukvård eller till kommunen som ansvarig för finansieringen av skolverksamheten arkiveras till- sammans med journaler från kommunens egna verksamheter.

När det gäller betygen i en friskola gäller att elevernas slutbetyg eller de betygsdokument som eleven får efter fullföljd gymnasie- utbildning ska lämnas över till den till den kommun där skolan är belägen.23 På så sätt får elever på fristående skolor samma möjlighet som elever i offentliga skolor att i efterhand kunna få uppgifter på genomförd skolgång om originalbetyget har förkommit och den fristående skolan inte längre finns kvar.24

Motsvarande behov att enkelt kunna ta reda på var en handling finns bevarad finns när det gäller patientjournaler från elevhälsan. Vårt förslag om att patientjournaler i privat bedriven elevhälsa efter ett omhändertagande ska förvaras i den kommun där hälso- och sjukvården bedrivits innebär att journalerna ska förvaras hos samma arkivmyndighet som betygen. Om en friskola går i konkurs och inte längre kan ansvara för patientjournalerna ska konkurs- förvaltaren ansöka om att journalarkivet ska tas om hand. Vårt förslag innebär att sådana journaler efter ett omhändertagande ska förvaras hos arkivmyndigheten i den kommun där elevhälsan bedrev sin verksamhet. Vi bedömer att det ur allmänhetens syn- punkt framstår som logiskt att en elevhälsovårdsjournal finns i den kommun där verksamheten bedrevs.

22Prop. 1991/92:95 Om valfrihet och fristående skolor.

2329 kap. 18 § skollagen (2010:800).

24Regeringens proposition Den nya skollagen – för kunskap, valfrihet och trygghet, prop. 2009/10:165 s. 604 ff.

329

En informationshantering med patienten i centrum

SOU 2014:23

När det gäller patientjournaler som omhändertagits hos privata utförare av kommunal hälso- och sjukvård finns också ett behov av att lätt kunna ta reda på var en journal finns bevarad. En verk- samhet som bedrivs av en privat entreprenör kan tas tillbaka för att drivas av kommunen. Det kan också förekomma skiften av privata utförare. Konsekvensen av dagens lagstiftning är att patient- journaler från en visst särskilt boende kan komma att förvaras hos olika arkivmyndigheter. Utredningen anser att patientjournaler som uppstått i verksamheter som erbjudit hälso- och sjukvård på kommunens uppdrag efter ett omhändertagande bör förvaras hos samma arkivmyndighet som patientjournaler i verksamheter som bedrivs av kommunen själv.

När det gäller patientjournaler i övriga verksamheter föreslår vi att de efter ett omhändertagande ska bevaras i det landsting där hälso- och sjukvården bedrivits. Det innebär att omhändertagna journaler i privata verksamheter som finansierats av landstinget ska förvaras på samma sätt som i dag.

Vi föreslår därför bestämmelser om ansvar för omhändertagna journaler som bättre stämmer överens med hur hälso- och sjuk- vården är organiserad i dag och som ur patientens synpunkt är mer begriplig.

13.4.7Bevarande och gallring vid direktåtkomst inom en huvudmans ansvarsområde

Vårt förslag: När patientjournaler eller andra handlingar är till- gängliga för en vårdgivare genom direktåtkomst gäller skyldig- heten att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra hand- lingen.

Utredningens förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde innebär att en del av den direktåtkomst som i dag görs med stöd av reglerna för sammanhållen journal- föring i stället kommer att göras med stöd av de bestämmelser som redovisats i det föregående. Det innebär samtidigt att vissa över- väganden som har gjorts i fråga om sammanhållen journalföring aktualiseras även för direktåtkomsten inom en huvudmans ansvars- område.

330

SOU 2014:23

En informationshantering med patienten i centrum

Ett sådant övervägande rör frågan om vem som ska bevara hand- lingar som finns potentiellt tillgängliga genom direktåtkomst. Här ansluter vi oss till den bedömning som regeringen gjorde i samband med införandet av motsvarande bestämmelser för sammanhållen journalföring.25

Utredningen anser därmed att arkivansvar eller annat ansvar för bevarande av journalhandlingarna bör följa verksamhetsansvar och personuppgiftsansvar för den enskilda personuppgiftsbehandlingen. En journalhandling eller annan handling bör därför bara bevaras och bilda arkiv hos en myndighet eller hos en privat vårdgivare.

För att tydliggöra detta föreslår utredningen att det ska regleras att bestämmelser i hälso- och sjukvårdsdatalagen eller i annan lag eller förordning om att journalhandlingar eller andra handlingar ska bevaras viss minsta tid, inte ska vara tillämpliga på sådana journal- handlingar som har gjorts tillgängliga genom direktåtkomst hos andra vårdgivare och som dessa vårdgivare endast har en potentiell tillgång till. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte handlingen ”tankas hem” och lagras av den förstnämnde vård- givaren.

Vidare föreslår utredningen en generell bestämmelse om att sådana potentiella handlingar får gallras. Som nämnts ska, enligt 3 § första stycket andra meningen arkivlagen, upptagningar för auto- matisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, bilda arkiv endast hos en av myndigheterna. En sådan gallringsregel behövs för att inte någon myndighet ska bli arkivansvarig för privata vård- givares journalhandlingar m.m. som de potentiellt sett har tillgång till genom direktåtkomst och som utgör allmänna handlingar hos vårdgivare som är myndigheter.26

25Prop. 2007/08:126 s. 136 ff.

26Prop. 2007/08:126 s. 120 f.

331

14En ny sammanhållen journalföring

14.1Bakgrund

En patient som vårdas för en sjukdom eller skada behöver ofta vård hos flera olika vårdgivare. I det föregående har vi redovisat för utvecklingen inom hälso- och sjukvården, med ett ökat antal vård- givare, en ökad specialisering, ökad patientrörlighet och nya krav på samverkan mellan aktörer. Utvecklingen har bland annat fört med sig att allt fler vårdprocesser och motsvarande går över vårdgivar- gränser och i många fall även över huvudmannagränser. Ett exempel på en process som i praktiken alltid innebär att vårdgivare hos olika huvudmän behöver vara inblandade är i äldreomsorgen. Äldre som bor på särskilt boende eller i hemmet och har behov av hälso- och sjukvård får i dag sitt primära behov tillgodosett inom den kommunala hälso- och sjukvården. Eftersom kommunen endast har ansvar för hälso- och sjukvård upp till sjuksköterske- nivå, dvs. inte läkare, är äldre även i behov av läkarinsatser från en landstingsfinansierad vårdgivare. Inte sällan omfattar äldres behov såväl landstingets primärvård som dess slutenvård. Inom äldre- omsorgen finns därför en i princip ständigt pågående samverkan i den individinriktade patientvården.

Den högspecialiserade vården kan nämnas som ett exempel bland andra processer, som allt oftare behöver passera geografiska och organisatoriska gränser. För människor som drabbas av exempel- vis cancer är det inte ovanligt att vissa delar av vårdprocessen äger rum i hemlandstinget, medan andra delar äger rum på t.ex. ett universitetssjukhus i ett närliggande landsting.

För att de olika vårdgivarna ska kunna ge bästa möjliga vård behöver de få del av de av varandras vårddokumentation om patienterna. Behovet för olika vårdgivare att dela information om patienter har i dag snarare kommit att bli regel än undantag.

333

En ny sammanhållen journalföring

SOU 2014:23

Eftersom det råder sekretess och tystnadsplikt mellan olika vård- givare måste ett utbyte av uppgifter som huvudregel föregås av ett samtycke eller prövning av om det finns något stöd för utläm- nandet i det enskilda fallet. Fram tills patientdatalagen (2008:355), förkortad PDL, trädde i kraft den 1 juli 2008 gjordes allt utbyte av uppgifter mellan olika vårdgivare med stöd av dessa regler. Nu kan utbyte av uppgifter mellan olika vårdgivare också göras med hjälp av direktåtkomst. För att det ska vara tillåtet i dag måste vård- givarna följa reglerna om sammanhållen journalföring.

Sammanhållen journalföring innebär att vårdgivare, privata som offentliga, kommun- som landstingsfinansierade och helt privata, kan dela med sig av sin vårddokumentation till varandra. Med vårdgivare avses enligt 1 kap. 3 § PDL statlig myndighet, landsting och kommun (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

I stället för att som tidigare, på ett tidsödande och inte sällan osäkert sätt, begära att information lämnas ut från en vårdgivare till en annan, t.ex. genom journalkopior, kan vårdgivarna hålla vård- dokumentation ständigt tillgänglig för varandra så att den som behöver informationen själv kan ta del av den. Det kan exempelvis handla om att primärvårdsläkaren som ska ordinera läkemedel åt äldre på ett särskilt boende eller i hemsjukvården har tillgång till viktig information om de äldres hälsa som är dokumenterad i patientjournalen av sjuksköterskor i den kommunala hälso- och sjukvården, och vice versa. Det kan även handla om att anestesi- läkaren som snabbt ska fatta ett viktigt beslut för en medvetslös patient vid en operation har tillgång till uppgifter från andra vårdgivare om patientens läkemedel och överkänsligheter m.m. För sjuksköterskan i den kommunala hemsjukvården kan det bestå i att vid behov enkelt och säkert kunna ta del av laboratoriesvaret på det senaste provet som primärvårdsläkaren ordinerade för patienten. Det handlar alltså om en ändamålsenlig informationshantering för att tillgodose en god och säker vård av den enskilde patienten.

Kort om förutsättningarna för sammanhållen journalföring i dag

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska patienten informeras om vad den sammanhållna journalföringen innebär. Patienten ska också

334

SOU 2014:23

En ny sammanhållen journalföring

få information om att han eller hon kan neka till att uppgifterna blir tillgängliga på det sättet. För samtliga patienter som då inte motsatt sig får vårdgivaren en laglig grund att göra uppgifterna tillgängliga för andra vårdgivare. På det sättet kan viktig vård- dokumentation, oavsett vilka vårdgivare som är inblandade i individens vård, alltid nås av den personal som behöver den för att göra så bra bedömningar som möjligt för individens liv och hälsa. De flesta medborgare motsätter sig inte att vårdgivare gör vård- dokumentation potentiellt tillgänglig för varandra genom samman- hållen journalföring.

Det finns inga uttryckliga krav på i vilken form informationen om sammanhållen journalföring ska lämnas utan det är upp till vårdgivarna att hitta lämpliga former som är väl avvägda och anpassade till olika verksamhetsformer och olika slags samarbeten mellan vårdgivare. En förutsättning för att individen ska kunna ta ställning är självklart att rätt information har lämnats av vård- givaren, något som Datainspektionen i ett antal tillsynsärenden funnit brister i. Även om det inte finns krav på att informationen ska vara individuell är det vårdgivaren som ansvarar för att alla har fått information. I praktiken informerar vårdgivare genom annon- sering i länstidningar, dagstidningar, på olika webbsidor, i informa- tionsbroschyrer, på affischer och genom information i samband med kallelser m.m. För de individer som efter en sådan informa- tionsinsats inte vänder sig till vårdgivaren och motsätter sig den sammanhållna journalföringen tillgängliggörs vårddokumentation för andra vårdgivare.

För att en vårdgivare sedan, i en enskild vårdsituation, ska få använda uppgifter som en annan vårdgivare gjort tillgängliga genom sammanhållna journalföringen krävs dessutom enligt 6 kap. 3 § PDL att

1.uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med,

2.uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och

3.patienten samtycker till att vårdgivaren behandlar uppgifterna.

335

En ny sammanhållen journalföring

SOU 2014:23

14.1.1Kort om behovet av ett förändrat och förenklat regelverk

Vår bedömning: Patientdatalagens bestämmelser om samman- hållen journalföring bör föras över till hälso- och sjukvårds- datalagen, men det finns behov av förändringar i språk, innehåll och struktur. Vidare bör övervägas vissa förändrade förut- sättningar för att ta del av uppgifter i sammanhållen journal- föring. Regelverket om sammanhållen journalföring bör även anpassas till övriga förslag om direktåtkomst vi lämnar.

Enligt vår uppfattning är sammanhållen journalföring i dag i närmaste en nödvändighet för att kunna åstadkomma en informa- tionshantering som bidrar till kvalitet och patientsäkerhet. Av den anledningen saknas skäl att inte överföra patientdatalagens bestämmelser till den hälso- och sjukvårdsdatalag som vi föreslår. Samtidigt är konstruktionen för utbyte av vårddokumentation genom sammanhållen journalföring komplex och har gett upphov till tillämpningsproblem. Därtill är bestämmelserna om samman- hållen journalföring i patientdatalagen komplicerade såväl språkligt som strukturellt.

För att underlätta den praktiska tillämpningen av lagen anser utredningen därför att det finns behov av en omarbetning av bestämmelserna om sammanhållen journalföring när de förs över till hälso- och sjukvårdsdatalagen. Det finns både ur ett medborgar- och vårdgivarperspektiv behov av att göra regleringen enklare att tillämpa och mer pedagogisk, det vill säga lättare att förstå. Vi vill därför förenkla bestämmelserna om sammanhållen journalföring.

Dessutom finns det behov av att analysera hur bestämmelserna om sammanhållen journalföring påverkas av de förslag som utred- ningen lämnar i andra delar. En konsekvens av de förslag som vi redogjort för tidigare om utökade möjligheter till informations- utbyte mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för, är att tillämpningsområdet för samman- hållen journalföring blir mindre än i dag.

Vidare bedömer vi att det finns anledning att se över förutsätt- ningarna för att ta del av och använda uppgifter i system för sam- manhållen journalföring. Det handlar framför allt om den nuvar- ande begränsningen som innebär att åtkomst till uppgifter i system för sammanhållen journalföring inte får användas för att säkra och

336

SOU 2014:23

En ny sammanhållen journalföring

utveckla verksamhetens kvalitet. Därutöver finns det behov av att analysera om det nu gällande samtyckeskravet för få att ta del av uppgifter i sammanhållen journalföring är ändamålsenligt, eller om patientens grundläggande samtycke till vård även kan utgöra grund för den informationshantering som behövs för att patienten ska få bästa möjliga vård.

14.2Våra överväganden och förslag om att göra uppgifter tillgängliga i system för sammanhållen journalföring

14.2.1Tydligare reglering av regelverkets tillämpningsområde och innebörd

Vår bedömning: Vårt förslag, i avsnitt 13, om direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för, medför att tillämpningsområdet för vad som i dag hänförs till sammanhållen journalföring minskar. Detta bör framgå av hälso- och sjukvårdsdatalagen. Vidare bör kapitlet om sammanhållen journalföring inledas med en bestäm- melse som beskriver vad som regleras i kapitlet.

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att med sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvudmän ansvarar för eller som är privat finansierad, att ha direktåtkomst till varandras vårddokumentation. I lagen ska även anges att kapitlet innehåller bestämmelser om förutsättningarna för sammanhållen journalföring.

Inledning

I dag omfattar bestämmelserna om sammanhållen journalföring allt informationsutbyte genom direktåtkomst mellan vårdgivare. Det innebär exempelvis att en privat driven vårdcentral och det lands- tingsdrivna sjukhuset behöver tillämpa reglerna om sammanhållen journalföring för att vid behov kunna utbyta uppgifter om patienter. En konsekvens av vårt förslag om utökade möjligheter till direktåtkomst mellan vårdgivare som bedriver hälso- och sjuk-

337

En ny sammanhållen journalföring

SOU 2014:23

vård som samma huvudman ansvarar för, är dock att tillämpnings- området för sammanhållen journalföring minskar jämfört med i dag.

Som vi har redogjort för i avsnitt 13 föreslår vi att vårdgivare som bedriver hälso- och sjukvård som t.ex. samma kommun eller samma landsting ansvarar för, ska få utbyta information genom direktåtkomst utan att tillämpa sammanhållen journalföring. En följd av det förslaget är att sammanhållen journalföring enligt hälso- och sjukvårdsdatalagen kommer att vara den form av informationsutbyte genom direktåtkomst som används mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för. Jämfört med i dag blir tillämpningsområdet således betydligt mindre.

Som exempel på sådana informationsutbyten genom direkt- åtkomst som kommer att omfattas av hälso- och sjukvårdsdata- lagens bestämmelser om sammanhållen journalföring kan bland annat följande nämnas.

Informationsutbyte mellan en vårdgivare som bedriver hälso- och sjukvård som ett landsting ansvarar för och en vårdgivare som bedriver hälso- och sjukvård som en kommun ansvarar för.

Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som olika landsting ansvarar för.

Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som olika kommuner ansvarar för.

Informationsutbyte mellan två vårdgivare som bedriver hälso- och sjukvård som två olika privata aktörer ansvarar för och finansierar.

Informationsutbyte mellan en vårdgivare som bedriver hälso- och sjukvård som antingen ett landsting eller en kommun ansvarar för och en vårdgivare som bedriver hälso- och sjukvård som en privat aktör ansvarar för och finansierar.

Innebörden av detta är, något förenklat, att sammanhållen journal- föring i hälso- och sjukvårdsdatalagen kommer att gälla för informationsutbyte genom direktåtkomst mellan hälso- och sjuk- vårdsverksamheter som finansieras av olika huvudmän eller privata aktörer. Det innebär att tillämpningsområdet för sammanhållen journalföring inte på samma sätt som i dag kommer att påverkas av organisatoriska förändringar i den hälso- och sjukvård som samma

338

SOU 2014:23

En ny sammanhållen journalföring

huvudman ansvarar för. Så fort en landstingsdriven vårdcentral tas över för att drivas i privat regi, men med fortsatt med offentlig finansiering måste i dag sammanhållen journalföring börja användas för det fortsatta informationsutbytet. Med vårt förslag kommer sådana organisationsförändringar att kunna göras utan att det automatiskt påverkar förutsättningarna för utbyte av patient- uppgifter.

Sammanhållen journalföring kommer fortfarande att vara den möjlighet som finns för informationsutbyte mellan landstings- finansierade verksamheter och kommunalt finansierade verksam- heter. Som exempel kan nämnas sådan direktåtkomst som sjuk- sköterskor på särskilda boenden eller i den kommunala hem- sjukvården har till vårddokumentation hos slutenvården eller primärvården och vice versa. Våra förslag minskar således inte incitamenten för dessa vårdgivare att samarbeta i system för sam- manhållen journalföring, exempelvis den Nationella patientöver- sikten (NPÖ) eller mer lokala lösningar. Det behovet kvarstår oförändrat och kan i själva verket komma att öka, inte minst i takt med att fler och fler kommuner tar över ansvaret för hem- sjukvården.

Ett annat exempel på när sammanhållen journalföring kommer att behöva användas är vid vårdprocesser över landstingsgränser. Det kan t.ex. handla om samarbeten mellan verksamheter i olika landsting vad gäller högspecialiserad vård, men det kan även vara fråga om sådan vård i olika landsting som föranleds av patienternas vårdval och rörlighet.

Ytterligare exempel kan vara i samband med sådan ambulans- sjukvård där ambulansen bedriver verksamhet som en huvudman ansvarar för medan mottagande akutsjukhus bedriver verksamhet som en annan huvudman ansvarar för. I sådana fall kommer direkt- åtkomst till vårddokumentation att användas med stöd av reglerna om sammanhållen journalföring. För stora delar av ambulans- sjukvården kommer dock direktåtkomsten att kunna ske i enlighet med förslagen om utökade möjligheter för vårdgivare som bedriver verksamhet som samma huvudman ansvarar för.

I patientdatalagens 6 kap. om sammanhållen journalföring åter- finns ingen egentlig definition av vad som avses med begreppet. Visserligen anges bland definitionerna i 1 kap. 3 § att sammanhållen journalföring är ett elektroniskt system som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare. Även om den definitionen till stora delar är

339

En ny sammanhållen journalföring

SOU 2014:23

tillfyllest, kan lämpligheten att peka på att det handlar om ett elektroniskt system ifrågasättas. Att definitionen inte finns i 6 kap. är även en sak som har lyfts fram som en brist i utredningens kontakter med företrädare från hälso- och sjukvården. Utred- ningens erfarenhet är att det finns en osäkerhet på olika nivåer i hälso- och sjukvården om vad sammanhållen journalföring är och att olika uppfattningar och beskrivningar florerar. Även om det sannolikt inte kan tillskrivas den nuvarande definitionen av sammanhållen journalföring och dess placering i lagen, anser vi att det finns skäl att så långt möjligt skapa en ökad tydlighet i frågan. För att tydliggöra vad som i hälso- och sjukvårdsdatalagen avses med sammanhållen journalföring och avgränsa regelverket från andra möjligheter till direktåtkomst, bör enligt vår bedömning en ny definition av sammanhållen journalföring föras in i lagen och i inledningen till kapitlet om sammanhållen journalföring. Vi föreslår därför att det med sammanhållen journalföring avses en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvud- män ansvarar för eller som är privat finansierad, att ha direkt- åtkomst till varandras vårddokumentation.

Begreppet direktåtkomst

När det gäller begreppet direktåtkomst ansluter vi oss till den syn på begreppet som regeringen redovisar i förarbetena till patient- datalagen.1 Innebörden av direktåtkomst i hälso- och sjukvårds- datalagen ska således vara densamma som i dag följer av patient- datalagen och dess förarbeten. Regeringen uttalar bland annat att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.2 Med direktåtkomst enligt hälso- och sjukvårdsdatalagen ska därmed avses en speciell form av elektroniskt utlämnande av personuppgifter till en mot- tagare utanför den organisation som bedriver verksamhet enligt socialtjänstlagen (2001;453). Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informationen vidtar någon åtgärd med informa-

1Prop. 2007/08:126 s. 70–77.

2Prop. 2007/08:126 s. 76.

340

SOU 2014:23

En ny sammanhållen journalföring

tionen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande. Se vidare om direktåtkomst och andra former av elektroniska utläm- nanden i avsnitt 11.

Kapitlets huvudsakliga innehåll bör framgå av lagen

Det nuvarande regelverket om sammanhållen journalföring i 6 kap. patientdatalagen är omfattande och berör en mängd olika delar av informationsutbytet genom direktåtkomst. Exempelvis anges förutsättningarna för att lämna ut uppgifter genom direktåtkomst, ta del av uppgifter genom direktåtkomst, vilken betydelse patientens inställning har, vad som gäller för barn m.m.

I syfte att göra regleringen mer överskådlig och pedagogisk föreslår vi att kapitlet inleds med bestämmelser om vad kapitlet avser att reglera. Av en inledande bestämmelser bör därför framgå att kapitlet innehåller bestämmelser om förutsättningarna för att dela med sig av och ta del av uppgifter genom sammanhållen journalföring samt om patientens rätt att motsätta sig att uppgifter görs tillgängliga.

14.2.2Förenklad utformning av bestämmelserna

Vår bedömning: Den nuvarande paragrafen om att göra upp- gifter tillgängliga för andra vårdgivare i 6 kap. 2 § PDL är lång, oöverskådlig och svårtillgänglig.

Vårt förslag: Bestämmelserna om förutsättningarna för att göra personuppgifter tillgängliga för andra vårdgivare (skede 1) ska delas upp på flera paragrafer.

De nuvarande bestämmelserna om villkoren för att tillgängliggöra uppgifter genom sammanhållen journalföring (6 kap. 2 § PDL) är sällsynt lång och svårgenomtränglig. Paragrafen innehåller inte mindre än 241 ord och handlar såväl om vårdgivarens informations- skyldighet och möjlighet att tillgängliggöra uppgifter, som om patientens rätt att spärra uppgifter och begära att spärrar hävs. Vidare regleras att vårdnadshavare inte kan spärra uppgifter om barn. I paragrafens sista stycke anges även detaljerade och mer

341

En ny sammanhållen journalföring

SOU 2014:23

verksamhetsnära krav som påverkar utformningen av användar- gränssnitten i system för sammanhållen journalföring.

Bestämmelsens utformning är enligt utredningens uppfattning inte ändamålsenlig. Vår erfarenhet är även att såväl vårdgivare som har att tillämpa bestämmelsen och patienter som vill bilda sig en uppfattning om de rättsliga förutsättningarna finner den alldeles för svårtillgänglig. Vi föreslår därför att förutsättningarna för att göra uppgifter tillgängliga för andra vårdgivare i system för sam- manhållen journalföring delas upp på ett flertal olika bestämmelser. Mot den bakgrunden föreslår vi sammanfattningsvis att de mer grundläggande förutsättningarna samlas i en bestämmelse och att en annan bestämmelse reglerar vad som ska gälla om patienten inte endast tillfälligt saknar förmåga att ta ställning till sammanhållen journalföring. Vidare föreslås en egen bestämmelse om patientens rätt att motsätta sig sammanhållen journalföring och konsekvens- erna av detta. Slutligen föreslår vi en egen bestämmelse som reglerar vårdnadshavares förbud att motsätta sig att uppgifter om barn görs tillgängliga för andra vårdgivare. Förslagen redovisas i det följande.

14.2.3Grundläggande bestämmelse om att göra uppgifter tillgängliga

Vårt förslag: I hälso- och sjukvårdsdatalagen ska i en paragraf anges de grundläggande förutsättningarna för att göra person- uppgifter tillgängliga i system för sammanhållen journalföring. I paragrafen ska anges att vårdgivare får göra uppgifter som dokumenterats för ändamålet vårddokumentation tillgängliga för andra vårdgivare, om patienten efter att ha fått information om vad den sammanhållna journalföringen innebär och om sin rätt att motsätta sig, inte har motsatt sig det.

Vår bedömning: Förslaget innebär inte några förändringar i sak jämfört med vad som gäller enligt patientdatalagen i dag.

Som anförts ovan är den nuvarande bestämmelsen i 6 kap. 2 § PDL med förutsättningar för att tillgängliggöra uppgifter i system för sammanhållen journalföring lång och omfattande. För att göra regelverket tydligare och mer överskådligt föreslår vi att de grund-

342

SOU 2014:23

En ny sammanhållen journalföring

läggande förutsättningarna samlas i en egen bestämmelse. I denna paragraf anges kraven på information till patienten innan tillgäng- liggörandet. Där regleras också vilka typer av uppgifter som får lämnas ut genom sådan direktåtkomst, dvs. sådana uppgifter som dokumenterats för ändamålet vårddokumentation. Vidare ska, precis som enligt nuvarande reglering i patientdatalagen, en förut- sättning för att få göra uppgifter tillgängligavara att patienten inte har motsatt sig det.

Vårt förslag innebär inte några förändringar i sak jämfört med vad som gäller i dag och vad som regeringen anförde i denna del i förarbetena till patientdatalagen.3

Vårdgivarens informationsskyldighet och patientens rätt att motsätta sig

När det gäller vårdgivarens skyldighet att informera patienter om sammanhållen journalföring ansluter vi oss till regeringens uttalan- den i förarbetena till den nuvarande bestämmelsen i 6 kap. 2 § PDL och till den praxis som har utarbetats av Datainspektionen. Vidare ska ett tillgängliggörande av uppgifter i system för sammanhållen journalföring enligt hälso- och sjukvårdsdatalagen precis som i dag bygga på att patienten inte motsätter sig det. Den s.k. opt-out- modell som i dag gäller, dvs. patientens rätt att motsätta sig, ska således överföras oförändrad till hälso- och sjukvårdsdatalagen.

Med avseende på informationsplikten och patientens rätt att motsätta sig uttalade regeringen bland annat följande i förarbetena.4

Något krav på samtycke i den mening som avses i personuppgiftslagen såsom förutsättning för personuppgiftsbehandlingen föreslås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för att journaluppgifter lämnas ut till andra vårdgivare genom införande i ett system för sammanhållen journal- föring.

Givetvis måste denna opt out-ordning kombineras med krav på att patienten blir informerad om att journalföring m.m. avses ske i en för flera vårdgivare sammanhållen journalföring och om sin rätt att mot- sätta sig att uppgifterna görs tillgängliga för andra vårdgivare än den patienten uppsökt. Enligt regeringens uppfattning ska tillgänglig- görandet inte få ske innan denna information lämnats. Hur denna information ska lämnas kan inte anges generellt. Regeringen förut-

3Se framför allt prop. 2007/08:126 s. 112 f och s. 248–250.

4Prop. 2007/08:126 s. 113.

343

En ny sammanhållen journalföring

SOU 2014:23

sätter att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring samt till den enskilde patientens förmåga att ta till sig informationen.

När det gäller tillvägagångssättet för att informera patienter anför regeringen även följande i förarbetena.5

Hur informationen ska lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen ska ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den person- uppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obliga- torisk information faktiskt har lämnats till patienten.

Det finns således inga uttryckliga krav på i vilken form informa- tionen om sammanhållen journalföring ska lämnas utan det är upp till vårdgivarna att hitta lämpliga former som är väl avvägda och anpassade till olika verksamhetsformer och olika slags samarbeten mellan vårdgivare. En förutsättning för att individen ska kunna ta ställning är självklart att rätt information har lämnats av vård- givaren, något som Datainspektionen i ett antal tillsynsärenden funnit brister i.

Även om det inte finns krav på att informationen ska vara individuell är det vårdgivaren som ansvarar för att alla har fått information. I praktiken informerar vårdgivare genom annonsering i länstidningar, dagstidningar, på olika webbsidor, i informations- broschyrer, på affischer och genom information i samband med kallelser m.m. Datainspektionen har i ett antal tillsynsärenden bedömt att sådana informationsinsatser gör att vårdgivare kan göra uppgifter tillgängliga i enlighet med bestämmelserna i 6 kap. 2 § PDL.6 För de individer som efter en sådan informationsinsats inte vänder sig till vårdgivaren och motsätter sig den sammanhållna journalföringen görs vårddokumentationen tillgänglig för andra vårdgivare.

Datainspektionen har emellertid i flera tillsynsärenden funnit brister i informationens innehåll och i tillvägagångssättet för att informera. För att illustrera tillsynsmyndighetens syn på hur

5Prop. 2007/08: 126 s. 249 f.

6Datainspektionens beslut 2011-06-01, dnr. 461-2010.

344

SOU 2014:23 En ny sammanhållen journalföring

information kan lämnas kan följande tillsynsärende rörande en privat vårdgivare nämnas.7

Bolaget tillhandahåller Landstingets patientbroschyr i Bolagets vänt- rum. I övrigt lämnas inte någon annan information om sammanhållen journalföring till Bolagets patienter som ingår i den sammanhållna journalföringen. Detta innebär att patienter som har Bolaget som vårdgivare ännu inte har erhållit information om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig detta.

----

Datainspektionen vill i sammanhanget lämna följande information. Bolaget måste nu avgöra vilka åtgärder som ska vidtas när det gäller informationsskyldigheten och se till att samtliga av Bolagets patienter som Bolaget har tillgängliggjort inom ramen för den sammanhållna journalföringen, dvs. även de patienter som eventuellt inte är bosatta i länet, blir informerade.

Datainspektionen anser att Bolaget, för att kunna uppfylla informa- tionsskyldigheten mot patienter bosatta såväl inom som eventuellt utom länet, behöver informera i medier som finns både inom och eventuellt utom länet. När det gäller att informera patienter utanför länet finns även en möjlighet för Bolaget att samarbeta med aktuella vårdgivare i de olika länen.

Datainspektionen anser vidare att det är lämpligt att Bolaget informerar patienterna vid minst ett par tillfällen i medierna.

När det gäller tillvägagångssättet för att kontinuerligt informera patienter, dvs. de som besöker Bolaget för första gången, anser Data- inspektionen att Bolaget förutom att endast tillhandahålla broschyrer i väntrum, även måste uppmärksamma patienterna på att ta del av broschyren. En sådan hänvisning kan göras på många olika sätt, t.ex. muntligt eller, vid planerade besök, i samband med kallelser.

Datainspektionen vill även framhålla att när det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informa- tionsblanketter på flera språk.

Vi kan konstatera att vårdgivare behöver vidta ett antal olika informationsinsatser för att kunna nå samtliga patienter, dvs. både enskilda som redan finns i vårdgivarens journalsystem och enskilda som besöker vårdgivare för första gången. Vi har vid våra kontakter med vårdgivare även blivit informerade om att det finns ett antal mer eller mindre stående informationsinsatser och kombinationer av informationsinsatser som används. Det är viktigt att detta arbete upprätthålls och kontinuerligt anpassas efter nya situationer som kan uppstå.

7 Datainspektionens beslut 2011-02-17, dnr. 616-2010.

345

En ny sammanhållen journalföring

SOU 2014:23

Vi anser även att det kan finnas skäl att överväga en mer sam- ordnad nationell informationsinsats riktad till hela befolkningen. Detta för att öka det allmänna medvetandet om informations- hantering i hälso- och sjukvården i allmänhet och informations- utbytet genom sammanhållen journalföring i synnerhet. Det skulle kunna göras som ett komplement till vårdgivarnas egna informa- tionsinsatser, men möjligtvis i viss mån även kunna ersätta sådana insatser som vårdgivare i dag gör var för sig trots att det handlar om ett och samma samarbete och system för sammanhållen journalföring. Ett sådant exempel skulle möjligtvis kunna vara informationen kring den Nationella patientöversikten, NPÖ. Ifall detta är lämpligt och om en sådan informationsinsats skulle kunna gå att utforma på ett sådant sätt att det i viss mån ersätter vårdgivarnas egna informationsinsatser bör dock övervägas mer noggrant än vad vi har möjlighet att göra. Generellt kan dock ifrågasättas lämpligheten och effektiviteten av att i princip varje privat vårdgivare, varje landsting och varje kommun ska ta fram informationsmaterial för i princip samma sak.

Vidare kan konstateras att det inte heller med avseende på informationens innehåll finns några uttryckliga krav i patientdata- lagen, förutom att det anges att patienten ska få information om vad den sammanhållna journalföringen innebär. Datainspektionen har i sin praxis bedömt att en vårdgivare åtminstone behöver lämna följande information.8

Ändamålet med den sammanhållna journalföringen.

Vilka uppgifter vårdgivaren avser att tillgängliggöra.

För vilka andra vårdgivare uppgifterna tillgängliggörs.

Vilka förutsättningar som gäller för andra vårdgivares åtkomst till uppgifterna.

Patientens rätt att spärra uppgifter och hur spärrar får hävas.

8 Datainspektionens beslut 2011-02-17, dnr. 590-2010, 591-2010 och 616-2010.

346

SOU 2014:23

En ny sammanhållen journalföring

14.2.4Grundläggande bestämmelse om patienten inte endast tillfälligt saknar förmåga att ta ställning

Vårt förslag: Vårdgivare får en möjlighet att göra person- uppgifter tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen. Detta under förut- sättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling.

Inledning

För en patientsäker hälso- och sjukvård är det i dag mer eller mindre nödvändigt för vårdgivare att vid behov kunna nå viktig information om patienterna i varandras journalsystem. Det gäller inte minst på det lokala planet i den kommun och det landsting patienten bor i. Genom sammanhållen journalföring kan vård- dokumentation, oavsett vilka vårdgivare som är delaktiga i vården av en patient, alltid nås av behörig personal som behöver den i sitt möte med patienten. De allra flesta medborgare väljer att inte motsätta sig att vårddokumentation blir potentiellt tillgänglig för vårdgivare på detta sätt. I den allmänna debatten och vid våra kontakter med patient- och anhörigorganisationer har framkommit att de flesta redan förutsätter att så är fallet, dvs. att den som patienten möter i vården har tillgång till rätt och aktuell informa- tion för säker vård.

Ett problem är dock att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de för- delar det kan medföra i form av ökad kvalitet och patientsäkerhet. En person som i det aktuella avseendet har nedsatt beslutsförmåga kan ju varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet. En möjlighet skulle visserligen kunna vara att låta en legal ställföre- trädare fatta beslut å den enskildes vägnar. I praktiken saknas dock ett sådant ställföreträdarskap som skulle kunna agera i den enskildes ställe i dessa frågor. Det har heller inte bedömts vara möjligt att exempelvis låta en närstående ta emot informationen

347

En ny sammanhållen journalföring

SOU 2014:23

och ge uttryck för den enskildes vilja.9 Därutöver får även antas att inte alla har närstående som har möjlighet att bevaka och utöva den enskildes intressen i sådan utsträckning som skulle krävas för att regelverket skulle ge alla samma förutsättningar.

Sammantaget får det enligt gällande rätt anses oklart om det över huvud taget är möjligt att inkludera vuxna personer som inte endast tillfälligt har nedsatt beslutsförmåga i system för samman- hållen journalföring. Det finns därför stora behov av att lägga förslag som gör de möjligt att använda denna typ av informations- delning för en god och säker vård även för personer med nedsatt beslutsförmåga.

Utredningens delbetänkande SOU 2013:45

Utredningen har i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga, SOU 20013:45, föreslagit ändringar av patientdatalagen som gör det möjligt för personer med nedsatt beslutsförmåga att dra nytta av sammanhållen journalföring. Vi föreslår nu att det förslaget i stället tas in i den hälso- och sjukvårdsdatalag som vi föreslår.

I det följande återges centrala delar av vårt förslag. För ytter- ligare vägledning hänvisas till delbetänkandet.

Vi anser att lagstiftaren måste ta ett särskilt ansvar för den grupp patienter som inte själva kan föra sin information vidare i hälso- och sjukvården. Det gäller inte minst vuxna som av olika skäl och många gånger över tid har en nedsatt beslutsförmåga. Den som på grund av sjukdom, psykisk störning, försvagat hälsotill- stånd eller annat liknande förhållande mer varaktigt saknar besluts- förmåga har i de flesta fall större nytta av att uppgifter finns potentiellt tillgängliga för andra vårdgivare än patienter som själva har möjlighet att berätta viktiga detaljer om sin hälsa i kontakten med hälso- och sjukvården.

I sammanhanget kan uppmärksammas att lagstiftaren när det gäller barn valt att undanta dem från möjligheterna att motsätta sig den sammanhållna journalföringen. Inte heller vårdnadshavaren har i dessa fall rätt att motsätta sig att uppgifter om barn görs till- gängliga. Syftet har varit att göra det möjligt att hålla vård- dokumentation om barn tillgängliga för vårdpersonal hos olika vårdgivare, för att på sådant sätt få bättre möjligheter att upptäcka

9 Se t.ex. Datainspektionens beslut dnr 1048-2012.

348

SOU 2014:23

En ny sammanhållen journalföring

om ett barn far illa. Regeringen ansåg att skyddet för barnet väger tyngre än behovet av skydd för barnets integritet10.

Det går visserligen inte att komma ifrån att ett tillgänglig- görande av uppgifter i system för sammanhållen journalföring kan medföra ökade risker för intrång i den personliga integriteten. Vi bedömer emellertid att behovet av skydd för patientens liv och hälsa väger tyngre än dennes behov av ett sådant skydd för den personliga integriteten som ett exkluderande innebär. I våra kontakter med patient- och anhörigorganisationer framgår det dessutom tydligt att man vill, och redan i dag förutsätter, att viktig information – om alla patienter – ska finnas där den behövs alldeles oavsett om den exempelvis är dokumenterad i kommunens hälso- och sjukvård, på vårdcentralen eller på sjukhuset. Det avgörande ska inte vara i vilken organisation uppgifterna är dokumenterade utan i vilken vårdsituation uppgifterna behövs. Inte minst för den som inte själv kan redogöra för viktiga detaljer kring sitt hälso- tillstånd är det en förutsättning för en god och säker vård.

Vidare bedömer vi att det regelverk vi föreslår för hantering av patienters personuppgifter generellt bidrar till ett starkt integritets- skydd. I hälso- och sjukvårdsdatalagen tydliggörs kraven på vårdens aktörer att vidta tekniska och organisatoriska åtgärder för att tillgodose behovet av skydd för den personliga integriteten. Dessa ska precis som i dag kompletteras med närmare föreskrifter från Socialstyrelsen. Bestämmelser om inre sekretess, om behörig- hetsstyrning, om åtkomstkontroll och om rätt för patienten att få information om åtkomst till sina uppgifter, medför att alla patienter får ett ur lagstiftarens perspektiv starkt grundläggande integritetsskydd. Detta kompletteras och stärks även av att hälso- och sjukvårdspersonalen är skyldiga att tillämpa bestämmelser om sekretess och tystnadsplikt.

Närmare om vårt förslag

För att den som har nedsatt beslutsförmåga ska ha samma möjlig- heter som andra individer att dra nytta av ett mer patientsäkert och effektivt informationsutbyte föreslår vi sammanfattningsvis ett undantag i hälso- och sjukvårdsdatalagen som innebär att vård- givare, under vissa förutsättningar, kan göra personuppgifter till- gängliga i system för sammanhållen journalföring även om patienten

10 Prop. 2007/08:126 s. 115.

349

En ny sammanhållen journalföring

SOU 2014:23

inte kan ta emot information och ta ställning till åtgärden. För- slaget vilar på den grundläggande värderingen om att det på en generell nivå är det bästa för den enskildes liv, hälsa och livskvalitet. Vi bedömer att det ligger i den enskildes intresse att t.ex. primär- vårdsläkaren har möjlighet att ta del av den information som behövs från det särskilda boendet eller från sjukhuset för att göra bästa möjliga ställningstaganden för den enskildes vård och behandling. Dessutom vårdas ofta individer med nedsatt besluts- förmåga växelvis hemma, på sjukhus, på vårdcentraler och i olika former av särskilda boenden. Sammanhållen journalföring är därför en nödvändig förutsättning för att alla dessa berörda, offentliga som privata vårdgivare, ska kunna ge den enskilde en god och säker vård.

Från lagstiftningens nuvarande krav på information och möjlig- het att motsätta sig sammanhållen journalföring undantas således vuxna som inte endast tillfälligt saknar förmåga att ta ställning till saken. Genom vårt förslag till undantag görs detta informations- utbyte möjligt för alla patienter. Det ska inte göras på samma, men på ett liknande sätt som redan gäller för barn. Till skillnad mot vad som gäller för barn ska inte möjligheten att tillgängliggöra upp- gifter vara helt utan undantag. Om det är uppenbart att den enskilde skulle ha motsatt sig tillgängliggörandet, får uppgifterna inte göras tillgängliga för andra vårdgivare.

För patienter, närstående, vårdgivare och personal som arbetar i hälso- och sjukvården är det viktigt att det så långt möjligt är tydligt när en personuppgiftsbehandling är laglig och när den inte är det. Bland annat av den anledningen bedömer vi att det ska vara uppenbart att den enskilde skulle ha motsatt sig tillgängliggörandet för att en sådan personuppgiftsbehandling inte ska få genomföras. Vi bedömer även att det ligger i linje med den värdering lagstiftaren gjort vad gäller patienter som har förmåga att ta ställning till personuppgiftsbehandlingen. Där är det upp till den patient som inte önskar medverka i system för sammanhållen journalföring som har ett ansvar för att aktivt motsätta sig detta.

Närmare om betydelsen av patientens inställning m.m.

I linje med de grundläggande bestämmelserna i hälso- och sjuk- vårdslagen (1982:763), förkortad HSL, om att all hälso- och sjuk- vård ska bygga på respekt för patientens självbestämmande och

350

SOU 2014:23

En ny sammanhållen journalföring

integritet har en vårdgivare att beakta vad som är känt om den enskildes inställning i den aktuella frågan. Om det för vårdgivaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring, ska ett tillgänglig- görande av personuppgifter inte kunna göras med stöd av den bestämmelse vi föreslår. Sådana omständigheter kan exempelvis utgöras av att vårdgivaren känner till eller får kännedom om att den enskilde motsatt sig sammanhållen journalföring i annat, liknande, sammanhang. Det kan även handla om att närstående lämnar väl- grundad information om saken, exempelvis i samband med vård- planering eller inflyttning på särskilt boende eller inför planerad hälso- och sjukvård. För vårdgivarna är det därför viktigt att i dessa olika möten med patienter och närstående informera om samman- hållen journalföring och försöka ta reda på ifall den enskilde skulle ha motsatt sig det.

Närstående har ingen formell rätt att besluta i den enskildes ställe, utan det är hälso- och sjukvårdspersonalen hos vårdgivaren som ska ta ställning till personuppgiftsbehandlingen. Närståendes uppfattning om patientens inställning kan dock vara vägledande. I dessa fall handlar det således om att hälso- och sjukvårdspersonalen har att göra en bedömning som liknar den som ändå alltid görs för att kunna ge vård och behandling åt en person med nedsatt besluts- förmåga. Den personuppgiftsbehandling som ett tillgängliggörande innebär ska därmed göras utifrån vad som är känt om den enskildes inställning och hälso- och sjukvårdspersonalens bedömning av vad som är det bästa för den enskilde. Om det är uppenbart att den enskilde skulle ha motsatt sig den sammanhållna journalföringen, ska uppgifterna inte få göras tillgängliga för andra vårdgivare på det sättet.

För att enskilda och närstående ska känna till att en vårdgivare ingår i system för sammanhållen journalföring är det nödvändigt för vårdgivaren att på olika sätt tillhandahålla information. Som anförts i det föregående bör det förutom riktad information vid möten med patienter och närstående och i samband med kallelser till vård, hållas information tillgänglig exempelvis på hemsidor och i sjukvårdens lokaler. Eftersom sammanhållen journalföring fort- farande är under utveckling och sannolikt ännu inte är allmänt känt bland medborgarna, bör vårdgivare dessutom med jämna mellan- rum aktivt tillhandahålla information. Det kan exempelvis göras i länstidningar som går ut till alla hushåll, vilket bl.a. Data- inspektionen har lyft fram i sina tillsynsärenden. Det skulle öka

351

En ny sammanhållen journalföring

SOU 2014:23

medvetenheten hos patienter och närstående och därmed även stärka deras ställning. Sannolikheten för att personer med en beslutsförmåga som varierar över tiden ska få reda på vad samman- hållen journalföring innebär och vilka rättigheter man har som patient, ökar även om information tillhandahålls kontinuerligt och på olika sätt. Sådana personer ges då ökade möjligheter att tillvarata sina rättigheter under perioder när förmågan att ta ställning till frågor om sammanhållen journalföring finns.

Många personer som i dag har en mer varaktigt nedsatt besluts- förmåga får sitt hälso- och sjukvårdsbehov tillgodosett både av kommunal- och landstingsfinansierad hälso- och sjukvård. I den samverkan är sammanhållen journalföring i dagsläget inte infört i lika stor utsträckning som det är mellan olika landstingsfinan- sierade vårdgivare, t.ex. i primärvården. De flesta kommuner och landsting utbyter i dag inte uppgifter genom sammanhållen journalföring. Däremot pågår ett sådant införande över hela landet i och med att fler och fler landsting och kommuner ansluter sig till den nationella patientöversikten, NPÖ. En målsättning med det är att öka patientsäkerheten genom att se till att rätt information om exempelvis äldre patienter med nedsatt beslutsförmåga finns tillgänglig både hos primärvårdsläkaren, på sjukhuset, i det särskilda boendet och i hemsjukvården. I samband med denna utveckling och i samband med anslutning till NPÖ borde det enligt vår mening finnas goda förutsättningar för vårdgivarna att infor- mera patienter och deras närstående om detta och sedan – om det inte är uppenbart att den enskilde skulle ha motsatt sig – göra det möjligt att dela den enskildes information genom sammanhållen journalföring.

Utredningens förslag innebär således inget uttryckligt krav på vårdgivare att försöka klarlägga patientens inställning till med- verkan i sammanhållen journalföring. Eftersom det i dag inte finns något krav på att informera varje patient individuellt har vård- givaren inte heller alltid någon kännedom om den enskildes beslutsförmåga i det ögonblick uppgifterna görs tillgängliga i system för sammanhållen journalföring. Ett sådant krav skulle, enligt vår bedömning, i praktiken vara mycket svårt att leva upp till. Inte minst för många av de landstingsfinansierade vårdgivarna som står i begrepp att ansluta sig till system för sammanhållen journal- föring. Det innebär att uppgifter kan göras tillgängliga i system för sammanhållen journalföring om vårdgivaren inte äger kännedom om patientens beslutsförmåga, under förutsättning att det för vård-

352

SOU 2014:23

En ny sammanhållen journalföring

givaren inte är uppenbart att patienten skulle ha motsatt sig. I situationer där det är praktiskt möjligt bör bedömningen av patientens beslutsförmåga emellertid ske i samband med att det blir aktuellt att tillgängliggöra personuppgifterna i systemet för sammanhållen journalföring. En sådan situation kan exempelvis uppstå i samband med att en patient med nedsatt beslutsförmåga vänder sig till en ny vårdgivare för första gången eller i samband med att en vårdgivare inom den kommunala hälso- och sjukvården står inför att göra uppgifter om patienter i särskilda boenden till- gängliga i system för sammanhållen journalföring för första gången.

14.2.5Patientens rätt att motsätta sig sammanhållen journalföring

Vårt förslag: Bestämmelser som ger uttryck för patientens rätt att motsätta sig sammanhållen journalföring samt konsekvenserna av detta m.m. ska samlas i en egen paragraf. Vårdgivare får inte göra uppgifter tillgängliga i system för sammanhållen journal- föring om en patient motsätter sig detta. Sådana uppgifter får inte vara tekniskt åtkomliga för andra vårdgivare. Uppgift om att patienten motsatt sig samt uppgift om vilken vårdgivare som har ansvarar för uppgifterna får dock göras tillgängliga. Vidare kan en patient när som helst begära att den vårdgivare som ansvarar för uppgifterna, som inte har gjorts tillgängliga, gör dessa tillgängliga i systemet för sammanhållen journalföring. Vårdgivare får inte tillgodose patientens begäran om att mot- sätta sig eller att göra uppgifter tillgängliga igen, utan att patientens identitet har säkerställts. Paragrafen ska även inne- hålla en hänvisning till en annan bestämmelse som begränsar patientens rätt att motsätta sig att vissa uppgifter görs till- gängliga i system för sammanhållen journalföring.

Vår bedömning: Vårt förslag innebär, med ett undantag, ingen förändring i sak jämfört med vad som gäller i dag. Den förändring vi föreslår består av ett uttryckligt krav på vårdgivare att säkerställa patientens identitet enligt ovan. I övrigt innebär förslaget att begreppet spärr mönstras ut från regelverket om sammanhållen journalföring. Detta för att bättre uttrycka att uppgifter om en patient som motsätter sig sammanhållen

353

En ny sammanhållen journalföring

SOU 2014:23

journalföring över huvud taget inte är tekniskt åtkomliga för andra vårdgivare. Sådana uppgifter går således inte att ta del av med direktåtkomst i en nödsituation.

I den nuvarande bestämmelsen i 6 kap. 2 § PDL uttrycks även patientens rätt att motsätta sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och vilka konsekvenser en sådan spärr medför. För att bättre lyfta fram patientens rättighet bör den enligt utredningens bedömning vara enkel att hitta i lagen. Därför föreslår vi att bestämmelsen regleras i en egen paragraf under en egen rubrik En patients rätt att motsätta sig sammanhållen journalföring.

Vårt förslag innebär, med ett undantag, inte några förändringar i sak jämfört med vad som gäller i dag och överensstämmer med vad regeringen anförde i denna del i förarbetena till patientdatalagen.11

Den förändring utredningen föreslår är att vårdgivare ska säker- ställa patienternas identitet i samband med att patienter motsätter sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och när samma patienter sedan begär att sådana upp- gifter ändå ska göras tillgängliga.

Patientens rätt att motsätta sig

Patientens rätt att motsätta sig innebär som tidigare nämnts inget krav på vårdgivaren att inhämta ett aktivt samtycke från patienten till att uppgifter görs tillgängliga i system för sammanhållen journalföring. Det innebär i stället att patienten har en rätt att mot- sätta sig att uppgifterna tillgängliggörs efter att ha blivit informerad om den sammanhållna journalföringen. Det är således ett ansvar för den patient som inte vill att uppgifter görs tillgängliga att ta initiativ och meddela vårdgivaren detta.

Denna lösning ger uttryck för vad man kan kalla för en opt-out- modell eller, om man så vill, en ordning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga för andra vårdgivare. Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska journalsystemet. Det innebär bara att uppgifterna

11 Se framför allt prop. 2007/08:126 s. 112–115 och s. 248–250.

354

SOU 2014:23

En ny sammanhållen journalföring

på den enskildes begäran inte får vara åtkomliga hos andra vård- givare.12

Innebörd och konsekvenser av att patienten motsätter sig sammanhållen journalföring

En patient har i dag rätt att välja att helt stå utanför sammanhållen journalföring. I sådant fall får en vårdgivare inte göra vård- dokumentation tillgänglig för andra vårdgivare. Samtidigt finns det inget hinder mot att vårdgivare gör det möjligt för patienter att själva välja om vissa uppgifter inte ska göras tillgängliga och vissa ska göras tillgängliga för andra vårdgivare i systemet för samman- hållen journalföring. Det finns heller inget hinder mot att vård- givare gör det möjligt för patienter att motsätta sig att uppgifter görs tillgängliga endast i förhållande till någon eller några av de vårdgivare som deltar i systemet. Vilka möjligheter som i dessa avseenden ska erbjudas patienterna är dock upp till vårdgivarna att avgöra.

Vårt förslag innebär att patientens rätt att motsätta sig att uppgifter görs tillgängliga i stort förs över oförändrade till hälso- och sjukvårdsdatalagen. Samtidigt kommer vi längre fram att redo- göra för ett förslag som begränsar patientens möjligheter att motsätta sig att vissa uppgifter görs tillgängliga i system för sammanhållen journalföring. Det handlar om vissa uppgifter om ordinerade läkemedel och om s.k. varningsinformation.

Utredningens förslag innebär vissa språkliga förändringar jäm- fört med vad som uttrycks i patientdatalagen. Vi föreslår exempel- vis att begreppet spärr utmönstras ur kapitlet med bestämmelser om sammanhållen journalföring. Detta eftersom ordet spärr, enligt vår bedömning, inte ger en helt rättvisande bild av vad det egentligen handlar om. Konsekvenserna av att patienten motsätter sig är i dag och även med vårt förslag att uppgifterna inte får göras tillgängliga i system för sammanhållen journalföring. Andra vårdgivare har således ingen direktåtkomst till uppgifterna och personal hos andra vårdgivare kan inte läsa uppgifterna.13 Regeringen uttalade bland annat följande i förarbetena.14

12Prop. 2007/08:126 s. 249.

13Prop. 2007/08: 126 s. 249.

14Prop. 2007/08: 126 s. 123.

355

En ny sammanhållen journalföring

SOU 2014:23

För det fall en patient motsätter sig att uppgiften görs tillgänglig för andra vårdgivare genom sammanhållen journalföring, ska uppgiften spärras. Den får då inte göras elektroniskt tillgänglig för andra vård- givare. Spärrade uppgifter blir alltså inte allmänna handlingar hos andra myndigheter som är anslutna till sammanhållen journalföring.

Spärrar i system för sammanhållen journalföring är således hårda, eller absoluta, i den meningen att uppgifterna är tekniskt oåtkomliga. Mot den bakgrunden anser vi att det inte är helt ändamålsenligt att tala om att uppgifterna är spärrade, det finns helt enkelt inte med i systemet. Det innebär exempelvis att uppgifterna inte ens går att nå med direktåtkomst i en nödsituation. Detta följer redan av dagens regelverk och kan exempelvis jämföras med en patient som motsätter sig medverkan i ett nationellt kvalitets- register. På samma sätt finns sådana uppgifter över huvud taget inte registrerade i det aktuella kvalitetsregistret.

Mot den bakgrunden anser vi att begreppet spärr ska bytas ut och att det av lagen uttryckligen ska framgå att uppgifter inte är teknisk åtkomliga för andra vårdgivare om patienten motsatt sig medverkan i sammanhållen journalföring. Utredningen har under arbetets gång upplevt att det finns en viss osäkerhet i hälso- och sjukvården när det gäller denna innebörd av att inte medverka i system för sammanhållen journalföring. Inte sällan synes vård- givare tro att uppgifterna som enligt de nuvarande bestämmelserna är spärrade går att nå t.ex. i en nödsituation. Så är emellertid inte fallet. I en nödsituation får uppgifterna i stället lämnas ut av den vårdgivare som ansvarar för dem. En spärr i sammanhållen journal- föring kan således inte forceras av den som behöver uppgifterna.

Detta är en skillnad jämfört med vad som i dag gäller för spärrar inom en vårdgivares verksamhet och jämfört med vad vi föreslår gälla för spärrar mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för. I sådana situationer innebär en spärr inte att uppgifterna görs tekniskt oåtkomliga på sätt som är fallet vid sammanhållen journalföring. Inom en vårdgivares verk- samhet kan den som har behov av uppgifterna för att kunna utföra sitt arbete t.ex. i en nödsituation själv en möjlighet att forcera spärren och ta del av de aktuella uppgifterna. Även för att bättre tydliggöra denna skillnad mellan konsekvensen att å ena sidan mot- sätta sig sammanhållen journalföring och å andra sidan begränsa åtkomst inom en vårdgivarens verksamhet, är det lämpligt att begreppet spärr ersätts i kapitlet med sammanhållen journalföring.

356

SOU 2014:23

En ny sammanhållen journalföring

Sammantaget innebär detta att en vårdgivare inte får göra uppgifter tillgängliga i system för sammanhållen journalföring, om en patient motsätter sig detta. Sådana uppgifter får inte vara tekniskt åtkomliga för andra vårdgivare.

Uppgift om att patienten motsatt sig och vilken vårdgivare som ansvarar för uppgiften får göras tillgängliga

Av nu gällande bestämmelse följer att det i system för samman- hållen journalföring däremot får ingå en uppgift om att det finns spärrade uppgifter om en patient och uppgift om vilken vårdgivare som har spärrat uppgifterna. Regeringen anför i förarbetena att syftet med detta är att kännedomen om att det finns spärrade upp- gifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation.15 Vårt förslag innebär att denna bestämmelse förs över till hälso- och sjukvårds- datalagen, men att språkliga justeringar görs med hänsyn till att begreppet spärr utmönstras.

Det innebär att det i system för sammanhållen journalföring även fortsättningsvis får finnas en uppgift om att patienten motsatt sig och en uppgift om vilken vårdgivare som ansvarar för upp- gifterna. För att hälso- och sjukvårdspersonal i en enskild situation ska få ta del av den sistnämnda uppgiften, dvs. hos vilken vård- givare uppgifterna finns, krävs att särskilda förutsättningar är upp- fyllda. Se i det följande om våra förslag som rör åtkomst till uppgifter i system för sammanhållen journalföring.

Uppgifter om ordinerade läkemedel och varningsinformation undantas från patientens möjlighet att motsätta sig sammanhållen journalföring

Enligt utredningens förslag får patienten, med två undantag, motsätta sig att vilka uppgifter som helst som har dokumenterats för ändamålet vårddokumentation görs tillgängliga i system för sammanhållen journalföring. Undantagen består av uppgifter om ordinerade läkemedel och s.k. varningsinformation. Utredningen redogör i avsnitt 15 och 16 för våra överväganden och förslag rörande undantag från patientens möjlighet att motsätta sig för

15 Prop. 2007/08: 126 s. 249.

357

En ny sammanhållen journalföring

SOU 2014:23

uppgifter om ordinerade läkemedel och uppgifter om varnings- information som kan medföra allvarlig risk för patientens liv eller hälsa.

Sammantaget innebär utredningens förslag i de delarna att patienten inte får motsätta sig att uppgifter om ordinerade läke- medel och varningsinformation görs tillgängliga i system för sammanhållen journalföring. Det innebär emellertid endast att uppgifterna får vara tekniskt åtkomliga, dvs. potentiellt tillgängliga. För att hälso- och sjukvårdspersonal ska få ta del av sådana upp- gifter gäller samma krav som gäller för åtkomst till andra uppgifter i system för sammanhållen journalföring. Att patientens spärr- möjligheter i dessa delar tas bort innebär därmed ingen ökad rätt för vårdgivare att behandla personuppgifterna genom direkt- åtkomst.

Patientens rätt att begära att uppgifter görs tillgängliga igen

Precis som i dag gäller enligt 6 kap. 2 § PDL föreslår vi att patientens rätt att när som helst begära att en spärr hävs ska anges i hälso- och sjukvårdsdatalagen. Bestämmelsen behöver dock justeras språkligt eftersom begreppet spärr utgår. Bestämmelsen innebär att patienten när som helst kan vända sig till den vårdgivare som har tillgodosett patientens önskan att inte medverka i sammanhållen journalföring och begära att uppgifterna görs åtkomliga.

Vårdgivaren ska säkerställa patientens identitet

En vårdgivare har ett ansvar för att kontrollera att patienten är den han eller hon utger sig för att vara och att önskemålen om att motsätta sig sammanhållen journalföring avser de egna uppgifterna. I syfte att reducera risker för att det blir fel, t.ex. att fel patients uppgifter görs tekniskt oåtkomliga eller att den som utger sig för att vara patienten helt enkelt är någon annan, föreslår vi att det införs ett uttryckligt förbud för vårdgivaren att tillgodose patientens önskemål utan att patientens identitet har säkerställts.

Vi menar att det är av grundläggande betydelse att det så långt möjligt inte blir fel med avseende på medverkan i sammanhållen journalföring, inte minst eftersom ett motsättande innebär att upp-

358

SOU 2014:23

En ny sammanhållen journalföring

gifterna inte finns tekniskt tillgängliga för andra vårdgivare att ta del av.

När det gäller tillvägagångssättet för att säkerställa en patients identitet så anser vi inte att det i lagen ska uppställas några särskilda krav. I hälso- och sjukvården finns redan i dag i ett flertal samman- hang krav på att säkerställa identiteten, exempelvis genom legiti- mering fysiskt eller elektroniskt genom e-legitimation. Det före- kommer naturligtvis även att personal i ett fysiskt möte med patienter redan har en sådan kännedom om patientens identitet att en närmare identitetskontroll inte är befogad. Vi menar att de sätt på vilka hälso- och sjukvården i dag säkerställer patienternas identiteter även kan användas i det här aktuella sammanhanget om att tillgodose patientens önskan och rättigheter.

Som exempel på tillvägagångsätt som kan vara mindre lämpliga kan e-post och telefon nämnas. Om en sådan kommunikation inte görs på ett sådant sätt att patientens identitet är säkerställd är det i regel svårt, för att inte säga omöjligt, att veta vem som döljer sig bakom en e-postadress eller en telefonröst. Av den anledningen anser vi att sådana metoder bör användas med försiktighet.

I sammanhanget kan noteras att vi i det föregående har redovisat motsvarande förslag vid sådana spärrar som kan aktualiseras inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.

14.2.6Förbud för vårdnadshavare att motsätta sig sammanhållen journalföring

Vårt förslag: Förbudet för vårdnadshavare att motsätta sig att uppgifter om barn görs tillgängliga i system för sammanhållen journalföring ska överföras från patientdatalagen, men regleras i en egen paragraf. I paragrafen ska erinras om att vårdgivaren ska ge ett barn möjlighet att själv ta ställning till tillgängliggörandet av uppgifter i takt med barnets stigande ålder och mognad.

I den svårgenomträngliga bestämmelsen i 6 kap. 2 § PDL om regler vid tillgängliggörande av uppgifter genom sammanhållen journal- föring uttrycks även att vårdnadshavare till ett barn inte kan spärra uppgifter om barnet. Bestämmelsen tillkom på regeringens initiativ efter att flera organisationer i samband med remissyttranden på

359

En ny sammanhållen journalföring

SOU 2014:23

patientdatautredningens betänkande pekat på behovet av ett förbud i denna del. Regeringen uttryckte bland annat följande i samman- hanget.16

Flera av experterna i utredningen och en majoritet av remiss- instanserna har uttryckt oro för att utredningens förslag, som ger vårdnadshavare rätt att spärra uppgifter i sina barns journal, kan med- föra att vårdpersonalen inte upptäcker barn som far illa och fall där anmälningsskyldighet föreligger enligt socialtjänstlagen. Mot bakgrund av detta anser regeringen att skyddet för barnet väger tyngre än skyddet för den enskildes, i detta fall barnets, integritet. Regeringen föreslår därför en regel som innebär att vårdnadshavare inte har rätt att spärra uppgifter i sina barns journal. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslår regeringen inte några särskilda bestämmelser. Barn och ung- domar bör hanteras på motsvarande sätt som i den övriga verksam- heten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja, om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte, se 6 kap. 11 § föräldrabalken.

Utredningen har funnit att övervägande skäl talar för att förbudet mot vårdnadshavare att motsätta sig att uppgifter om barnet görs tillgängliga i system för sammanhållen journalföring bör föras över till hälso- och sjukvårdsdatalagen. Även om det rent faktiskt inne- bär ett väsentligt sämre integritetsskydd för barn i förhållande till vad som är fallet för andra patientgrupper, gör vi liksom regeringen bedömningen att skyddet för barnets liv och hälsa i detta fall väger tyngre. Samtidigt finns det anledning att påminna om att samman- hållen journalföring är en frivillig form av informationsöverföring. Den som har för avsikt att göra uppgifter tillgängliga på detta sätt bör alltid överväga om det är en åtgärd som behövs och i övrigt är lämplig. Det kan även finnas behov av att göra en närmare analys av vilka uppgifter som det generellt sett finns behov av att utbyta genom direktåtkomst. Det gäller även uppgifter som rör barn.

Såväl för vårdnadshavare och barn som för hälso- och sjukvårds- personal är det viktigt att denna begränsning i rätten att motsätta sig att uppgifter görs tillgängliga genom direktåtkomst uttrycks på ett tydligt sätt och är enkel att hitta i lagen. Därför föreslår vi att bestämmelsen regleras i en egen paragraf under en egen rubrik

Förbud för vårdnadshavare att motsätta sig.

16 Prop. 2007/08: 126 s. 115.

360

SOU 2014:23

En ny sammanhållen journalföring

Vidare har det kommit till utredningens kännedom att det finns en osäkerhet kring detta förbuds omfattning i förhållande till barnet själv. Regeringen uttrycker i förarbetena, som nämns ovan, att barnet i takt med stigande ålder och mognad själv ska få spärra uppgifterna. I syfte att öka tydligheten och stärka barns ställning anser vi att denna princip bör framgå direkt av lagen. Därför föreslår vi en påminnelse om att vårdgivaren, i takt med ett barns stigande ålder och mognad, ska ge barnet möjlighet att själv ta ställning till medverkan i system för sammanhållen journalföring. Någon bestämd åldersgräns för när ett barn ska anses kunna ta ställning till sammanhållen journalföring går inte att fastslå, utan bör hanteras på samma sätt som andra liknande frågor i hälso- och sjukvården. I sammanhanget kan noteras att Datainspektionen ibland har uttryckt att barn som nått en ålder av 15 år normalt har förutsättningar att ta ställning till frågor om personuppgifts- behandling. Vi ansluter oss till den uppfattningen men bedömer samtidigt att det, beroende på barnets individuella förutsättningar, kan finnas många barn som är yngre än så och som kan anses ha nått en sådan mognadsgrad som krävs för att ta ställning till frågan om sammanhållen journalföring. Inte minst barn som har mycket kontakter med hälso- och sjukvården, exempelvis på grund av en kronisk sjukdom, kan ha särskilda förutsättningar att förfoga över sitt integritetsskydd i detta sammanhang. Det är därför alltid viktigt att vårdgivare skapar utrymme och möjligheter att göra individuella bedömningar för att så långt möjligt tillgodose barns rätt till självbestämmande och integritet.

En förutsättning för att barn och unga ska ha en reell möjlighet att förfoga över sina rättigheter är naturligtvis att de, precis som vuxna, får information om sammanhållen journalföring och rätten att motsätta sig. Vårdgivare behöver därför anpassa information och arbetssätt för att tillgodose barnets rätt till information.

361

En ny sammanhållen journalföring

SOU 2014:23

14.3Våra överväganden och förslag om åtkomst till uppgifter i sammanhållen journalföring

14.3.1Våra inledande reflektioner kring gällande rätt

Vår bedömning: Regelverket för åtkomst till uppgifter i system för sammanhållen journalföring har gett upphov till tillämp- ningsproblem och osäkerhet om betydelsen av de grundlägg- ande villkoren för åtkomst. Det bör övervägas hur regelverket kan utformas för att bli tydligare och lättare att tillämpa för hälso- och sjukvårdspersonalen. Vidare bör övervägas om den nuvarande ändamålsbegränsningen för åtkomst till uppgifter hos andra vårdgivare är lämplig med hänsyn till behovet av att kvalitetssäkra den hälso- och sjukvård patienterna får. Dessutom kan ifrågasättas om det nuvarande kravet på samtycke är ändamålsenligt och om det kan anses vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), förkortad PUL.

Vid sammanhållen journalföring enligt 6 kap. patientdatalagen är de tillåtna ändamålen för behandling av patientuppgifter begränsade. Det är enbart tillåtet att ta del av andra vårdgivares uppgifter för ändamål som rör vård och behandling samt för att utfärda intyg. Vidare krävs att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med samt att patienten samtycker till att uppgifterna används. Dessa förutsättningar regleras i dag i 6 kap. 3 § PDL på följande sätt.

För att en vårdgivare ska få behandla uppgifter som en annan vård- givare gjort tillgängliga i systemet med sammanhållen journalföring enligt 2 § fjärde stycket krävs att

1.uppgifterna rör en patient som det finns en aktuell patientrelation med,

2.uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso-och sjuk- vården, och

3.patienten samtycker till det.

Vårdgivaren får även behandla sådana uppgifter om

1.uppgifterna rör en patient som det finns eller har funnits en patient- relation med,

2.uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 16 §, och

3.patienten samtycker till det.

362

SOU 2014:23

En ny sammanhållen journalföring

Till skillnad från informationshanteringen inom en vårdgivares verksamhet, får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. Det innebär bl.a. att det i dag inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitets- säkra den egna verksamheten. I detta syfte får endast uppgifter som redan finns i den egna verksamheten användas. Under utredningens arbete har det i flera sammanhang blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Sådana behov kan exempel- vis finnas i vårdprocesser där flera vårdgivare arbetar tätt till- sammans i vården av patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten på sina insatser kan det finnas behov av att ta del av uppgifter om patienten som dokumenterats av någon av de andra vårdgivarna i vårdprocessen. Mot bakgrund av detta finns det anledning att överväga om den nuvarande ändamålsbegränsningen är helt ändamålsenlig eller om det finns skäl att förbättra möjligheterna för vårdgivare att kvalitetssäkra sin verksamhet och patienternas processer.

Vidare är det intressant att notera att bestämmelserna om tillåtna ändamål och tillåten behandling vänder sig till vårdgivaren som sådan. Vårdgivaren är den myndighet eller det företag som bedriver hälso- och sjukvård. Om man läser bestämmelsen i 6 kap. 3 § PDL ordagrant är det således vårdgivaren som ska ha en aktuell patientrelation och som ska bedöma om uppgifterna kan antas ha betydelse för vården av patienten.

Rekvisitet ”kan antas ha betydelse...”

Det kan vara rimligt att ge vårdgivaren ett ansvar för att begränsa behandlingen av uppgifter från en annan vårdgivare till uppgifter om enskilda som faktiskt är patienter hos vårdgivaren (patient- relation). Men det är sannolikt inte praktisk möjligt för en vård- givare som sådan att ta ställning till om uppgifterna kan antas ha betydelse för vård i det enskilda fallet. Här kan man anta att lagstiftaren inte helt och fullt har hållit isär vilka skyldigheter som lämpligen bör ligga på vårdgivaren och vilka som bör ligga på hälso- och sjukvårdspersonalen i samband med användning av upp- gifterna.

363

En ny sammanhållen journalföring

SOU 2014:23

Även när patientdatautredningen i sitt huvudbetänkande beskriver tillämpningen av andra punkten i bestämmelsen, som handlar om att bedöma om uppgifterna har betydelse för vården av patienten växlar utredningen från att vända sig direkt till vårdgivaren till att vända sig till en befattningshavare.17 En ortoped används som exempel på befattningshavare. Det innebär att utredningen sannolik har avsett att det är hälso- och sjukvårdspersonalen eller andra som arbetar åt en vårdgivare som ska tillämpa bestämmelsen. Det framstår också som det som är praktisk genomförbart. Det är den som ska erbjuda vård som kan bedöma om uppgifterna behövs. Valet av vårdgivare som subjekt i denna bestämmelse har, åtminstone i det avseendet, inte varit helt stringent.

Uttalanden i förarbetena tyder även på att regeringen inte haft för avsikt att ge vårdgivaren ett ansvar för en sådan prövning av uppgifternas betydelse. Bestämmelsen bör snarare ses som ett uttryck för att direktåtkomsten till andra vårdgivares uppgifter inte får användas för andra syften än vård och behandling, dvs. en grundläggande bestämmelse om tillåtna ändamål för person- uppgiftsbehandlingen.18 Mot denna bakgrund har bestämmelsen enligt vår mening fått en olycklig utformning, vilket sannolikt är en av anledningarna till de tillämpningsproblem som finns när det gäller den aktuella bestämmelsen.

Begreppet patientrelation

Patientdatautredningen anför att kravet på att vårdgivaren ska ha en aktuell patientrelation med den enskilda patienten i fråga inte är en bestämmelse om inre sekretess utan anger under vilka förut- sättningar vårdgivaren som sådan får använda den direktåtkomst som vårdgivaren medgetts genom den sammanhållna journal- föringen.19 På så sätt begränsas den lagliga räckvidden, i förhållande till den faktiska tillgången till andra vårdgivares uppgifter, till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Patientdatautredningen menar att det på så sätt tydliggörs att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig till- gång till vårddokumentation avseende en annan patient som vårdas

17SOU 2006:82 s. 302.

18Prop. 2007/08:126 s. 252.

19SOU 2006:82 s. 301.

364

SOU 2014:23

En ny sammanhållen journalföring

hos en annan vårdgivare, t.ex. en nära släkting med samma sjuk- domsdiagnos. Denna motivering kan emellertid ifrågasättas eftersom det även finns ett krav på samtycke från patienten innan vårdgivaren får tillgodogöra sig journalinformation från en annan vårdgivare. Journalinformation avseende en annan patient skulle alltså hur som helst inte få inhämtas utan samtycke.

Det bör understrykas att det är vårdgivaren som sådan som ska ha en aktuell patientrelation, inte hälso- och sjukvårdspersonalen. Utredningens erfarenhet är att det finns en osäkerhet kring detta såväl hos hälso- och sjukvårdspersonal som hos vårdgivarnas ledning. Inte sällan uttrycker personalen en tveksamhet inför att ta del av uppgifter om en patient eftersom de inte har träffat patienten och därmed inte upplever sig ha en patientrelation. Det är mot den bakgrunden angeläget att för olika nivåer i verksamheten tydliggöra att patientrelationen i första hand uppstår i förhållande till vårdgivaren, inte i förhållande till den enskilda hälso- och sjuk- vårdspersonalen.

En patientrelation kan t.ex. uppstå genom att patienten bokar ett besök, kommer till en vårdinrättning och söker vård, remitteras till vårdgivaren, kommer på planerat besök, vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. En patientrelation kan uppstå på en mängd olika sätt. Den behöver inte uppstå genom ett fysiskt möte med personal hos en vårdgivare. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en aktuell patientrelation med den patient som omfattas av remissen.

Att det föreligger en aktuell patientrelation hos en viss vård- givare har däremot ingenting att göra med vilken personal som har rätt att ta del av uppgifter om patienten. Den senare frågan styrs, precis som vid åtkomst av uppgifter i den egna verksamheten, framför allt av personalens behov i förhållande till deras arbets- uppgifter och deltagande i vården och behandlingen av patienten.

Likväl som att en patientrelation kan uppstå på många olika sätt, kan relationen även avslutas på olika sätt. Om en person som vårdats inneliggande på sjukhus skrivs ut utan att det finns behov av några återbesök, efterkontroller eller liknande bör patient- relationen inte längre betraktas som aktuell. På motsvarande sätt upphör den aktuella patientrelationen när en person inte längre är i behov av hemsjukvård eller andra sjukvårdsinsatser i den kommu- nala hälso- och sjukvården.

365

En ny sammanhållen journalföring

SOU 2014:23

Som redovisats ovan innebär kravet på aktuell patientrelation att den legala åtkomsten begränsas, i förhållande till den faktiska tillgången till andra vårdgivares information, till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksam- heten.20 Enligt utredningens uppfattning kan det i viss utsträckning vara möjligt att bygga in integritetsskyddande och behörighets- begränsande funktioner i it-systemen som gör att vårdgivarens relation med patienten kan kontrolleras automatiskt. Ett sätt att göra det kan vara att ta fram tekniska funktioner som gör att en vårdgivare inte når uppgifter om en patient i ett system för sammanhållen journalföring om inte patienten redan är registrerad hos vårdgivaren, dvs. har en patientjournal upprättad i vårdgivarens verksamhet. Vid en slagning mot systemet för sammanhållen journalföring kan därmed en kontroll göras mot vårdgivarens eget vårddokumentationssystem för att verifiera att patienten är aktuell i verksamheten. En sådan funktion kan exempelvis bidra till att en kommunal vårdgivare inte har teknisk möjlighet att ta del av uppgifter om andra patienter än de som är föremål för kommunens hälso- och sjukvård, t.ex. i särskilda boende eller i hemsjukvården. Genom sådana tekniska funktioner minskas risken för obehörig åtkomst samtidigt som systemet gör det lättare för yrkesutövarna att göra rätt. Inom ramen för utvecklingen av den Nationella Patientöversikten, NPÖ, har exempelvis en liknande funktion kallad ”tillgänglig patient”, TGP, framtagits. Såvitt utredningen förstår syftar den tekniska funktionen, TGP, till att begränsa urvalet av patienter som vårdpersonalen över huvud taget kan ta del av i NPÖ till att motsvara de patienter som redan finns registrerade i verksamheten.

Kravet på patientens samtycke

Den tredje förutsättningen, samtycke från patienten, innebär att ett samtycke från patienten ska finnas för att vårdgivaren ska få ta del av uppgifter i systemet för sammanhållen journalföring. Det ska vara fråga om ett aktivt samtycke från patienten sida. För att vara giltigt ska det även vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara frivilligt ger uttryck för att patienten ska ha ett fritt val. Att samtycket ska vara särskilt innebär att det inte får vara för generellt eller oprecist. Patienten ska kunna förstå vad samtycket

20 SOU 2006:82 s. 567.

366

SOU 2014:23

En ny sammanhållen journalföring

handlar om och omfattar. Kravet på att samtycket ska vara otvetydigt innebär att det inte får råda någon tvekan om att patienten verkligen godtar informationsinhämtningen.

Ett sådant samtycke kan lämnas på många olika sätt och vid flera olika typer av situationer. Samtycket kan exempelvis lämnas inför en kontakt med en vårdgivare, dvs. på förhand, eller i den stund patienten har fysisk eller elektronisk kontakt med vård- givaren och dess personal. I samband med att en patient remitteras till en annan vårdgivare kan det till exempel vara smidigt att inhämta patientens samtycke till att remissmottagaren får ta del av vårdgivarens uppgifter om patienten redan då remissen skrivs. Samtycket följer då med remissen och den som tar emot remissen kan förbereda sig för att ta emot patienten genom att ta del av de uppgifter i systemet för sammanhållen journalföring som behövs.21

Hur länge ett samtycke gäller är beroende av den aktuella situationen. Bedömningen av hur lång tid samtycket ska gälla blir olika beroende på om det gäller ett enstaka besök på en mottagning eller en längre vårdprocess under ett visst sjukdomsförlopp. Om det går att förklara för patienten hur vårdperioden och den planerade vården ser ut och vad samtycket omfattar kan det vara rimligt att hämta in ett samtycke för t.ex. en episod av hemsjukvård eller en vistelse på ett särskilt boende. För den enskilde patienten ska det vara tydligt vad samtycket omfattar och hur länge det gäller. Det är också viktigt att patienten vet att hon eller han kan dra tillbaka samtycket.

Även när det gäller kravet på samtycke är det viktigt att under- stryka att ett samtycke till åtkomst av uppgifter i system för sammanhållen journalföring primärt ska rikta sig till vårdgivaren som sådan – inte till enskilda yrkesutövare. Det är vårdgivarens arbetsledning och organisatoriska förutsättningar samt patientens hälsoproblem som i det enskilda fallet avgör vilken hälso- och sjuk- vårdspersonal som har ett behov av att ta del av uppgifter i systemet för sammanhållen journalföring. Den eller de yrkes- utövare som i dessa situationer är inblandade i patientens vård och behandling behöver därmed i första hand kontrollera om patienten har lämnat ett samtycke. Om det inte finns blir det hans eller hennes uppgift att be patienten om ett samtycke för vårdgivaren att ta del av journaluppgifter hos en annan vårdgivare.

21 Prop. 2007/08:126 s. 116.

367

En ny sammanhållen journalföring

SOU 2014:23

Under utredningens arbete har även den grundläggande frågan om kravet på samtycke till personuppgiftsbehandlingen är ända- målsenligt och om det egentligen kan anses vara ett sådant sam- tycke som avses i personuppgiftslagen. Vid utredningens kontakter med både personal och företrädare för patient- och anhörig- organisationer har bland annat framförts uppfattningar om att samtycket till själva vården och behandlingen även borde utgöra grund för den informationshantering som krävs för att vården och behandlingen ska kunna ges med hög kvalitet och patientsäkerhet. Utredningen anser att det ligger mycket i ett sådant resonemang. På ett övergripande plan får det nästan anses självklart att den som samtycker till en viss hälso- och sjukvårdsinsats även vill att den som ska ta ställning till och utföra insatsen kan ta del av all relevant information som behövs för att göra detta på bästa sätt. Mot den bakgrunden finns det enligt vår bedömning skäl att analysera om det nuvarande samtyckeskravet är ändamålsenligt eller inte. Vidare kan ifrågasättas om det i situationer när en patient är i behov av hälso- och sjukvård kan talas om ett sådant frivilligt samtycke till personuppgiftsbehandlingen som följer av personuppgiftslagen.

Behov av kunskapshöjande insatser och tydliga anvisningar till personalen

Den som arbetar inom hälso- och sjukvården ska inte i det vardag- liga arbetet behöva vara orolig för att göra sig skyldig till otillåten behandling av patientuppgifter. Det är viktigt att det är enkelt att ta del av de uppgifter som behövs för att ge patienten en god och säker vård. Det är därför också nödvändigt att vårdgivarna tar sitt ansvar och i sitt ledningssystem beskriver hur patientuppgifter ska behandlas i verksamheten. Det måste vara tydligt för medarbetarna vad som ingår i deras arbetsuppgifter och vilka uppgifter som han eller hon måste ta del av för att sköta dessa. För att säkerställa att uppgifterna används på ett lagligt och säkert sätt har vårdgivarna också ett ansvar att ha ändamålsenliga rutiner och system för behörighetstilldelning och behörighetskontroll, liksom för åtkomst- kontroll.

Den nuvarande bestämmelsen om tillåten behandling av upp- gifter vid sammanhållen journalföring är knuten till att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med. Bestämmelsen tolkas ofta som en bestämmelse som reglerar under

368

SOU 2014:23

En ny sammanhållen journalföring

vilka förutsättningar den enskilde yrkesutövaren får bereda sig tillgång till uppgifterna. Frågan om vad som ska betraktas som en aktuell patientrelation har därför medfört tillämpningsproblem. När och hur inleds patientrelationen? Hur länge varar den? När upphör den? På grund av att hälso- och sjukvårdspersonal kan ha svårt att skilja på åtkomst till uppgifter inom vårdgivarens verk- samhet och åtkomst i system sammanhållen journalföring har kravet på patientrelation även spillt över på tillämpningen av åtkomst inom den inre sekretessen. Det har vid våra kontakter med hälso- och sjukvårdspersonal exempelvis framkommit missuppfattningar om att den personal som inte har träffat patienten fysiskt inte får ta del av uppgifter eftersom ingen patientrelation skulle föreligga. Resonemanget verkar vara särskilt vanligt vid exempelvis med- verkan i ronder och olika typer av konsultationer. Vi gör bedömningen att det är svårt att knyta regler om tillgänglighet till begreppet relation. Det är inte heller helt enkelt att knyta det till begreppen deltar i vården och behövs i arbetet. Dock framstår de begreppen som lättare att använda för att motivera ett försvarbart behov av att ta del av uppgifterna. Det är mer adekvat att beskriva tillåtligheten att ta del av uppgifter till ett behov som föranleds av arbetsuppgifter i vården.

Situationen då den som arbetar åt en vårdgivare ska ta ställning till om han eller hon har rätt att ta del av uppgifter som till- gängliggjorts av en annan vårdgivare liknar den då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete åt vårdgivaren. Den grund- förutsättningen gäller både vid sammanhållen journalföring och när man tar del av uppgifter i den egna verksamheten. Det finns enligt vår bedömning behov av att tydliggöra detta för vårdgivare och för hälso- och sjukvårdspersonal. Vi har övervägt att göra detta bl.a. genom att infoga bestämmelser i kapitlet om sammanhållen journalföring, som direkt riktar sig till hälso- och sjukvårds- personalen. Men vi har valt att inte gå den vägen. I dagsläget bedömer vi att det vore mer effektivt med olika former av kunskapshöjande insatser riktade till vårdgivare och personal.

Tillämpningsproblemen uppstår när vårdgivarna inte ger sina anställda tillräckligt med stöd vid utformning av arbetsuppgifter och rutiner i verksamheten. På grund av den debatt som med jämna

369

En ny sammanhållen journalföring

SOU 2014:23

mellanrum blossar upp vad gäller tillåten behandling av uppgifter inom hälso- och sjukvården finns ett behov av informations- och utbildningsinsatser för att öka kompetensen inom detta område. Ansvaret för dessa insatser ligger i första hand på vårdgivarna, men även lagstiftaren och ansvariga myndigheter bör ta ett ansvar för att underlätta tillämpningen. Många som i den allmänna debatten ifrågasätter patientdatalagen och hävdar att den begränsar till- gången till nödvändiga uppgifter och därmed innebär risker för patientsäkerheten tolkar lagens krav på deltagande i vården av patienten alltför snävt. Förmodligen beror detta på en rädsla att göra sig skyldig till dataintrång. Självklart vill man vara säker på att hamna på rätt sida om gränsen för det som kan betraktas som brottsligt. Lagstiftaren, myndigheter och vårdgivare måste till- sammans förtydliga vad som gäller så att de som arbetar i verksam- heterna kan känna större trygghet i det dagliga arbetet. Det måste göras tydligt att alla som vårdar patienten, antingen konkret eller genom att bidra med sin kompetens, t.ex. i samband med ronder eller konsultationer, också deltar i vården på ett sådant sätt att de har rätt att ta del av uppgifter om patienten.

Utredningen vill i denna del även hänvisa till den delredovisning som utredningen överlämnade till regeringen den 31 december 2012. Förutom att den berör omkring ett 80-tal vanliga fråge- ställningar innehåller den även en promemoria som särskilt belyser förutsättningarna för att ta del av uppgifter i system för samman- hållen journalföring. Delredovisningen finns som bilaga till detta betänkande.

Våra sammanfattande reflektioner

Sammantaget konstaterar utredningen att regelverket för åtkomst till uppgifter i system för sammanhållen journalföring har gett upp- hov till tillämpningsproblem och osäkerhet. Vi har i det föregående redogjort för de missuppfattningar som finns i hälso- och sjuk- vården om till vem de grundläggande kraven riktar sig till, dvs. i första hand vårdgivaren. Utredningen gör bedömningen att lag- stiftningen i sig är utformad på ett sådant sätt att risken för osäkerhet i tillämpningen är stor. Detta gäller, i olika avseenden, samtliga rekvisit i nuvarande 6 kap. 3 § PDL. Vidare finns det i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informations- hantering och journalföring i hälso- och sjukvården ytterligare

370

SOU 2014:23

En ny sammanhållen journalföring

formuleringar som riskerar att bidra till missuppfattningar, t.ex. i fråga om samtycke till sammanhållen journalföring måste vara personligt riktat till en enskild yrkesutövare eller inte.22

Vidare bedömer vi att det finns skäl att analysera om den nuvarande ändamålsbegränsningen, dvs. att uppgifter hos andra vårdgivare endast får behandlas för vården och behandlingen av patienten, är ändamålsenlig i relation till behoven av att kvalitets- säkra den hälso- och sjukvård patienterna får.

Som redovisats ovan anser utredningen att kravet på samtycke till åtkomst i system för sammanhållen journalföring bör analyseras och ställas i relation till det samtycke till vård och behandling patienten lämnar samt till personuppgiftslagens definition av sam- tycke.

I det följande redogörs för våra närmare överväganden och våra förslag till ett förenklat och mer ändamålsenligt regelverk för åtkomst till uppgifter i system för sammanhållen journalföring.

14.3.2En ny reglering för åtkomst till uppgifter i sammanhållen journalföring (skede 2)

Vårt förslag: Villkoren för att en vårdgivare ska få ta del av uppgifter genom sammanhållen journalföring ska uttryckas dels som ett grundläggande krav på att uppgifterna avser en patient hos vårdgivaren, dels som krav på de ändamål som uppgifterna får användas till. Det innebär att vårdgivare endast får ta del av uppgifter som rör en patient som vårdgivaren har eller har haft en patientrelation med. Vidare får vårdgivare endast behandla personuppgifterna om de behövs för ändamålen vård och behandling av patienten, intygsutfärdande eller för att systematiskt och fortlöpande utveckla och säkra kvaliteten av den vård som patienten fått. Jämfört med vad som gäller i dag ska således åtkomst till uppgifter hos andra vårdgivare – under vissa förut- sättningar – även få ske för att systematiskt och fortlöpande utveckla och säkra kvaliteten i vården.

Det nuvarande kravet på patientens samtycke till själva personuppgiftsbehandlingen ska inte överföras från patient- datalagen. I stället ska patientens överenskommelse om och

22 2 kap. 8 § SOSFS 2008:14.

371

En ny sammanhållen journalföring

SOU 2014:23

samtycke till själva hälso- och sjukvårdsinsatserna utgöra grund för tillåten åtkomst till uppgifter hos andra vårdgivare.

Vi föreslår även vissa andra språkliga och strukturella för- ändringar jämfört med regleringen i patientdatalagen.

Inledning

Vi har ovan redogjort för våra reflektioner kring gällande rätt och de tillämpningsproblem och den osäkerhet som regelverket delvis har medfört. Sammantaget har vi gjort bedömningen att det finns skäl att tydliggöra regelverket för åtkomst till uppgifter i system för sammanhållen journalföring, så att det utgör ett bättre stöd för dem som har att tillämpa lagstiftningen. Vidare finns det anledning att överväga dels om nuvarande ändamålsbestämmelse bör utökas, dels om kravet på patientens samtycke är ändamålsenligt.

Mot denna bakgrund föreslår vi att de grundläggande bestäm- melserna om under vilka villkor en vårdgivare får ta del av uppgifter genom sammanhållen journalföring (skede 2) delas upp på två bestämmelser under en egen underrubrik i kapitlet om samman- hållen journalföring. Den ena bestämmelsen ska reglera kravet på patientrelation och den andra bestämmelsen ska ange de tillåtna ändamålen. Syftet med uppdelningen är i allt väsentligt att göra regelverket mer överskådligt och bättre anpassat för dem som ska tillämpa det.

En alldeles grundläggande förutsättning för att en vårdgivare kan få åtkomst till vårddokumentation hos en annan vårdgivare är att patienten inte har motsatt sig medverkan i systemet för sammanhållen journalföring. Vi anser att detta inte behöver nämnas i bestämmelserna eftersom uppgifterna inte får finnas tillgängliga i en sådan situation. Den andra vårdgivaren har alltså inte gjort dem tekniskt tillgängliga för åtkomst, vilket som tidigare redovisats är konsekvensen av att patienten motsätter sig.

Patientrelation med vårdgivaren är nödvändig för åtkomst

Det första egentliga villkoret för åtkomst är att uppgifterna avser en patient som vårdgivaren har eller har haft en patientrelation med. Detta villkor ska enligt vårt förslag överföras från patient- datalagen, men regleras i en egen bestämmelse.

372

SOU 2014:23

En ny sammanhållen journalföring

Eftersom vi även föreslår att sammanhållen journalföring ska få användas för kvalitetsutveckling (se i det följande) måste åtkomst också vara tillåten avseende en tidigare patientrelation. Jämfört med gällande rätt har vi därför av språkliga skäl tagit bort ordet aktuell som beskrivning av patientrelationen. Det blir helt enkelt inte helt logiskt att tala om att man har haft en aktuell patientrelation. Vi avser inte att förändra villkorets innebörd annat än på så sätt att även en tidigare patientrelation kan berättiga till åtkomst.

Syftet med bestämmelsen är att avgränsa rätten till åtkomst till sådana uppgifter som avser personer som är eller har varit patienter hos vårdgivaren. Kravet innebär, på samma sätt som i dag, att det inte är tillåtet för en vårdgivare att behandla personuppgifter rörande patienter som inte finns i verksamheten.

Det bör understrykas att det är vårdgivaren som sådan som ska ha en patientrelation, inte hälso- och sjukvårdspersonalen. En patientrelation kan, som anfördes ovan under avsnittet gällande rätt, t.ex. uppstå genom att patienten bokar ett besök, kommer till en vårdinrättning och söker vård, remitteras till vårdgivaren, kommer på planerat besök, vårdas inneliggande på en avdelning eller genom att patienten kommunicerar med vårdgivaren elektroniskt m.m. En patientrelation kan uppstå på en mängd olika sätt. Det krävs inte något fysiskt möte med personal hos en vårdgivare för att patient- relationen ska inledas. Exempelvis måste den vårdgivare som tar emot en elektronisk remiss från en annan vårdgivare anses ha en patientrelation med den patient som omfattas av remissen. När en patient vänder sig till en vårdgivare för att få ett intyg uppstår också en patientrelation.

Tillåtna ändamål vid sammanhållen journalföring

Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. Jämfört med de tillåtna ändamålen för behandling av personuppgifter inom en vårdgivares verksamhet är således möjligheterna att använda uppgifter genom direktåtkomst starkt begränsade. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del

373

En ny sammanhållen journalföring

SOU 2014:23

av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är i dag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten på sina insatser kan det finnas behov av att ta del av uppgifter om patienten som dokumenterats av någon av de andra vårdgivarna i vårdprocessen.

Vi anser att ett nära samarbete i vården av en patient som går över vårdgivargränser också måste kunna utvecklas och förbättras. Behoven av att kvalitetssäkra hälso- och sjukvården är inte mindre i dessa situationer jämfört med situationer där hela vårdepisoden kan hållas inom en och samma vårdgivares verksamhet. För att inte förutsättningarna för att kvalitetssäkra den vård patienterna får i processer över vårdgivargränser ska vara sämre än motsvarande förutsättningarna i den egna verksamheten, krävs att reglerna om informationshantering inte sätter upp hinder för detta. De vård- processer som passerar olika vårdgivargränser, t.ex. inom primär- vård, specialistvård och slutenvård, blir dessutom allt fler. För att patienterna ska tillförsäkras en god och säker vård behöver det finnas goda legala möjligheter att bedriva ett effektivt kvalitets- säkringsarbete vid sådana samarbeten.

Även om vårt förslag om förbättrade möjligheter till direkt- åtkomst mellan vårdgivare inom en huvudmans ansvarsområde genomförs, kommer det ändå att finnas vårdprocesser som korsar huvudmannagränser, t.ex. samarbeten mellan kommunala och landstingskommunala vårdgivare i samarbeten kring äldre och personer med funktionshinder. Dessutom går mycket av den hög- specialiserade vården, t.ex. cancersjukvård, inte sällan över lands- tingsgränser på ett sådant sätt att patienten vårdas växelvis i sitt hemlandsting och växelvis i ett annat landsting. Vi anser att det finns starka patientsäkerhetsskäl som talar för att tillåta direkt- åtkomst till de uppgifter som behövs för att utveckla kvaliteten i vården även i dessa situationer.

Mot denna bakgrund föreslår vi sammanfattningsvis att de i dag tillåtna ändamålen ska överföras från patientdatalagen och utökas på sådant sätt att direktåtkomst även får användas för att systematiskt och fortlöpande säkra kvaliteten i verksamheten. Med hänsyn till patienternas behov av integritetsskydd och för att

374

SOU 2014:23

En ny sammanhållen journalföring

tydliggöra att ändamålet kvalitetssäkring inte gäller generellt på ett sådant sätt att uppgifter om vilken patient som helst får behandlas, ska självklart det grundläggande kravet på patientrelation även gälla för åtkomst för detta ändamål. I syfte att ytterligare begränsa möjligheterna till kvalitetssäkring i förhållande till verksamhetens behov och den enskildes behov av integritetsskydd ska det i bestämmelsen uttryckas en princip om att det är kvaliteten i de egna hälso- och sjukvårdsinsatserna som ska kvalitetssäkras. Det handlar därmed om en möjlighet att kvalitetssäkra den vård som vårdgivaren ger i relation till patienter som i enskilda situationer omfattas av hälso- och sjukvårdsinsatser från flera vårdgivare. Som ett exempel kan nämnas kvalitetssäkring av den vård som ges en cancersjuk patient som vårdas växelvis i det egna landstinget och växelvis på ett mer specialiserat sjukhus i ett annat landsting. I en sådan situation ska t.ex. vårdgivaren i hemlandstinget därmed kunna ta del av de uppgifter hos den andra vårdgivaren som behövs för att kvalitetssäkra de egna insatserna i förhållande till patienten. Vi bedömer att en sådan direktåtkomst är motiverad med hänsyn till behovet av en god och säker vård för patienterna.

Under utredningens arbete har det även blivit tydligt att det finns ett behov för vårdgivare att ta ett aktivt ansvar för tillämp- ningen av lagstiftningen och ta fram närmare riktlinjer som ger hälso- och sjukvårdspersonalen stöd i hur personalen förväntas agera för att utveckla och säkra verksamhetens kvalitet. Utred- ningen har även i samband med den delredovisning som över- lämnades den 31 december 2013 tagit fram en promemoria för att ytterligare vägleda vårdgivare i hur patientuppgifter kan användas i det systematiska kvalitetsarbetet. Se vidare bilaga 4 till detta betänkande.

Enligt vårt förslag till bestämmelse om ändamål för samman- hållen journalföring ska det sammantaget tydligt framgå att direkt- åtkomst till uppgifter genom sammanhållen journalföring endast får användas för ändamålen att förebygga, utreda eller behandla sjukdomar och skador hos patienten, för att systematiskt och fort- löpande utveckla kvaliteten av dessa vårdinsatser och för att utfärda sådana intyg som avses i hälso- och sjukvårdsdatalagen.

375

En ny sammanhållen journalföring

SOU 2014:23

Kravet på samtycke till personuppgiftsbehandlingen bör tas bort

Det finns enligt vår bedömning skäl att överväga om kravet på samtycke till personuppgiftsbehandling i samband med åtkomst till uppgifter i sammanhållen journalföring är ändamålsenligt. Det är inte minst viktigt att ställa detta krav i relation till det samtycke som patienter lämnar till själva hälso- och sjukvårdsinsatserna. En naturlig utgångspunkt skulle kunna vara att den som samtycker till vård även samtycker till den informationshantering som behövs för att vården ska kunna ges med hög kvalitet och patientsäkerhet.

Enligt utredningens uppfattning finns det mycket som talar för att det uttryckliga kravet på ett särskilt samtycke från patienten avseende informationshanteringen bör tas bort. Den grund- läggande förutsättningen för att överhuvudtaget få vårda en patient är att patienten samtyckt till åtgärden. Vi tror att det är främmande både för patienten och för personalen att utöver att vara överens om insatsen också måsta göra särskilda ställningstaganden till informationsinhämtningen. Den rimliga utgångspunkten är att den patient som har behov av, önskar och samtycker till hälso- och sjukvård av olika karaktär och omfattning också samtycker till den informationshantering som krävs för att patienten ska få bästa möjlig vård. Denna utgångspunkt gäller för hälso- och sjukvårds- personalens åtkomst till information i den egna verksamheten. Det är inte ett helt rationellt ställningstagande att göra en annan bedömning endast för att information behöver inhämtas från en annan organisation, dvs. en annan vårdgivare.

Rent principiellt kan även innebörden och värdet av det sam- tycke till informationshanteringen som lagstiftningen i dag före- skriver behöva diskuteras. Formellt ska samtycket vara av sådant slag som avses i personuppgiftslagen. Regeringen uttalar i propositionen att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket ska vara frivilligt ger enligt regeringen uttryck för att den enskilde verkligen ska ha ett val.23

Men vilket samtycke till personuppgiftsbehandling är det egentligen som erbjuds den patient som är i behov av vård? Det kan övervägas om kravet på frivillighet alltid är uppfyllt i en verksamhet som hälso- och sjukvården. Den patient som i och för sig sam- tycker till själva vården, t.ex. till att få ett visst läkemedel ordinerat, kan ju inte gärna avstå från att lämna samtycke till den informationsinhämtning som behövs för att ordinerande läkare ska

23 Prop. 2007/08:126 s. 252.

376

SOU 2014:23

En ny sammanhållen journalföring

kunna ordinera ett för den enskilde lämpligt läkemedel. Om situationen är sådan att patienten i praktiken inte kan avstå, kan samtycket inte gärna vara frivilligt. Också det förhållandet att en patient allmänt sett kan ha en underordnad eller beroende ställning till hälso- och sjukvårdspersonal som efterfrågar samtycke, bör beaktas vid bedömningen av om samtycket lämnas frivilligt på det sätt som personuppgiftslagen kräver.

När det gäller frågan om ett samtycke kan anses vara frivilligt i den mening som avses i personuppgiftslagen kan viss vägledning hämtas från Datainspektionens praxis och uttalanden. Datainspek- tionen har bland annat rörande samtycken i försäkringssamman- hang, dvs. när enskilda ger försäkringsbolag samtycke att hämta in journaluppgifter från hälso- och sjukvården för att bolaget ska behandla en ansökan om försäkring eller göra bedömningar i samband med skadereglering, uttalat följande.24

Den utvidgade informationsplikten gör förstås att det blir lättare för den försäkrade att ta ställning till om han eller hon ska lämna samtycke eller inte. Huruvida de samtycken som lämnas är frivilliga kan dock fortfarande ifrågasättas.

Som en jämförelse kan man titta på vad som krävs för att samtycke ska anses frivilligt enligt personuppgiftslagen (1998:204). För att ett samtycke ska anses frivilligt måste den enskilde i praktiken ha ett fritt val att avgöra om hans eller hennes personuppgifter ska få behandlas. Konsekvensen av att man inte samtycker kan bli att man inte får en vara eller tjänst. Är situationen sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna anses frivilligt. Om till exempel myndigheter skulle kräva samtycke till behandling av person- uppgifter som en förutsättning för att tillhandahålla samhälleliga tjänster, kan de starkt ifrågasättas om kravet på frivillighet är uppfyllt. Tillhandahållandet av försäkring kan sägas vara en samhällelig tjänst, vilket till exempel kommer till uttryck genom kontraheringsplikten.

Vid ansökan om försäkring har man förstås möjlighet att vända sig till ett annat försäkringsbolag. Det troliga är dock att alla försäkrings- bolag hanterar ansökan på samma sätt. Om ett bolag avslår ansökan eller begränsar försäkringsskyddet på grund av att sökanden inte vill lämna sitt samtycke till att hälsouppgifter hämtas in, är det troligt att även andra bolag gör det.

När det gäller skaderegleringssituationen anser Datainspektionen i yttrandet att frivilligheten kan ifrågasättas än mer. Alternativen till att lämna det samtycke som begärs vid skadereglering är enligt inspektionen att inte utnyttja sin försäkring. En vägran kan leda till

24 Datainspektionens yttrande på promemoria till lagrådsremiss, 2010-04-08, dnr 465-2010.

377

En ny sammanhållen journalföring

SOU 2014:23

att den skadelidande nekas ersättning eller får lägre ersättning. Frågan är därför, enligt Datainspektionen om den skadelidande i praktiken kan avstå från att lämna samtycke.

Enligt utredningens uppfattning har Datainspektionens uttalande flera beröringspunkter med vad som får anses gälla i hälso- och sjukvården. På motsvarande sätt som inspektionen menar att en försäkringstagare i praktiken inte alltid kan avstå från att lämna samtycke, kan en patient som är i behov av och samtycker till vissa hälso- och sjukvårdsinsatser inte neka hälso- och sjukvårds- personalen att ta del av de uppgifter som behövs för att utföra arbetet i enlighet med kraven på patientsäkerhet och vetenskap och beprövad erfarenhet. På samma sätt som anförs ovan kan patientens erbjudande om vård i praktiken begränsas och anpassas efter den åtkomst till uppgifter som patienten samtycker till. Vi menar att det starkt kan ifrågasättas om den patient som är i behov av vård och samtycker till vård i praktiken kan avstå från att lämna ett sådant samtycke till personuppgiftsbehandlingen som krävs för att den aktuella vården ska kunna erhållas.

När det gäller frågan om samtycke till åtkomst till uppgifter i elektroniska patientjournaler finns även viss vägledning att hämta från den s.k. Artikel 29-gruppen.25 Artikel 29-gruppen anför bland annat följande i sammanhanget.26

Samtycket måste ges frivilligt: Med frivilligt samtycke menas ett beslut som fattats av en person som är vid sina sinnens fulla bruk, utan tvång av något slag, vare sig socialt, ekonomiskt, psykologiskt eller annat. Ett samtycke som i en vårdsituation getts under hot om att en medicinsk behandling inte kommer att ges, eller att behandling av lägre kvalitet kommer att ges, kan inte betraktas som frivilligt. Sam- tycke som ges av en patient som inte har haft möjlighet att göra ett reellt val eller som har ställts inför ett fullbordat faktum kan inte anses vara giltigt.

Vidare menar 29-gruppen att då en patients hälsotillstånd gör att det är absolut nödvändigt för hälso- och sjukvårdspersonal att behandla personuppgifter i ett elektroniskt journalsystem är det fel att kräva att de måste inhämta samtycke.

Som redovisats ovan krävs enligt patientdatalagen inget särskilt samtycke till personuppgiftsbehandlingen om uppgifterna finns

25Artikel 29-gruppen består av företrädare för alla medlemsstaternas dataskyddsmyndig- heter. Gruppen är rådgivande och oberoende och har till uppgift att se till att dataskydds- direktivet tillämpas enhetligt i medlemsstaterna.

26Artikel 29-gruppen för skydd av personuppgifter, WP 131, Arbetsdokument om behand- ling av hälsorelaterade personuppgifter i elektroniska patientjournaler (EPJ).

378

SOU 2014:23

En ny sammanhållen journalföring

inom vårdgivarens verksamhet. Det är enligt vår mening inte helt rationellt att göra en annan bedömning endast för att information behöver inhämtas från en annan organisation, dvs. en annan vårdgivare. Resonemanget blir särskilt haltande för den grupp människor som har behov av hälso- och sjukvårdsinsatser både från kommuner och också från landsting, exempelvis alla äldre i särskilda boenden och de som får hemsjukvård i ordinärt boende. Dessa är beroende av läkarinsatser från den landstingsfinansierade hälso- och sjukvården och får övriga behov tillgodosedda inom den kommunala hälso- och sjukvården. Vidare är det en grupp människor som ofta är föremål för inläggningar i slutenvården, vilket kan leda till många övergångar i vårdnivåer och byten av vårdgivare.

I dag pågår omfattande insatser på nationell, regional och lokal nivå för att åstadkomma en mer sammanhållen vård och omsorg för denna patientgrupp. Syftet är att stärka patientsäkerheten och öka kvaliteten i patienternas vård bland annat genom tätare samverkan mellan olika vårdgivare. Att i dessa situationer tala om särskilda samtycken för personuppgiftsbehandlingen, utöver det samtycke som ges till hälso- och sjukvårdsinsatserna, är inte ändamålsenligt. Dessutom bidrar det till att befästa de organisatoriska gränserna och sätta den betydelsen framför betydelsen av en informations- hantering med individen i centrum.

Ett annat exempel i sammanhanget är hemsjukvården. Hem- sjukvården är ett område där det under lång tid har pågått en växling av ansvaret från landstingen till kommunerna. En sådan växling av hemsjukvården innebär normalt att kommunen tar över landstingets ansvar för sjukvård i hemmet upp till sjuksköterske- nivå. Läkarinsatserna står dock den landstingsfinansierade verk- samheten för, eftersom kommunerna inte får anställa läkare. För det landsting som i dag har kvar ansvaret för hemsjukvården kan informationsutbytet mellan läkare och sjuksköterska göras utan några andra samtyckeskrav än patientens samtycke till vården. Om landstinget och kommunen sedan skulle komma överens om en växling av hemsjukvården skulle en konsekvens av det bli att samma patienter och samma personal plötsligt skulle behöva tillämpa kravet på ett frivilligt, särskilt och otvetydigt samtycke för informationsutbytet mellan läkare och sjuksköterska. Förutom att en sådan situation inte känns helt rimlig kan återigen ifrågasättas om patienten i praktiken kan avstå från att lämna samtycke till personuppgiftsbehandlingen.

379

En ny sammanhållen journalföring

SOU 2014:23

Sammantaget finns enligt vår bedömning övervägande skäl för att låta patientens överenskommelse om och samtycke till vård även vara utgångspunkten för informationshanteringen. Den prin- cipen har gällt sedan länge och gäller även för hälso- och sjuk- vårdspersonalens åtkomst till information i den egna verksamheten. Att frångå detta endast på grund av att det i dag finns modern teknik som gör att uppgifter kan utbytas mellan vårdgivare på ett mer effektivt och patientsäkert sätt än tidigare, är inte ändamåls- enligt.

Hälso- och sjukvård får överhuvudtaget inte ges mot någons vilja – om detta inte särskilt framgår av lag. Frivilligheten är grundlagsskyddad. Hälso- och sjukvårdsåtgärder får alltså inte vid- tas utan patientens samtycke. Det framgår indirekt av hälso- och sjukvårdslagen och patientsäkerhetslagen (2010:659), förkortad PSL. Enligt 2 a § HSL och 6 kap. 1 § PSL ska vården och behandlingen så långt det är möjligt utformas och genomföras i samråd med patienten. Hälso- och sjukvården ska vidare bygga på respekt för patientens självbestämmande och integritet. Hälso- och sjukvårdspersonalen är skyldig att så långt som möjligt samråda med patienten inför utformningen och genomförandet av vården.

Regeringen har i sitt förslag till patientlag uttryckligt reglerat samtyckeskravet avseende vård och behandling. 27 Av patientlagen ska framgå att hälso- och sjukvård inte får ges utan patientens samtycke om inte annat följer av lag. Innan samtycke inhämtas ska patienten få information enligt bestämmelserna i patientlagen. Patienten kan när som helst ta tillbaka sitt samtycke. Om en patient inte samtycker till viss hälso- och sjukvård ska patienten få information om vilka konsekvenser detta kan medföra. Patienten kan om inte annat särskilt följer av lag lämna sitt samtycke skrift- ligen, muntligen eller genom att på annat sätt visa att han eller hon samtycker till den aktuella åtgärden.

Vår utgångspunkt är att såväl vårdinsatser som informations- hantering ska genomföras med respekt för den enskildes integritet och självbestämmande. Vår bedömning är att patientens samtycke till att ta emot viss hälso- och sjukvård som regel också omfattar ett samtycke till att hälso- och sjukvårdspersonalen kan inhämta de uppgifter som behövs för att erbjuda vården. I vårdprocesser som sträcker sig över vårdgivargränser finns det behov av ett kontinuer- ligt informationsutbyte mellan vårdgivarna. I sådana situationer

27 Regeringens proposition Patientlag, 2013/14:106.

380

SOU 2014:23

En ny sammanhållen journalföring

framstår det som naturligt för patienten att de yrkesutövare som utför vårdinsatser också har tillgång till relevant och nödvändig information för att kunna genomföra vården oavsett om den informationen finns hos den vårdgivaren eller någon annan. Vid utredningens kontakter med patient- och anhörigorganisationer framkommer även att många utgår från att yrkesutövaren har till- gång till all dokumentation som behövs. Åtkomst till journal- uppgifter behöver inte föregås av något samtycke om uppgifterna hämtas från den egna verksamheten. För patienten framstår det sannolikt som en jämförlig situation om uppgifter behöver inhämtas från en annan vårdgivare. Många gånger är patienten inte ens medveten om att han eller hon har passerat en vårdgivargräns.

Vi gör därför bedömningen att åtkomsten till uppgifter som finns hos en annan vårdgivare inte ska behöva föregås av något särskilt samtycke. Patientens överenskommelse om själva vård- insatsen ska utgöra grund för den tillåtna åtkomsten till andra vårdgivares uppgifter.

Genom att det ytterst är patienten som lagligen bestämmer om vilken hälso- och sjukvård som ska utföras är det även patienten som bestämmer vilka vårdgivare som får ta del av uppgifter i system för sammanhållen journalföring och vilka uppgifter det handlar om. Vårt förslag förändrar inte detta. Innebörden av vårt förslag är endast att frågan om informationshantering inte ska hanteras särskilt, utan att den ska avgöras av den överenskommelse om hälso- och sjukvård som patienten träffar med vårdgivaren. I prak- tiken anser vi inte att vårt förslag förändrar betydelsen av patientens självbestämmande i frågor om vare sig hälso- och sjuk- vård eller informationshanteringen i hälso- och sjukvården. Med vårt förslag kommer frågor om informationshantering och frågor om förutsättningarna att erbjuda patienten hälso- och sjukvård däremot att gå hand i hand. Hälso- och sjukvårdspersonalen kommer inte att behöva tillämpa två olika tanke- och tillvägagångs- sätt för det ena eller det andra.

Den grundläggande förutsättningen för att över huvud taget få ta del av uppgifter om patienten i system för sammanhållen journalföring kommer alltjämt att vara att det finns en laglig grund för hälso- och sjukvårdsinsatserna, dvs. att patienten har lämnat sitt samtycke till detta. Det är detta samtycke och denna överens- kommelse som enligt vår mening utgör patienternas primära integritetsskydd.

381

En ny sammanhållen journalföring

SOU 2014:23

Sammantaget föreslår vi att kravet i gällande rätt på att vård- givaren ska ha ett särskilt samtycke från patienten för åtkomst till uppgifter i system för sammanhållen journalföring kan tas bort.

Utredningens bedömning är att förslaget i praktiken inte för- sämrar patienternas integritetskydd. Utredningens förslag för- ändrar över huvud taget inte frågan om vilken eller vilka vårdgivare som får ha en potentiell tillgång till uppgifter om en patient. Att kravet på samtycke till åtkomst tas bort medför därmed inte i sig någon spridning av uppgifter. Den frågan styrs i stället av reglerna om hur uppgifter får göras tillgängliga i sammanhållen journal- föring, vilket har redovisats i det föregående.

Inte heller förändrar utredningens förslag vilken eller vilka vård- givare som i enskilda fall får utnyttja sin möjlighet till direkt- åtkomst och faktiskt ta del av uppgifter om en patient. Att kravet på samtycke till åtkomst tas bort innebär inte att det kommer att bli lagligt för fler vårdgivare att ta del av patientens uppgifter, än vad som följer av nuvarande lagstiftning.

Det är fortfarande patienten som förfogar över frågan om vilken vårdgivare som lagligen ska få ta del av patientens uppgifter. Detta gör patienten genom att denne vänder sig till en viss vårdgivare och i detta möte kommer överens om hälso- och sjukvårdsinsatser av olika omfattning och karaktär.

Det kommer fortfarande att vara patienten som på en över- gripande nivå förfogar över frågan om vilka uppgifter som hälso- och sjukvårdspersonalen får ta del av. Eftersom hälso- och sjuk- vårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens själv- bestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Att kravet på samtycke tas bort innebär alltså inte att yrkesutövaren får ta del av några andra uppgifter än de som behövs för att den vård som patienten önskar och som yrkesutövaren kan erbjuda, ska kunna ges på ett patientsäkert sätt. Förslaget innebär ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.

Vidare har vi redovisat att det starkt kan ifrågasättas om det samtycke till personuppgiftsbehandling som i dag ska inhämtas verkligen kan anses vara ett sådant samtycke som avses i person- uppgiftslagens mening. Det visar enligt vår bedömning på att det nuvarande samtycket i praktiken har ringa betydelse för patientens integritetsskydd.

382

SOU 2014:23

En ny sammanhållen journalföring

Härtill gäller att verksamheten i hälso- och sjukvården, enligt de grundläggande kraven i HSL, alltid ska byggas på respekt för den enskildes självbestämmande och integritet. Det innebär att hälso- och sjukvårdspersonalen – oavsett kravet på samtycke till person- uppgiftsbehandling – alltid måste ta hänsyn till patientens vilja och önskemål.

Om en patient av något skäl framför önskemål om att personalen inte ska ta de av viss information, ska självklart patientens vilja respekteras. Beroende på vilken typ av information och vilken insats det handlar om, kan en sådan önskan förstås påverka personalens möjligheter att utföra sitt arbete och på det sättet också påverka patientens möjlighet att få en viss insats. Dessa principer gäller dessutom oavsett om de aktuella uppgifterna finns inom eller utom vårdgivarens verksamhet. Hälso- och sjukvårdspersonalen kan endast ge den vård som bedöms ligga i linje med vetenskap och beprövad erfarenhet och som, bland annat mot bakgrund av tillgänglig information om patienten, bedöms vara patientsäker i det enskilda fallet.

Vår bedömning är sammanfattningsvis att patienten, precis som i dag, även med vårt förslag kommer att ha en rätt att bestämma om en vårdgivarens hälso- och sjukvårdspersonal ska få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen.

Åtkomst till uppgifter om barn

Som en konsekvens av utredningens förslag ovan behövs inga sär- skilda bestämmelser vad gäller åtkomst till uppgifter om barn i system för sammanhållen journalföring. Genom nuvarande bestämmelser i 6 kap. 3 § PDL tydliggörs att en vårdgivare har rätt att behandla sådana personuppgifter om barn som vårdgivare inte får spärra, om uppgifterna rör ett barn vårdgivaren har en patientrelation med och uppgifterna behövs för att förebygga, utreda eller behandla sjukdomar och skador hos barnet. En sådan bestämmelse behöver inte tas in i hälso- och sjukvårdsdatalagen eftersom det, p.g.a. att samtycke till personuppgiftsbehandlingen inte längre krävs, kommer att gälla samma förutsättningar för åtkomst till uppgifter om vuxna som till uppgifter om barn. Åtkomst till uppgifter om barn får således ske under det förutsättningar som redovisats ovan.

383

En ny sammanhållen journalföring

SOU 2014:23

14.3.3Åtkomst till uppgifter i samband med vård av vuxna med nedsatt beslutsförmåga

Vår bedömning: Några särskilda bestämmelser för åtkomst till uppgifter i system för sammanhållen journalföring i samband med vård av vuxna som inte endast tillfälligt har nedsatt besluts- förmåga behövs inte. I situationer där det är lagligt att ge hälso- och sjukvård till någon som inte kan samtycka till själva åtgärden, bör det vara tillåtet för den hälso- och sjukvårds- personal som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Den särskilda bestämmelsen i nuvarande 6 kap. 4 § PDL, som reglerar åtkomst till ospärrade uppgifter om patienten i en nöd- situation inte kan samtycka, bör därmed inte överföras till hälso- och sjukvårdsdatalagen.

I det föregående har vi redogjort för vårt förslag om att vårdgivare inte behöver inhämta ett särskilt samtycke för personuppgifts- behandlingen, dvs. för åtkomsten till uppgifter hos en annan vård- givare. På grund av detta förslag behövs inte heller någon särskild reglering för vuxna som inte endast tillfälligt har nedsatt besluts- förmåga. Den bestämmelse som utredningen föreslog i betänkandet SOU 2013:45 om möjlighet för vårdgivare att under vissa förutsättningar ta del av uppgifter i sammanhållen journalföring, även om patienten saknade förmåga att samtycka, kommer därmed inte längre att behövas. Det innebär att det precis som för patienter som har beslutsförmåga är den lagliga grunden för själva hälso- och sjukvårdsinsatserna som ska vara avgörande för om en åtkomst till uppgifter hos andra vårdgivare är tillåten eller inte.

Om en person saknar förmåga att ge uttryck för sin inställning till vård och behandling ställs särskilt stora krav på hälso- och sjukvårdspersonalens ansvarstagande, bemötande och omhänder- tagande. Utredningens utgångspunkt är att personalen ska stötta personer med nedsatt beslutsförmåga på ett sådant sätt att de i så stor utsträckning som möjligt kan tillvarata sin självbestämmande- rätt. Av grundläggande respekt för den enskilde individen bör hälso- och sjukvårdspersonalen verkligen försöka nå fram till individen och i möjligaste mån tillhandahålla relevant och anpassad informa- tion samt efterfråga individens inställning till frågan om vård. Men i många situationer kommer det inte att var en helt framkomlig väg.

384

SOU 2014:23

En ny sammanhållen journalföring

Personalen behöver då ta hjälp av annan information, t.ex. genom samtal med närstående, och göra en professionell bedömning av vad som är bäst för individen i frågor som exempelvis rör vård, behandling och informationshantering.

Vår utgångspunkt är därför att vårdinsatserna och den med insatserna sammanhängande informationshanteringen, rörande vuxna som inte endast tillfälligt saknar beslutsförmåga. bör genomföras utifrån vad som är känt om den enskildes inställning samt hälso- och sjukvårdspersonalens bedömning av vad som är den enskildes bästa.

Om hälso- och sjukvårdspersonalen bedömer att en viss vård- insats är laglig att ge patienten trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att genomföra den aktuella vårdinsatsen. Det innebär att åtkomst till uppgifter i system för sammanhållen journalföring endast får ske i den omfattning som behövs för den hälso- och sjukvård som patienten får.

Genom utredningens förslag tydliggörs att det är den legala grunden för att meddela vård som är utslagsgivande för vilken åtkomst till uppgifter hos andra vårdgivare som får förekomma. I situationer där det är tillåtet att ge vård till någon som inte kan samtycka till själva åtgärden, bör lagstiftningen även göra det tillåtet för den som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Det handlar om nödvändiga förutsättningar för individens säkerhet och om hälso- och sjukvårdspersonalens skyldighet att göra gott och undvika skada.

14.3.4Åtkomst till uppgifter i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga

Vår bedömning: Några särskilda bestämmelser för åtkomst till uppgifter i system för sammanhållen journalföring i samband med vård av vuxna med tillfälligt nedsatt beslutsförmåga behövs inte. I situationer där det är lagligt att ge hälso- och sjukvård till någon som inte kan samtycka till själva åtgärden, bör det vara tillåtet för den hälso- och sjukvårdspersonal som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Den särskilda bestämmelsen i nuvarande

385

En ny sammanhållen journalföring

SOU 2014:23

6 kap. 4 § PDL, som reglerar åtkomst till ospärrade uppgifter om patienten i en nödsituation inte kan samtycka, bör därmed inte överföras till hälso- och sjukvårdsdatalagen.

Inom hälso- och sjukvården uppkommer ofta situationer då personer av olika anledningar saknar möjlighet att ge samtycke till nödvändiga vårdinsatser. Förutom vid sådana situationer som redovisats i föregående avsnitt handlar det framförallt om akuta situationer då en person exempelvis är medvetslös och sjukvårds- insatser måste vidtas omedelbart för att rädda personens liv eller i övrigt för att undvika svåra konsekvenser för den enskildes hälsa. Det legala stöd som hittills ansetts finnas vid dylika situationer är 24 kap. 4 § brottsbalken som reglerar under vilka förutsättningar ett handlande i en nödsituation kan vara fritt från straffrättsligt ansvar.

Regeringen har nyligen lämnat ett förslag till en ny patientlag.28 Av den föreslagna lagen framgår att hälso- och sjukvård som regel inte får ges utan patientens samtycke. Kravet på samtycke kompletteras bl.a. av en bestämmelse om att patienter ska få den hälso- och sjukvård som behövs för att avvärja fara som akut och allvarligt hotar patientens liv eller hälsa, även om hans eller hennes vilja på grund av medvetslöshet eller av någon annan orsak inte kan utredas.

Regeringen anför att det är enbart sådan vård som behövs för att avvärja en fara som akut och allvarligt hotar patientens liv eller hälsa som får ges utan patientens samtycke. Det ska således vara fråga om sådan nödvändig vård som inte kan anstå tills en patient eventuellt själv kan ta ställning till åtgärden. Bestämmelsen ska gälla enbart i situationer där det handlar om att rädda patientens liv eller i övrigt för att undvika svåra konsekvenser för hans eller hennes hälsa.29

Bestämmelsen tar därmed sikte på nödsituationer. Om en patient inte befinner sig i en sådan nödsituation föreslås således inte vård och behandling kunna ges med stöd av bestämmelsen. Vår uppfattning är att lagförslaget inte tillräckligt tillgodoser behovet av att reglera förutsättningarna att ge vård när patienten tillfälligt saknar förmåga att samtycka och situationen i sig inte är akut. Utredningen delar lagrådets bedömning att förslaget inte överens-

28Prop. 2013/14:106.

29Prop. 2013/14:106 s. 120.

386

SOU 2014:23

En ny sammanhållen journalföring

stämmer med vad som är praxis vid sådana situationer i hälso- och sjukvården.30 Utredningens uppfattning är att den som av olika skäl tillfälligt saknar beslutsförmåga brukar erbjudas den vård som är nödvändig med hänsyn till personens hälsotillstånd, även om det inte är en sådan akut nödsituation som avses i lagförslaget.

Utredningen anser att förutsättningarna för att hantera journalinformation om en individ så långt möjligt bör vara samma om en person tillfälligt eller mer varaktigt saknar förmåga att sam- tycka till en viss personuppgiftsbehandling. Vidare anser vi att det avgörande inte bör vara om situationen i sig är akut eller inte. Det avgörande bör vara vilken information som behövs för att patienten ska få den vård som är nödvändig med hänsyn till hälsotillståndet. Det är det som är det berättigade intresset för patienter, närstående och personal.

Vi har ovan föreslagit att det nuvarande kravet på ett särskilt samtycke för direktåtkomsten till uppgifter hos en annan vårdgivare ska tas bort. Åtkomsten ska i stället vara tillåten på samma grunder som själva erbjudandet och överenskommelsen om vården. På grund av detta förslag behövs heller inte någon särskild reglering för vuxna som tillfälligt har nedsatt beslutsförmåga. Den bestämmelse som finns i patientdatalagen om åtkomst till ospärrade uppgifter i nödsituationer behöver därför inte föras över till hälso- och sjukvårdsdatalagen.

Om hälso- och sjukvårdspersonal bedömer att en viss hälso- och sjukvårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke får personalen också ta del av de uppgifter som behövs för att genomföra vården. Även genom detta förslag tydliggörs att de förutsättningar som gäller för att kunna genomföra vård- och behandlingsinsatser måste överensstämma med de förutsättningar som gäller för att hantera den information som behövs i en sådan situation. I situationer där det är tillåtet att ge vård till någon som inte kan samtycka till själva åtgärden, bör lagstiftningen därmed även göra det tillåtet för den som ska ge vården att ta del av den information som behövs för att patienten ska få en god och säker vård. Det innebär, i likhet med vad som sägs ovan, att åtkomst till uppgifter i system för sammanhållen journalföring endast får ske i den omfattning som behövs för den hälso- och sjukvård som patienten får.

30 Prop. 2013/14:106 s. 190.

387

En ny sammanhållen journalföring

SOU 2014:23

14.3.5Att ta del av uppgifter om vilken vårdgivare som ansvarar för uppgifter som inte är tekniskt åtkomliga

Vårt förslag: Om patienten motsatt sig att uppgifter görs till- gängliga i system för sammanhållen journalföring ska en vård- givare under vissa förutsättningar ändå få ta del av uppgift om vilken vårdgivare som har sådana uppgifter som inte har gjorts tillgängliga. Sådan åtkomst får ske om patienten saknar förmåga att själv begära att uppgifterna ska göras tillgängliga och det föreligger fara för patientens liv eller hälsa. När vårdgivaren under dessa förutsättningar kan ta del av vilken vårdgivare som har de aktuella uppgifterna kan denne vända sig till vårdgivaren som ansvarar för uppgifterna och begära att denne tar ställning till om uppgifterna får lämnas ut. Bestämmelser härom ska införas i hälso- och sjukvårdsdatalagen.

Vår bedömning: Bestämmelsen syftar till att vårdgivare i en situation där det är fara för patientens liv eller hälsa ska kunna ta reda på vilken vårdgivare som har uppgifter om patienten som inte har gjorts tillgängliga i system för sammanhållen journal- föring, men som kan behövas för vården av patienten. Bestäm- melsen är i sak inte ny, men den har däremot omarbetats mot bakgrund av utredningens förslag om att mönstra ut begreppet spärr ur regelverket om sammanhållen journalföring.

I 6 kap. 4 § PDL finns bestämmelser om åtkomst till uppgifter i nödsituationer när patienten inte kan lämna samtycke till person- uppgiftsbehandlingen. Den nuvarande bestämmelsen lyder som följer.

Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 2 § fjärde stycket, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.

Enligt utredningens bedömning har denna bestämmelse i praktiken medfört begränsad nytta. Eftersom uppgifter som är spärrade inte ens är tekniskt åtkomliga i system för sammanhållen journalföring

388

SOU 2014:23

En ny sammanhållen journalföring

kan inte den som har behov av uppgifterna häva spärren. I stället ska en kontakt tas med den vårdgivare som har lagt spärren och begära att denne bedömer om spärren kan hävas. Bestämmelsen kan därför anses ge mer uttryck för hur handläggningen av utlämnande av uppgifter ska gå till än för hur uppgifter som är spärrade ska kunna göras tillgängliga i system för sammanhållen journalföring när så behövs.

Vidare har bestämmelsen kritiserats för att i praktiken vara mycket svår att tillämpa vad gäller den bedömning som den vård- givare som har behov av uppgifterna ska göra. Enligt bestämmelsen ska denne vårdgivare, med ledning av uppgift om vilken vårdgivare som har spärrat uppgifterna, bedöma om dessa uppgifter kan antas ha betydelse för den vård som patienten oundgängligen behöver. Med tanke på definitionen av begreppet vårdgivare torde detta i praktiken vara en svår och kanske ibland en helt omöjlig uppgift. Det kan exempelvis ifrågasättas hur det ska vara möjligt att med ledning av uppgift om att vårdgivarna Region Skåne, Praktiker- tjänst, Stockholms läns landsting eller Capio har spärrade uppgifter om patienten, bedöma om dessa uppgifter kan ha betydelse för patientens vård.

Utredningen konstaterar att bestämmelsen utformades i enlig- het med lagrådets förslag i samband med lagrådsremissen till patientdatalagen. Av lagrådets yttrande framgår att lagrådet ansåg att det i en situation när det föreligger fara för patientens liv eller det annars föreligger allvarlig risk för patientens hälsa, ska finnas möjligheter att häva en spärr.31 Det bör då, enligt lagrådet, vara den vårdgivare som har lagt spärren som också har att pröva om den ska hävas. Därutöver anför lagrådet följande i sammanhanget.

I praktiken bör det således gå till på det viset att den vårdgivare som har vårdansvaret för patienten tar del av den alltid tillgängliga upp- giften i den sammanhållna journalföringen om att det finns spärrade uppgifter om patienten. Om patientens tillstånd motiverar det går vårdgivaren vidare och tar del av uppgiften om vilken annan vårdgivare som har lagt spärren. Visar det sig att spärren har lagts exempelvis av en vårdgivare inom psykiatrin medan patienten vårdas för en somatisk sjukdom, kan det leda till att patientens aktuelle vårdgivare avstår från att försöka få spärren hävd. Men om han eller hon bedömer att de spärrade uppgifterna behövs för den vård han eller hon avser att ge patienten, måste vårdgivaren vända sig till den vårdgivare som har lagt spärren och begära att denne ger honom tillgång till de spärrade uppgifterna.

31 Lagrådet, utdrag ur protokoll vid sammanträde 2008-03-06.

389

En ny sammanhållen journalföring

SOU 2014:23

Enligt utredningens bedömning kan resonemanget ovan ifråga- sättas, inte minst med tanke på hur hälso- och sjukvården faktiskt är organiserad. Därutöver blandas begreppet vårdgivare med benämningarna han eller hon samt honom. Det kan därför inte uteslutas att lagrådets resonemang och den efterföljande författ- ningskonstruktionen är en bidragande orsak till varför bestäm- melsen upplevs vara svår att tillämpa och till ringa värde i praktiken. Som tidigare nämnts torde det exempelvis inte alltför ofta gå att bedöma om uppgifterna kan ha betydelse för patientens vård, endast mot bakgrund av kännedom om vilken vårdgivare som har spärrat uppgifterna. Generellt går exempelvis inte att dra någon slutsats om vilket verksamhetsområde uppgifterna är hänförliga till och än mindre om vilken typ av uppgifter det faktiskt handlar om, endast genom att få vetskap om vårdgivarens namn.

Vidare har utredningen i kontakter med hälso- och sjuk- vårdspersonal flertalet gånger stött på uppfattningen att det är den som har behov av uppgifterna som också kan forcera en spärr och ta del av dem. Möjligen bottnar dessa missuppfattningar i att det är så det fungerar vad gäller spärrar inom en vårdgivares verksamhet. Samtidigt finns uttalanden av regeringen i propositionen som också kan ha en bidragande orsak till dessa uppfattningar. Regeringen anför exempelvis att en vårdgivare får vid en sådan akut nöd- situation häva spärren och bereda sig tillgång till en annan vård- givares journaluppgifter om det behövs för den vård patienten ound- gängligen behöver även om patientens samtycke inte kan inhämtas.32

Även om detta uttalande med all sannolikhet är oavsiktligt och regeringen i flera andra sammanhang ger en annan bild av förutsättningarna, sänder just detta uttalande otvivelaktigt signalen om att den som vårdar patienten och behöver uppgifterna också kan forcera en spärr. Eftersom spärrade uppgifter i sammanhållen journalföring emellertid inte är tekniskt åtkomliga och i rättslig mening inte heller utgör allmänna handlingar hos andra myndig- heter som är anslutna till systemet för sammanhållen journalföring, saknas dock rättsliga förutsättningar för en sådan forcering.

Sammantaget har utredningen mot bakgrund av de tillämp- ningsproblem som finns och det förhållandevis ringa värde som bestämmelsen i praktiken verkar ha, övervägt om bestämmelsen bör överföras till hälso- och sjukvårdsdatalagen eller om den bör utgå. Eftersom ett hävande av en spärr vid sammanhållen journal-

32 Prop. 2007/08:126 s. 118.

390

SOU 2014:23

En ny sammanhållen journalföring

föring i rättslig mening snarare är att jämställa med vilket annat elektroniskt utlämnande som helst än direktåtkomst, kan hävdas att bestämmelsen inte behövs. Detta eftersom det redan följer av lagen att uppgifter som får lämnas ut kan lämnas ut på medium för automatiserad behandling.

Samtidigt anser utredningen att bestämmelsen, genom att den åtminstone ger information om vilken vårdgivare som har spärrade uppgifter, kan fylla en viss funktion. Detta genom att vårdgivaren i alla fall får information om vilken vårdgivare som kan kontaktas om det bedöms nödvändigt och om det finns ett tidsutrymme att ta en sådan kontakt i den akuta situationen. Vidare torde värdet av uppgiften öka i takt med att allt fler vårdgivare ansluter sig till system för sammanhållen journalföring. Om endast ett fåtal vård- givare medverkar blir den praktiska nyttan begränsad för patienten och för hälso- och sjukvårdspersonalen. I ett sådant fall säger nämligen uppgiften om att det finns spärrade uppgifter om en patient, indirekt väldigt lite om det finns anledning för personalen att begära ut de spärrade uppgifterna eller om det kan finnas mer relevanta uppgifter om patienten hos vårdgivare som över huvud taget inte medverkar i systemet för sammanhållen journalföring.

Efter att ha vägt olika alternativ mot varandra har utredningen kommit fram till att de nuvarande bestämmelserna om åtkomst till spärrade uppgifter i mer akuta nödsituationer bör föras över till hälso- och sjukvårdsdatalagen, men genomgå en språklig anpass- ning eftersom begreppet spärr tas bort ur detta regelverk. Utred- ningen föreslår således att vårdgivare i en situation när det är fara för patientens liv eller hälsa ska kunna ta reda på vilken vårdgivare som har uppgifter om patienten som inte har gjorts tillgängliga i systemet för sammanhållen journalföring, men som kan behövas för vården av patienten.

14.3.6Bevarande och gallring

Vårt förslag: När patientjournaler eller andra handlingar är till- gängliga för en vårdgivare genom direktåtkomst gäller skyldig- heten att bevara handlingen därmed endast den vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra hand- lingen. Bestämmelser härom överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.

391

En ny sammanhållen journalföring

SOU 2014:23

Utredningen föreslår att den nuvarande bestämmelsen i 6 kap. 8 § PDL om bevarande och gallring vid sammanhållen journalföring överförs till hälso- och sjukvårdsdatalagen. Bestämmelsen är även tillämplig för sådan direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för och har därför i allt väsentligt redovisats tidigare i detta betänkande. Se avsnitt 13.4.7.

14.3.7Övriga bestämmelser

Vårt förslag: De nuvarande bestämmelserna i 6 kap. 5 och 7 §§ PDL ska föras över till hälso- och sjukvårdsdatalagen. Det inne- bär att vårdgivare inte får behandla en annan vårdgivares uppgifter i system för sammanhållen journalföring under andra förutsättningar än dem som särskilt anges i kapitlet, även om patienten uttryckligen samtycker till det. Vidare ska en påminnelse göras om att hälso- och sjukvårdsdatalagens regler om behörighetstilldelning och åtkomstkontroll även gäller vid sammanhållen journalföring. Dessutom ska i en paragraf erinras om hälso- och sjukvårdsdatalagens krav på risk-och sårbar- hetsanalys och överenskommelse om informationssäkerhet och skydd för personuppgifter vid direktåtkomst mellan vårdgivare.

Betydelsen av patientens samtycke

Den nuvarande bestämmelsen i 6 kap. 5 § PDL om att patienten, vid direktåtkomst i system för sammanhållen journalföring, inte kan samtycka till personuppgiftsbehandling för ändamål som är otillåtna ska föras över till hälso- och sjukvårdsdatalagen. Utred- ningen gör samma bedömning som regeringen gjorde i förarbetena om att i denna del begränsa möjligheten för patienten att samtycka till personuppgiftsbehandling som är otillåten.33

Förslaget innebär att åtkomst till uppgifter i system för sammanhållen journalföring endast är tillåtet för de ändamål som särskilt anges i hälso- och sjukvårdsdatalagens bestämmelser om sammanhållen journalföring, oavsett om patienten samtycker till annat.

33 Prop. 2007/08:126 s. 117 f.

392

SOU 2014:23

En ny sammanhållen journalföring

Behörighetsstyrning och åtkomstkontroll

På samma sätt som i 6 kap. 7 § PDL anser utredningen att det i hälso- och sjukvårdsdatalagens kapitel om sammanhållen journal- föring ska tas in en påminnelse om att de grundläggande bestäm- melserna i lagen om behörighetstilldelning och åtkomstkontroll även gäller vid vårdgivares direktåtkomst till andra vårdgivares uppgifter i system för sammanhållen journalföring.

Risk- och sårbarhetsanalys och överenskommelse

Utredningen föreslår att det i hälso-och sjukvårdsdatalagens kapitel om sammanhållen journalföring tas in en påminnelse om att kravet i 2 kap. 9 § hälso- och sjukvårdsdatalagen även gäller för direkt- åtkomst vid sammanhållen journalföring. Det innebär att vårdgivare som utbyter uppgifter genom sammanhållen journalföring ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska till- godoses. Utredningen redogör närmare för detta förslag i kapitel 10.

393

15Rätt information om läkemedel – på väg mot en samlad läkemedelslista

15.1Bakgrund

Läkemedelsbehandling är i dag den mest omfattande och avgörande behandlingen inom hälso- och sjukvård globalt sett. Samtidigt som läkemedelsbehandling många gånger ger stora fördelar för en enorm mängd patienter krävs omfattande resurser i form av hälso- och sjukvårdspersonal och pengar. Läkemedel är förenat med stora risker när det inte används korrekt. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet.

Läkemedelslistan

Det är vanligt att uppgifter i patientjournalen om vilka läkemedel som ordinerats till patienten visas i en särskild lista i journal- systemet, en läkemedelslista. Journalsystemen innehåller normalt sett även s.k. läkemedelsmoduler som, förutom läkemedelslistan, kan innehålla ett antal funktioner för att stödja en patientsäker läkemedelsprocess. Det kan exempelvis handla om beslutsstöds- funktioner av olika slag. Vanligast förekommande är en automatisk kontroll av hur de olika läkemedlen som patienten ordinerats kan påverka varandras upptag, fördelning, utsöndring och effekt, s.k. interaktionskontroll.

Till skillnad mot andra typer av journalanteckningar, som ibland kan vara strukturerade och katalogiserade utifrån verksamhets- områden eller vårdenheter, har det sedan länge strävats efter att hålla läkemedelslistan gemensam för vårdgivarens samtliga verk-

395

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

samheter. Anledningen till detta är att uppgifter om patientens ordinerade läkemedel ur ett patientsäkerhetsperspektiv behöver vara samlade så att patientens totala och aktuella läkemedels- behandling kan vara ett underlag för ordinatörens beslut om patientens fortsatta behandling.

Beslutsunderlag vid ordination av läkemedel

För hälso- och sjukvårdspersonal som står i begrepp att på olika sätt ta ställning till en patients läkemedelsordinationer är korrekt och aktuell information om de läkemedel patienten tar en nöd- vändig förutsättning för att kunna ge en god och säker vård. Utan ett ändamålsenligt beslutsunderlag i form av läkemedelslista, uppgifter om ordinationsorsaker m.m. kan hälso- och sjukvårds- personalen svårligen arbeta fullt ut i enlighet med de etiska grund- principerna samt vetenskap och beprövad erfarenhet.1 Det är inte möjligt att ordinera läkemedel på bästa tänkbara sätt utan att sam- tidigt känna till och kunna värdera om läkemedlet är lämpligt i förhållande till andra läkemedel och andra behandlingar patienten får.

En utmaning i dag är att uppgifter om patienters läkemedel är utspridda på olika informationskällor i olika delar av hälso- och sjukvården samt på de register över recept och uthämtade läke- medel som förs av eHälsomyndigheten. Därtill kommer att de legala förutsättningarna för att dokumentera och ta del av uppgifter är olika för samtliga dessa informationskällor. Det medför bl.a. svårigheter att utveckla it-stöd som ger en samlad bild av patientens aktuella läkemedelsbehandling.

De utmaningar som i dag finns lyfts bland annat upp av regeringen i direktivet till vår utredning, där exempelvis följande framgår.2

Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga inter- aktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskrivning på recept

1Jfr 6 kap. 1 § patientsäkerhetslagen (2010:659).

2Dir. 2011:111.

396

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmaceutisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver negativa konsekvenser för den enskilde kan brister i möjligheter att samverka och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.

15.1.1Vårt uppdrag

Utredningens övergripande uppdrag är att analysera de utmaningar och hinder som finns för en mer ändamålsenlig och sammanhållen informationshantering. Detta gäller inte minst i förhållande till behovet av korrekta och aktuella uppgifter om patienternas läke- medelsanvändning. Regeringen framhåller i direktivet att om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat.

Utredningen har mot denna bakgrund valt att titta närmare på läkemedelsprocessen och några av de faktorer som behöver samspela för att informationshanteringen ska kunna bidra till bättre resultat för patienterna. Det handlar här inte endast om lagring och gallring av uppgifter, utan även om förutsättningar för åtkomst och användning av de uppgifter som registreras av olika aktörer i hälso- och sjukvården samt i apoteksledet. I detta ryms ett antal grund- läggande frågor om de olika regelverk som styr hanteringen av läkemedelsinformation, men även sådant som rör samverkan mellan aktörer, it-utveckling, professionskulturer, arbetssätt m.m. Utredningens uppdrag handlar primärt om den informations- hantering som förekommer i hälso- och sjukvården, vilket bland annat innebär att en betydande del av apoteksaktörernas verk- samheter ligger utanför utredningens uppdrag.

Ytterligare en fråga som påverkar möjligheterna till en samlad bild av patienternas läkemedelsanvändning är patienternas rätt att spärra information inom och mellan vårdgivare. Ända sedan patient- datalagens (2008:355), förkortad PDL, tillkomst har i den allmänna debatten ibland höjts röster för att sådana informationsmängder som t.ex. uppgift om läkemedelsordinationer inte borde kunna

397

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

spärras. Under utredningens arbete har även Center för e-Hälsa i samverkan, CeHis, kommit in med en begäran om undantag från patientdatalagen avseende patientens spärrmöjligheter i syfte att kunna skapa en samlad läkemedelslista i en Nationell ordinations- databas (NOD). Utredningen kommer att beröra frågan om patientens rätt att spärra uppgifter om läkemedelsordinationer i det följande.

Vidare har regeringen nyligen tillsatt ytterligare en utredning, E- hälsokommittén (S2013:17), med uppdrag att se över frågor som rör registrering och hantering av läkemedelsordinationer. Enligt direktivet ska utredningen utreda behovet av en bättre hantering av informationen i hela ordinationskedjan från förskrivare via expedi- tör till slutanvändaren och vid behov lämna förslag på hur en bättre hantering kan åstadkommas. Utredaren ska vid behov även utarbeta nödvändiga författningsförslag.

De frågor som E-hälsokommittén har att hantera överlappar i viss mån de frågor som är aktuella i vår utredning avseende en ändamålsenlig hantering av uppgifter om ordinerade läkemedel. I dessa delar har vi därför samrått med E-hälsokommittén.

15.1.2Kort om nationell läkemedelsstrategi

Inom ramen för Nationell eHälsa tillsatte regeringen 2011 en särskild styrgrupp för it och läkemedel. I regeringens skrivelse, där regeringen redovisar sin bedömning av Riksrevisionens iakttagelser i rapporten Rätt information vid rätt tillfälle inom vård och omsorg

– samverkan utan verkan? (RiR 2011:19), anges bland annat följande.3

Risken för felmedicinering eller en olämplig kombination av läkemedel är de kanske mest konkreta riskerna som individer, särskilt äldre, möter i sina kontakter med vården och omsorgen. En förutsättning för att minimera dessa risker är, som beskrivits ovan, lagstiftning som medger att behörig personal har tillgång till personuppgifter om den enskilde och information om de insatser som den enskilde fått tidigare. En annan förutsättning är att förskrivare och andra personalkategorier använder stödsystem som ger en samlad bild av individens läkemedels- användning inom såväl öppen som sluten vård. För att etablera en nationell ordinationsdatabas (NOD) samt påskynda införandet av elektroniska förskrivar- och expeditionsstöd inom hela hälso- och sjukvården och berörda delar av socialtjänsten har regeringen inrättat

3 Regeringens skrivelse 2011/12:34.

398

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

en styrgrupp (regeringens beslut den 16 juni 2011). Styrgruppen hanterar den nationella läkemedelsstrategins insatsområde om ordina- tionsprocessen.

I uttalandet från regeringen betonas de allvarliga risker som uppstår, inte minst för äldre, vid felmedicinering eller vid en olämplig kombination av läkemedel. En lagstiftning som medger att behörig personal har tillgång till uppgifter om patienternas samlade läkemedelsanvändning nämns som en förutsättning för att reducera riskerna.

Under 2011 arbetade regeringen tillsammans med bland annat Sveriges kommuner och landsting, Socialstyrelsen, Läkemedels- verket, Tandvårds- och läkemedelsförmånsverket, Statens bered- ning för medicinsk utvärdering, läkarprofessionen, läkemedels- industrin och apoteksbranschen fram en nationell läkemedels- strategi med ett antal insatsområden. Syftet var att få en nationell kraftsamling på prioriterade förbättringsområden inom läkemedels- området.

Målen med den nationella läkemedelsstrategin är

-medicinska resultat och patientsäkerhet i världsklass

-jämlik vård

-kostnadseffektiv läkemedelsanvändning

-attraktivitet för innovation av produkter och tjänster

-minimal miljöpåverkan

Strategin innefattade ursprungligen ett trettiotal planerade aktivi- teter inom olika insatsområden, såsom exempelvis följande.

1.Skapa en bättre och säkrare ordinationsprocess och lägga grunden för generisk förskrivning genom nationellt samordnade it-stöd.

2.Öka samsyn och förståelse för ordinerad läkemedelsbehandling.

3.Utveckla kunskap om och riktlinjer för läkemedel och läkemedelsanvändning för de patientgrupper där det är mest eftersatt.

I dessa övergripande punkter ingår olika avgörande delmoment som man sedan kan följa upp i ”Handlingsplanen för nationell läkemedelstrategi 2013”, där bland annat följande framgår.

399

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Färdigställande av it-plattform för nationellt dosregister och överföring av information från befintliga dosregister. Nationellt dosregister har skapats. Övergång har skett nationellt till ordinationsverktyget Pascal. Processen har krävt förändrade arbetsrutiner och anpassning på olika håll såväl inom vården, som för förskrivarna och på apoteken.

Skapande av nationell ordinationsdatabas inom ramen för nuvar- ande lagstiftning. Arbetet pågår och görs inom ramen för Nationell eHälsa.

Skapande av förutsättningar för effektiva läkemedelsgenom- gångar och arbete i vårdens övergångar.

15.2Kort om läkemedelsbehandling

För att kunna analysera och värdera de utmaningar och hinder som finns för en mer ändamålsenlig hantering av läkemedelsrelaterade uppgifter om patienter i hälso- och sjukvården är det nödvändigt att kortfattat beröra ett antal grundläggande faktorer kring läkemedelsbehandling. Det handlar bland annat om omfattningen av läkemedelsbehandlingen och de risker som finns för patienterna om tillgång till korrekt och aktuell information saknas. Vidare redogörs översiktligt för de olika besluts- och informations- underlag som hälso- och sjukvårdspersonal och patienter har när det gäller läkemedelsbehandling.

15.2.1Omfattning m.m.

Läkemedelsbehandling är i dag den vanligaste behandlingsinsatsen och också den som ger mest resultat. Samtidigt kräver läkemedels- behandling stora resurser inkluderande såväl hälso- och sjukvårds- personal som pengar och är förenad med stora risker när den inte används på ett rätt sätt. WHO har bl. a deklarerat följande.4

Mer än 50 % av alla läkemedel förskrivs, dispenseras och säljs på medicinskt olämpligt sätt och hälften av alla patienter lyckas inte ta sina läkemedel korrekt. Denna överanvändning, underanvändning samt felanvändning av läkemedel skadar människor och ger resursförluster.

4 WHO, Active Ageing, A policy Framework. In: WHO, editor, 2002.

400

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

I Sverige används läkemedel för ungefär 36 miljarder kronor per år, vilket är omkring 12 procent av de totala offentligt finansierade hälso- och sjukvårdskostnaderna.5 Den största delen av läkemedels- kostnaden, omkring 26 miljarder kronor, utgörs av receptbelagda läkemedel som expedierats på apotek. Kostnadsökningen som skett de senaste 20 åren kan relateras till faktorer som en åldrande befolkning, mer och intensivare behandling, nya riktlinjer, nya läkemedel och ett nytt ersättningssystem.

Särskilt när det gäller innebörden av en åldrande befolkning kan noteras att äldres användning av läkemedel nästan har fördubblats de senaste 20 åren, från tre till i dag mellan fem och sex preparat per person.6 Sveriges befolkning förväntas öka med fem procent mellan 2009 och år 2020. Samtidigt förväntas den äldre delen av befolkningen, som har det största behovet av läkemedel, utgöra en allt större andel av befolkningen. Med dagens läkemedelsanvänd- ning kan demografiska faktorer förväntas bidra med en ökad kostnad på 3 miljarder kronor år 2020.7 Utmaningen för samhället framöver utgörs därmed bland annat av bördan av kroniska sjukdomar och kronisk medicinering i takt med att patienterna överlever och lever längre.

För många patientgrupper har behandlingsmöjligheterna med moderna läkemedel inneburit förbättrad livskvalitet, minskade invalidiserande symtom, minskat sjukvårdsbehov och förbättrad prognos. Detta är stora och tungt vägande fördelar i dagens hälso- och sjukvård. I takt med tiden och ökad överlevnad tack vare behandling framträder dock en annan bild, nämligen avigsidan av alltför omfattande behandling främst hos en åldrande befolkning. Särskilt utsatta för läkemedelsrelaterade problem är sköra äldre som på grund av sviktande funktioner eller sjukdom också är mest känsliga för läkemedel. Dessa personer använder i dag i genomsnitt tio preparat per person.8

15.2.2Kort om risker och läkemedelsrelaterade problem m.m.

Beräkningar visar att 3–15 procent (i vissa studier upp till 30 pro- cent) av alla patienter som behöver sjukhusvård gör det med läke- medel som utlösande eller bidragande orsak. Vid olika kart-

5SOU 2012:75 s. 184.

6Socialstyrelsen, Kvaliteten i äldres läkemedelsanvändning (2011) s. 9.

7SOU 2012:75 s. 197 f.

8Socialstyrelsen, Kvaliteten i äldres läkemedelsanvändning (2011) s. 9.

401

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

läggningar har det visat sig att av alla läkemedelsrelaterade sjukhus- inläggningar så är 31 procent kopplade till förskrivningsproblem, 33 procent med följsamhetsproblem och 22 procent med moni- toreringsproblem.9

Beräkningarna visar enligt utredningen på en i högsta grad allvarlig problembild. De redovisade problemen och komplexiteten i förskrivningsprocessen, speciellt gällande de multisjuka äldre, involverar patienten, förskrivaren och vårdgivarna. Det är på alla sätt en gemensam utmaning för hela hälso- och sjukvårdssystemet. Den fråga som utredningen vill lösa handlar om hur informations- hanteringen i hälso- och sjukvården kan utformas för att bidra till att reducera dessa risker och leda till bättre resultat för patienterna.

Äldre och multimedicinering

Även om läkemedelsbehandling självklart har potential att väsentligt förbättra människors hälsa och livskvalitet träder samtidigt en annan bild fram. I takt med tiden och med en ökad överlevnad synliggörs avigsidan av en alltför omfattande läkemedelsbehandling främst hos en åldrande befolkning, och framför allt hos de multi- sjuka äldre. Det handlar om läkemedelsrelaterade problem i form av biverkningar, interaktioner, överbehandling och olämplig behand- ling, åtföljt av en markant kostnadsökning av läkemedels- och sjukvårdsnotan.

Ålder och samsjuklighet (komorbiditet) är uppenbara risk- faktorer avseende multimedicinering (polyfarmaci). Med stigande ålder följer en förändrad känslighet för läkemedel vilket i sig innebär risker. Multimedicinering är i sig också associerat med olämplig medicinering och läkemedelsrelaterade problem som exempelvis interaktioner och biverkningar. Men även negativa läkemedels- reaktioner såsom fall och förvirring som i sin tur sedan åtföljs av ökad sjuklighet, sjukhusinläggningar och ökade sjukvårdskostnader totalt.

Antalet läkemedel är i sig inte enbart avgörande för om en patient drabbas av läkemedelsrelaterade problem. Men ju fler läke- medel desto större är risken för läkemedelsrelaterade problem. För patienternas del innebär låg kvalitet i läkemedelsbehandlingen ofta även sämre livskvalitet.

9 Nordin Olsson, Rational drug treatment in the elderly, 2012.

402

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Drygt en fjärdedel av de vårdskador som identifierades i Social- styrelsens vårdskadestudie 2007 hade orsakats av olämplig läke- medelsbehandling. I registeranalyser utförda av Socialstyrelsen 2012 har även visats att omfattande läkemedelsbehandling av personer över 65 år medförde ökad risk för dödsfall, akutmottag- ningsbesök, magtarmblödning och fallskada.10

De bakomliggande orsaker till fortgående multimedicinering är sannolikt flera. Det kan exempelvis bero på sådant som oklara indikationer, brister i diagnostik och dålig uppföljning. En bristande utvärdering av insatta läkemedels effekter medför uppen- bara risker, inte minst för äldre patienter. Om den hälso- och sjukvårdspersonal som den äldre möter i vården dessutom saknar en samlad översikt över den pågående läkemedelsbehandlingen blir riskerna ännu större.

Vårdprocesser och övergångar i vårdnivåer

Utformningen av dagens äldrevård med en uppdelad vårdkedja och olika utförare innebär utmaningar för en bättre och säkrare läkemedelsprocess. I och med Ädelreformen 1992 övergick det samlade ansvaret för äldrevården till kommunerna medan lands- tingen har kvar det övergripande sjukvårdsuppdraget och ansvaret för läkarinsatserna. Valfrihetsreformen och det ökande antalet privata har också medfört att komplexiteten i vårdkedjan har blivit större.

För många äldre är det inte ovanligt att man växlar mellan att bo i eget boende och särskilt boende, mellan att vara inlagd i sluten vård och att vistas i korttidsboende. Många gör även besök i öppenvården. Det innebär många övergångar mellan huvudmän, vårdgivare och utförare av socialtjänst. Varje övergång i vårdkedjan innebär risker för fel i läkemedelslistan då information ska över- föras mellan olika aktörer och mellan olika system. Detta medför risker för att flera läkemedelslistor med innehåll som inte stämmer överens med varandra uppstår. Förändringar av ordinationer under en vårdtid är självklart naturligt och vanligt förekommande. Men när informationsöverföringen brister mellan de olika stegen i vård- kedjan, dvs. i varje vårdövergång, ökar riskerna för att fel i

10 Socialstyrelsen, Äldre med regelbunden medicinering – antalet läkemedel som riskmarkör (2012).

403

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

läkemedelsordinationerna uppkommer varvid säkerheten i behand- lingen minskar.

Läkemedelsgenomgångar

Problemen med läkemedelsbehandling för äldre är så allvarliga och omfattande att Socialstyrelsen under 2011 fick i uppdrag att göra en revidering av myndighetens föreskrifter om läkemedels- hantering med ett tillägg om läkemedelsgenomgångar för äldre med flera läkemedel.

Socialstyrelsens nya föreskrift (SOSFS 2012:9) adresserar äldre som är 75 år och uppåt och har 5 eller fler läkemedel.11 För dessa ska läkemedelsgenomgångar genomföras vid alla besök i öppen vård, vid inläggning på sjukhus, inflyttning på särskilt boende och inskrivning i hemsjukvård samt i alla situationer med misstänkta läkemedelsproblem oavsett ålder. Arbetet ska genomföras systematiskt och i två delar. Det handlar dels om en enkel läke- medelsgenomgång med kartläggning av vad patienten har och tar, dels om så krävs ett nästa steg med fördjupad läkemedels- genomgång. Den medicinska bakgrunden till behandlingen ska då ifrågasättas och omprövas, med tidsbestämd uppföljning efteråt. Målet är att läkemedelsbehandlingen ska vara ändamålsenlig och säker.

15.3Hur ser ordinatörens beslutsunderlag ut?

I den nationella läkemedelsstrategin anför regeringen att en förskrivare (ordinatör) är beroende av såväl korrekt information om patientens aktuella läkemedelsbehandling som om relevant och välstrukturerad information om de läkemedel som ska förskrivas. I dagsläget har förskrivaren vid ordinationstillfället inte alltid tillgång till sådan information. Det medför självklart negativa konsekvenser för möjligheterna till en god och säker vård för patienterna. I det följande berörs kortfattat vad ordinatörens beslutsunderlag består av och hur de olika delarna samspelar med varandra.

11 Socialstyrelsens föreskrifter om ändring i föreskrifterna och allmänna råden (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården.

404

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Förskrivning och ordination, förskrivare och ordinatör

Förskrivning är ett begrepp som innebär att en läkemedels- ordination skickas elektroniskt eller skrivs ut på en receptblankett så att patienten kan hämta ut det ordinerade läkemedlet på ett apotek. Lite beroende på vilken situation som avses talas i hälso- och sjukvården i dag både om förskrivning och om ordination. Historiskt sett är begreppet förskrivning mer förknippat med en åtgärd inom öppenvården som åtföljs av expediering på apotek, medan begreppet ordination både är vidare i sin betydelse genom att det kan omfatta andra åtgärder än läkemedelsbehandling och mer förekommande i slutenvården. Kedjan ordination av läke- medel, förskrivning av recept och expediering på apotek, motsvaras i slutenvården av ordination av läkemedel, beredning av läkemedlet och delning eller administrering av läkemedlet till patienten. Förhållandet mellan förskrivning och ordination kan beskrivas på det sättet att vissa ordinationer är läkemedelsordinationer och vissa av dessa (i öppenvården) resulterar i en förskrivning av ett recept. En trend synes dock vara att generellt gå från begreppet för- skrivning mot det vidare begreppet ordination.

Endast läkare har en generell rätt att förskriva läkemedel, s.k. fri förskrivningsrätt, varför det skulle kunna anses lämpligt att i stället använda begreppet läkare. Samtidigt har vissa andra yrkesgrupper en begränsad rätt att förskriva läkemedel, t.ex. tandläkare, sjuk- sköterskor med särskild utbildning i farmakologi och sjukdomslära samt barnmorskor. Sett mot den bakgrunden använder vi generellt begreppen förskrivare och ordinatör för att benämna den yrkes- utövare som har att fatta beslut om patienters läkemedels- behandling.

Patientjournalen

Patientjournalen är den primära informationskällan för den som deltar i vården av en patient och exempelvis överväger en läke- medelsordination. I patientjournalen ska antecknas samtliga upp- gifter som behövs för en god och säker vård av patienten. Uppgifter om ordinerade läkemedel är naturligvis nödvändigt för att ge en god och säker vård. Det är vanligt att dokumentation av uppgifter om ordinerade läkemedel görs och visas i en särskild läkemedelslista i journalsystemet, där denna information kan vara

405

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

direkt kopplad till annan väsentlig information som uppgifter om vem som ordinerat läkemedel, orsaken till ordinationen, mål för behandlingen, planerad uppföljning av läkemedelsbehandlingen samt patientens övriga hälsotillstånd vid ordinationstillfället.

Utveckling med elektroniska journalsystem och tillhörande läkemedelsmoduler har möjliggjort snabbare, effektivare och säkrare handläggning i samband med läkemedelsordinationer. System för sammanhållen journalföring har dessutom möjliggjort viss informa- tionsöverföring över vårdgivargränserna. Samtidigt uppger vård- givare och yrkesutövare att det förekommer många olika läkemedelslistor och s.k. ordinationsunderlag i verksamheterna, vilket medför risker för felaktiga eller olämpliga ordinationer. Läkemedelslistan delas inte heller alltid i realtid på ett sådant sätt att den finns tillgänglig i den stund behovet uppstår, vilket ger ett bristande ordinationsunderlag och medföljande risk för patienten.

Såvitt utredningen kan bedöma finns i dag inget samlat och enhetligt dokumentationssystem som gör att en läkemedelslista kan delas och ses av alla för patienten relevanta vårdgivare samtidigt och som möjliggör en aktuell överblick över patientens samlade läkemedel. Vissa undantag från detta finns självklart, exempelvis på mer lokal eller regional nivå där vårdgivare som använder samma journalsystem har förutsättningar att skapa en samlad läkemedel- slista. Hur komplett ordinatörens läkemedelslista är beror därför mycket på hur stort verksamhetsområde som delar samma läke- medelslista, dvs. har samma journalsystem eller system för sammanhållen journalföring. Samtidigt har antalet vårdgivare ökat liksom patientrörligheten, vilket sammantaget gör att behovet av att hålla ihop en samlad läkemedelslista, alldeles oavsett vilka journalsystem de olika vårdgivarna använder, nu är större än någon- sin tidigare. Varje gång en patient väljer att besöka olika vårdgivare som har olika journalsystem ökar sannolikheten för att informa- tionen om ordinationerna inte finns i en samlad läkemedelslista, utan är utspridda på olika listor i de olika journalsystemen.

Förutom brist på en korrekt och samlad läkemedelslista är det en särskild utmaning att känna till vilka läkemedel patienten faktiskt tar. Frekvensen korrekta läkemedelslistor, dvs. överens- stämmelse mellan journaluppgifter och vad patienten faktiskt tar har vid olika genomgångar visat sig mycket låg. I en studie som uppmärksammades i Läkartidningen 2012 framgår att 8 av 10 patienter med 5 eller fler läkemedel hade minst en avvikelse (i

406

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

genomsnitt 29 procent) mellan aktuell medicinering och ordinationer i patientjournalens läkemedelslista.12

Receptregister och läkemedelsförteckning

Bilden av ordinatörens beslutsunderlag blir än mer komplex genom att viss information om patientens läkemedelsbehandling ibland även kan inhämtas genom tillgång till receptregistret och läke- medelsförteckningen. Det är eHälsomyndigheten som ansvarar för dessa register. Receptregistret innehåller information om alla elektroniska receptförskrivningar, medan läkemedelsförteckningen innehåller uppgift om alla receptbelagda läkemedel som patienter har hämtat ut på apoteken. Dessa register kan komplettera bilden av patientens läkemedelsbehandling, men saknar förutsättningar att själva utgöra patientens aktuella läkemedelslista eftersom doseringar kan ha ändrats och läkemedelsbehandling upphört utan att själva receptet makulerats.13

Ordinatörens informationskällor består alltså av en eller flera läkemedelslistor i journalsystemen (bl.a. beroende på patient- rörlighet och tekniska förutsättningar), receptregistret med patientens förskrivningar samt läkemedelsförteckningen som ger svar på vilka receptförskrivna läkemedel patienten hämtat ut på apotek. Till detta ska läggas patientens egna uppgifter om vilka läkemedel som han eller hon tar.

Förutsättningarna för ordinatören att ta del av informationen i dessa olika källor är emellertid olika utformat för var och en av källorna. Direktåtkomst till receptregistret får exempelvis bara förekomma för legitimerad hälso- och sjukvårdspersonal samt endast om det rör uppgifter om patienter med dosdispenserade läkemedel. Direktåtkomst till läkemedelsförteckningen får med patientens samtycke och under vissa andra förutsättningar ges till yrkesutövare med förskrivningsrätt och sjuksköterskor utan förskrivningsrätt. Åtkomst till uppgifter om ordinerade läkemedel m.m. i journalsystemen får t.ex. ges till den som arbetar hos en vårdgivare och behöver uppgifterna för vården av patienten.

Enligt utredningens bedömning är dessa olikheter en av de faktorer som bidrar till risker och osäkerheter i läkemedels- processen. Längre fram redovisas och analyseras mer ingående de

12Rutberg, Hoffman m.fl., Läkartidningen 2012-05-15, nr 20.

13Ekedahl, Stora brister i information om ordinerade läkemedel, Läkartidningen 2010-09-03.

407

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

olika förutsättningarna för åtkomst till läkemedelsrelaterade upp- gifter.

15.3.1Våra reflektioner

Utredningen konstaterar att ordinatörens beslutsunderlag är en förutsättning för kvalitet och patientsäkerhet i läkemedels- processen. Samtidigt är den information som behövs utspridd på olika informationskällor hos olika vårdgivare och i två register som förs av eHälsomyndigheten. Den stora ökningen av antalet vård- givare som har ägt rum alltsedan år 2009 har tillsammans med den ökade patientrörligheten och specialiseringen i hälso- och sjuk- vården medfört att behoven av att hålla samman uppgifter om patienternas läkemedelsbehandling är större än någonsin. Därför är det enligt utredningen bedömning angeläget att utvecklingen mot en samlad, korrekt och aktuell bild av patientens läkemedels- behandling drivs framåt på ett kraftfullt sätt – trots att det finns stora utmaningar, såväl legala som mer praktiska.

Problemen och riskerna med olika läkemedelslistor och åtföljande fel i ordinationer samt läkemedelsbehandlingar har uppmärk- sammats sedan länge och även påvisats i olika studier. Sammantaget gör de divergerande läkemedelslistorna det närmast omöjligt att följa upp och se behandlingseffekt eller att värdera nya sjuk- domssymtom kontra läkemedelsrelaterade problem. Ofullständiga beslutsunderlag medför även risker för att nya läkemedel förskrivs i stället för att en omprövning görs och läkemedel sätts ut, dvs. att den riskabla ”förskrivningskaskaden” uppstår. En sådan trend är problematisk och riskerar inte minst att bidra till onödigt lidande för enskilda patienter. Läkemedelsbehandling fordrar systematik; indikation, värdering av risker och nytta, kontinuerlig uppföljning samt att i varje stund av nytillkomna symtom beakta läkemedel som tänkbar utlösande orsak. För att kunna göra detta krävs ett korrekt och aktuellt underlag av patientens läkemedelsbehandling.

För ordinatören som ska ta ställning inte bara till enskilda läkemedel, utan även till hur läkemedel samverkar med varandra och med andra pågående behandlingar för att bl.a. ta ställning till fortsatt behandling krävs visserligen mer information än endast uppgift om ordinerade läkemedel. Det behövs inte sällan en kopp- ling mellan varje läkemedelsordination och exempelvis information

408

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

om vem som ordinerat läkemedlet, orsaken till ordinationen, mål för behandlingen samt planerad uppföljning.

I sammanhanget är även hälso- och sjukvårdspersonalens personliga yrkesansvar relevant. Hälso- och sjukvårdspersonalen ska enligt 6 kap. 1 § patientsäkerhetslagen (2010:659), förkortad PSL, utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull vård som uppfyller dessa krav. Detta ansvar betonas ytterligare i läkemedelslagen (1992:859). Enligt 22 § denna lag ska den som förordnar eller lämnar ut läkemedel särskilt iaktta kraven på sakkunnig och omsorgsfull vård samt på upplysning till och samråd med patienten eller företrädare för denne. Men den rådande situationen med en mer fragmentiserad vård, kortare vårdtider och subspecialisering har medfört att färre förskrivare än tidigare tar ett helhetsansvar för den enskilde patientens medicinering – trots att behovet är större. En samlad överblickbar läkemedelslista är naturligtvis en grundförutsättning. Utöver detta krävs att för- skrivaren tar det förskrivaransvar som följer med fri förskrivnings- rätt.

Vår utgångspunkt är att varje förskrivare har ett ansvar för att i varje given förskrivningssituation göra en bedömning av aktuell läkemedelsbehandling, bedöma om helheten fungerar och att den ordination som avses är ändamålsenlig och säker. Även en oföränd- rad ordination kan betraktas som ett ställningstagande och i princip jämställas med en ordination av given dos, styrka och behand- lingstid.

Utredningens erfarenhet är att synsätten avseende ansvaret för patientens läkemedelslista skiljer sig åt inom professionen. Det bekräftas även av forskning inom området, där inte minst Pia Bastholm Rahmner i sin avhandling visar hur vitt skilda synsätt det finns om vilket läkarens ansvar är för patienter med många läke- medel. I avhandlingen framhålls följande fem olika synsätt på ansvaret kring läkemedelslistan.14

1.Läkaren övertar ansvaret från annan förskrivare.

2.Läkaren är ansvarig för den egna förskrivningen.

3.Läkaren är ansvarig för samtliga förskrivningar.

4.Patienten och läkaren har olika men delat ansvar.

14 Bastholm Rahmner P. Doctors and drugs – how Swedish emergency and family physicians understand drug prescribing (2009).

409

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

5.Patienten är ansvarig för att distribuera information mellan vårdgivare.

Frågan är komplex och behöver sannolikt analyseras ur flera perspektiv. Här vore det önskvärt med en aktiv inomprofessionell dialog om ansvarets omfattning och lämpliga sätt att arbeta på för att ta ett gemensamt helhetsansvar för patientens läkemedels- behandling. En sådan inomprofessionell dialog kan i sin tur vara underlag för förtydligande vägledningar från berörda myndigheter kring ordinatörers roller och ansvar kring läkemedelslistan. Utred- ningen har även under den senare delen av arbetets gång blivit varse om att dessa diskussioner nu börjar initieras och ta form. Vi har exempelvis i samband men konferenser, seminarier och vid andra former av erfarenhetsutbyten deltagit i diskussioner som handlat om roller och fördelning av ansvar för patienternas läkemedels- behandling. Utredningen har även tagit del av det nyligen fram- lagda förslag till policy om läkares ansvar som tagits fram av Läkarförbundets råd för läkemedel, IT och medicinteknik. Det är glädjande och viktigt att dessa diskussioner fortsätter och så småningom mynnar ut i en ökad tydlighet som i förlängningen förhoppningsvis kan bidra till ännu bättre resultat för patienterna.

15.4Hur ser patientens informationsunderlag ut?

För patienter och närstående, som många gånger ska ta ett ansvar för att fullfölja den ordinerade medicineringen, är det nödvändigt med korrekt och fullständig information rörande den samlade läkemedelsbehandlingen. Aktuell, korrekt och lättillgänglig informa- tion är även en viktig beståndsdel i arbetet med att skapa förutsättningar för att öka patientens delaktighet, kunskap och inflytande över sin egen situation och hälsa. Liksom för hälso- och sjukvårdspersonalen har även patienten ett antal olika källor som sammantaget kan ge svar på frågor om aktuell läkemedelsbehandling.

Patientjournalen

Patienter kan i dag använda sig av flera olika informationskällor för att få en bild av den ordinerade läkemedelsbehandlingen. En naturlig informationskälla är patientjournalen och dess läkemedels-

410

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

lista, vilken patienten exempelvis kan få en kopia på vid kontakt med en vårdgivare. Det finns även legala förutsättningar för patienten att nå informationen elektroniskt, t.ex. genom Mina vårdkontakter eller andra gränssnitt där patienten kan ta del av journaluppgifter. I dag är det dock inte många vårdgivare som rent praktiskt kan tillhandahålla journaluppgifterna på det sättet, även om det pågår ett intensivt utvecklingsarbete framför allt i lands- tingen för att möjliggöra detta.

Om patienten blivit ordinerad läkemedel av förskrivare hos flera olika vårdgivare, är informationen i dag sannolikt fragmenterad och utspridd på dessa. I sådant fall måste patienten kontakta respektive vårdgivare och begära ut kopior av läkemedelslistan för att sedan själv foga samman den totala informationsmängden. Något som naturligtvis kan vara svårt att göra eftersom det av de olika listorna kan vara svårt att härleda vilka förändringar som har skett hos respektive vårdgivare. Patienten får därmed kanske endast svar på vilka ordinationer som har gjorts hos var och en, men inte hur de förhåller sig till varandra. För patienten eller anhöriga som kanske hjälper till i läkemedelsbehandlingen uppstår därmed en osäkerhet kring vad som är den samlade och aktuella bilden.

Sparade elektroniska recept

Vidare har patienten en möjlighet att på ett apotek eller på internet ta del av uppgifter om sina elektroniskt sparade recept. Det är eHälsomyndigheten som i dag ansvarar för och tillhandahåller uppgifter om recept enligt lagen (1996:1156) om receptregister (receptregisterlagen). Patientens sparade recept går i dag att nå via Mina vårdkontakter. De sparade recepten kan innehålla uppgifter som såväl uttagna som framtida uttag av sparade recept.

Det bör samtidigt uppmärksammas att denna informationskälla inte nödvändigtvis är överensstämmande med patientens aktuella medicinering eller med vad som kan framgå vid en genomgång av journalsystemens läkemedelslistor. Patientens sparade recept kan innehålla recept på utsatta eller ändrade ordinationer samt dubbletter. Utredningen har bland annat kunna ta del av följande information från ett landstings hemsida på internet, där patienterna uppmärksammas på att det kan vara osäkert att lägga informationen

411

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

om sparade recept till grund för en bedömning om den aktuella läkemedelsbehandlingen.15

”På apoteket får du en sammanställning över dina elektroniskt sparade recept. Den visar bland annat hur länge recepten gäller, hur många gånger till du kan hämta ut läkemedlen och hur de ska doseras. Observera att

läkemedel som du inte längre ska ta kan finnas med på listan,

doseringar kanske inte stämmer om läkaren ändrat doseringen sedan receptet skrevs ut,

två läkemedel med samma substans med olika namn kan stå med och medföra risk för dubbeldosering,

läkemedel som du fortfarande ska ta kan saknas för att receptet har tagit slut.”

Läkemedelsförteckningen

Genom läkemedelsförteckningen kan patienten ta del av uppgifter om de receptförskrivna läkemedel som patienten har hämtat ut på apotek under de senaste 15 månaderna. Även läkemedelsförteck- ningen kan i dag nås genom inloggning i Mina vårdkontakter. Patienten kan även få uppgifterna genom att be om en utskrift på ett apotek eller genom att vända sig till eHälsomyndigheten med en begäran om registerutdrag enligt 26 § personuppgiftslagen (1998:204), förkortad PUL.

Även informationen i läkemedelsförteckningen kan skilja sig från den i journalsystemens läkemedelslistor. Olikheterna uppstår exempelvis om det ordinerade läkemedlet byts ut vid expedieringen på apoteket (generikabyte). Medan patientjournalen i ett sådant fall innehåller uppgift om det läkemedel som patienten ordinerats, ger läkemedelsförteckningen svar på vilket läkemedel patienten hämtat ut. För patienter som begärt journalkopior och utdrag ur läke- medelsförteckningen kan därmed en förvirrande situation uppstå.

15 Landstinget i Gävleborg, www.lg.se, 2014-02-17.

412

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Läkemedlets förpackning

Ytterligare en informationskälla för patienten är själva läkemedels- förpackningarna, som innehåller en bipacksedel från tillverkaren och en etikett från det expedierande apoteket. Denna information behöver nödvändigtvis inte överensstämma med den som exempel- vis patienten har fått genom en kopia av patientjournalen eller med den som finns i de elektroniskt sparade recepten. Exempelvis kan ett generisk utbyte av läkemedlet ha ägt rum, vilket får till följd att läkemedel med andra namn än de som finns i läkemedelslistan eller bland de sparade recepten kan ha expedierats.

15.4.1Våra reflektioner

Utredningen kan konstatera att de olika informationskällorna om patientens läkemedelsbehandling är konstruerade på ett sådant sätt att det kan vara svårt för patienten att få en korrekt och aktuell bild av sin egen läkemedelsbehandling. Detta är ett problem ur ett patientsäkerhetsperspektiv, men bidrar även till att i allmänhet skapa en osäker och otrygg situation för patienter och anhöriga. Även sett ur ett grundläggande integritetsperspektiv är de uppen- bara riskerna för divergerande information i de olika källorna ett problem. Även om personuppgiftsbehandlingen i och för sig är korrekt utifrån respektive vårdgivares, apoteks och eHälsomyndig- hetens perspektiv, ger den sammantagna informationen upphov till en osäker och ibland felaktig bild av den faktiska situationen för patienten. Mot den bakgrunden kan på en generell nivå ifrågasättas om den sammantagna personuppgiftsbehandlingen ligger i linje med det grundläggande integritetsskyddsintresset om att de person- uppgifter som behandlas är riktiga, aktuella och i övrigt behandlas i enlighet med vad som är god sed.

Individen har behov av information om sin egen medicinering. Hälso- och sjukvårdspersonalen och apotekspersonalen har behov av en samlad, korrekt och aktuell bild av patientens läkemedels- behandling för att kunna erbjuda en god och säker vård. Vi anser därför att dagens splittrade regelverk behöver ses över på ett samlat sätt.

413

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

15.5På väg mot en samlad läkemedelslista – Nationell ordinationsdatabas

Både på lokal, regional och på nationell nivå pågår i dag en utveckling mot att skapa en samlad läkemedelslista. På lokal och regional nivå sker det exempelvis genom samarbeten mellan vård- givare som använder samma journalsystem. På nationell nivå pågår utvecklingen genom anslutningar till den Nationella Patient- översikten, NPÖ, som bland annat har för avsikt att innehålla upp- gifter om ordinerade läkemedel.

Samtidigt driver landstingen genom Inera AB ett specifikt utvecklingsarbete, Nationell Ordinationsdatabas (NOD), som syftar till att på en nationell nivå skapa en samlad informationskälla för patientens läkemedelsbehandling. NOD ska utgöra en natio- nell, samlad läkemedelslista inom ramen för regelverket med sammanhållen journalföring.

I en informationsbroschyr16 om NOD anges att visionen för den samlade läkemedelslistan är att den ska bidra till rätt läke- medelsanvändning till nytta för patient och samhälle genom att:

1.visa samma information om läkemedel för alla ordinatörer i patientens vårdkedja, för övrig behandlande vård- och omsorgs- personal, för apoteken och för patienten själv.

2.i samma vy ge information om vilka läkemedel som patienten ordinerats just nu och vid tidigare vårdkontakter, vilka av dessa som har hämtats ut på apotek, vilka som har bytts ut och vilka som finns kvar att hämta ut.

3.ge ordinatören möjlighet att ordinera på samma sätt oavsett om läkemedlen förpackas i dospåsar på apotek eller lämnas ut i originalförpackning.

4.undanröja behovet av dubbelregistrering av samma information i olika listor och system.

5.kopplas till beslutsstöd med aktuell information om läkemedel, biverkningar, korsreaktioner mellan läkemedel med mera.

6.bidra till utvecklingen av generisk förskrivning.

16 Center för eHälsa i samverkan, En samlad läkemedelslista, Beskrivning av Nationell ordinationsdatabas, NOD (2013).

414

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Som konstateras i det föregående är informationen om patientens läkemedelsbehandling i dag utspridd på olika informationskällor inom hälso- och sjukvården och i apoteksledet. Dessutom regleras förutsättningarna för åtkomst till informationskällorna av olika författningar, som alla anger olika villkor för vem som får ta del av informationen och för vilka ändamål det får ske. Mot bakgrund av vad som redovisas nedan om gällande rätt kan utredningen konstatera att delar av det som uttrycks i visionen svårligen kan realiseras inom ramen för gällande regelverk. Det beror bland annat på att förutsättningarna för registrering och åtkomst till informa- tion är olika reglerat i patientdatalagen, lagen om läkemedels- förteckning och receptregisterlagen.

15.6Problembeskrivning – våra reflektioner av gällande rätt

Som nämnts ovan regleras förutsättningarna för åtkomst till uppgifter i patientjournalen, läkemedelsförteckningen och recept- registret av olika författningar, som alla ställer upp olika villkor för vem som får ta del av informationen och för vilka ändamål det får ske. Förutom att det bidrar till att skapa en splittrad och motsägelsefull information om patientens läkemedelsbehandling påverkar det förutsättningarna för att komma till rätta med situa- tionen och driva arbetet mot en samlad läkemedelslista framåt. De olika informationskällorna påverkar också förskrivarnas arbets- miljö. Den bristande logiken avseende vilka förutsättningar för åtkomst som finns till de olika registren och den bristande överensstämmelsen avseende informationen skapar både osäkerhet och frustration. I det följande beskrivs kortfattad de olika regel- verken.

15.6.1Åtkomst till journaluppgifter/läkemedelslista

Åtkomst till uppgifter i patientjournalen styrs i dag av bestäm- melser i patientdatalagen och Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. De närmare förutsättningarna beror sedan på om åtkomsten avser uppgifter inom den egna vårdgivarens verksamhet

415

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

eller om det rör sig om åtkomst till uppgifter hos andra vårdgivare (sammanhållen journalföring).

Åtkomst inom en vårdgivares verksamhet

En grundläggande förutsättning för att ta del av uppgifter om ordinationer som har dokumenterats i den egna vårdgivarens verksamhet är att användaren antingen deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete i hälso- och sjukvården. De faktiska möjligheterna att elektroniskt ta del av uppgifterna kan även bero på hur vårdgivarens verksamhet är organiserad, var i vårdgivarens verksamhet patienten blivit ordi- nerad läkemedel samt om patienten spärrat information mellan vårdenheter och vårdprocesser i vårdgivarens organisation. Det är en förhållandevis komplex situation som kan uppstå och som behöver beskrivas för att ge en fullständig bild av de förutsätt- ningar som kan uppstå för ordinatören och annan hälso- och sjukvårdspersonal.

Om patienten inte har spärrat uppgifter inom vårdgivarens verksamhet så får den som t.ex. deltar i vården av patienten och behöver uppgifterna för sitt arbete, ta del av uppgifter om ordinationer efter ett antal aktiva val. Möjligheten för ordinatören att snabbt och enkelt ta del av en samlad läkemedelslista inom vårdgivarens verksamhet får mot bakgrund av gällande regelverk dock betraktas som begränsade. Åtminstone om patienten har fått läkemedel ordinerat från olika delar av vårdgivarens verksamhet, t.ex. från olika vårdenheter. I 2 kap. 7 § SOSFS 2008:14 anges nämligen följande.

Vårdgivaren ska ansvara för att information om vilka vårdenheter som har uppgifter om en viss patient inte kan göras tillgänglig utan att den behörige användaren gör ett aktivt val, d.v.s. gör ett ställningstagande till, om han eller hon har rätt att ta del av dessa uppgifter. Patient- uppgifterna hos dessa vårdenheter får sedan inte göras tillgängliga utan att den behörige användaren gör ytterligare ett aktivt val.

Såvitt utredningen kan bedöma medför kraven i föreskriften ovan hinder mot att skapa en vårdgivarintern samlad läkemedelslista med uppgifter om patientens ordinationer från olika vårdenheter, med mindre än att ordinatören gör ett antal ställningstaganden och aktiva val för att få tillgång till den samlade informationen. För att illustrera hur föreskriften är tänkt att tillämpas har Socialstyrelsen i

416

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

sin handbok tagit fram följande exempel. För att exemplet ska bli ännu mer illustrativt för läkemedelsprocessen har vi på ett antal ställen nedan ersatt orden ”sjuksköterska” och ”användare” med ”ordinatör” samt orden ”uppgifter” och ”patientuppgifter” med ”uppgift om ordinerade läkemedel”.

En ordinatör ska kunna se i systemet om det finns uppgift om ordi- nerade läkemedel hos en annan vårdenhet, men inte vilken. Ordinatören ska också kunna se om uppgifterna är spärrade eller inte.

För att kunna se hos vilken vårdenhet eller vårdprocess som upp- gifter om ordinerade läkemedel finns måste ordinatören först göra ett aktivt val. Det aktiva valet fungerar som en tröskel där ordinatören aktivt väljer åtkomst till uppgifter genom att gå vidare i informations- systemet.

Om någon annan vårdenhet har ospärrade uppgifter ordinerade läkemedel måste ordinatören göra ytterligare ett aktivt val för att få tillgång till dessa uppgifter. En annan vårdenhet kan också ha spärrade uppgifter om patienten, och då måste ordinatören först ha patientens samtycke. Även här måste ordinatören göra aktiva val för att nå upp- gifterna.

Nedan följer ett exempel på hur en ordinatör kan få åtkomst till ospärrade uppgifter om ordinerade läkemedel inom en och samma vårdgivare:

1)En ordinatör kan se att det finns ospärrade uppgifter om ordinerade läkemedel om en viss patient hos en annan vårdenhet inom samma vårdgivare, men inte vilken enhet det är.

2)Ordinatören gör därefter ett aktivt val i systemet, vilket innebär att han eller hon tagit ställning till och anser sig ha rätt att ta del av upp- gifterna. Därefter kan ordinatören se att uppgifterna om ordinerade läkemedel finns vid en psykiatrisk enhet.

3)Ordinatören gör ytterligare ett aktivt val i systemet, det vill säga återigen tar ställning till om han eller hon har rätt att ta del av upp- gifterna. Därefter kan ordinatören läsa de ospärrade uppgifterna om ordinerade läkemedel.

4)Samtliga aktiva val som ordinatören har gjort har blivit loggade i systemet och kan följas upp i efterhand.

Vårdgivaren ansvarar för att åtkomsten till ospärrade patientuppgifter regleras i enlighet med 2 kap. 7 § i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Situationen ovan blir om möjligt än mer komplex i de fall patienten valt att spärra uppgifter om ordinerade läkemedel från elektronisk åtkomst inom en vårdgivares verksamhet. I ett sådant fall syns inte de spärrade uppgifterna bland de uppgifter som ordinatören kan ta

417

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

del av enligt ovan, utan åtkomsten till de spärrade uppgifterna får ske först efter patientens samtycke och ytterligare ett aktivt val. Spärrade uppgifter inom en vårdgivares verksamhet går även att ta del av i mer akuta nödsituationer där patienten inte kan lämna sitt samtycke.

Sammantaget kan konstaterar utredningen att det vid utform- ningen av läkemedelslistan och det gränssnitt som hälso- och sjukvårdspersonalen möter behöver tas hänsyn till en rad olika faktorer och krav i regelverken. Det kan ifrågasättas om dessa krav i praktiken är möjliga att genomföra och förena med hur hälso- och sjukvårdsverksamhet bedrivs i dag och med de övriga krav som finns på kvalitet, patientsäkerhet, effektivitet m.m.

Åtkomst mellan vårdgivare – sammanhållen journalföring

Uppgifter om ordinerade läkemedel kan precis som andra informa- tionsmängder delas mellan vårdgivare i system för sammanhållen journalföring. Som vi har beskrivit flera gånger tidigare i betänkandet är sammanhållen journalföring i dag närmast en förutsättning för att kunna bedriva god och säker vård.

För att kunna skapa en läkemedelslista som går över vårdgivar- gränser och innehåller uppgifter om de ordinationer som gjorts hos respektive vårdgivare krävs i ett första skede att patienterna informerats om den sammanhållna journalföringen och sedan inte motsatt sig den. För den patient som motsätter sig sammanhållen journalföring får uppgifterna inte delas mellan vårdgivarna. Det innebär att övriga vårdgivare inte genom direktåtkomst kan ta del av uppgifter om ordinerade läkemedel om patienten. Uppgifterna finns därmed inte tekniskt åtkomliga. I systemet får det dock framgå att det finns uppgifter om patienten och hos vilken vård- givare det finns, men inte någon närmare information om vilka uppgifter det rör.

För de patienter som inte sig motsätter sammanhållen journal- föring får uppgifterna göras tillgängliga för de övriga vårdgivarna som deltar i systemet. Det innebär, enligt vår bedömning, emellertid inte att uppgifterna i sig kan struktureras och slås ihop med övriga vårdgivares uppgifter på ett sådant sätt att en samlad läkemedelslista för varje patient uppstår. Även här ställer Social- styrelsens föreskrifter SOSFS 2008:14 nämligen krav på s.k. aktiva

418

SOU 2014:23 Rätt information om läkemedel – på väg mot en samlad läkemedelslista

val och att informationen struktureras efter organisatorisk tillhörighet.

Av patientdatalagen följer som grundläggande krav för åtkomst till patientens uppgifter hos en annan vårdgivare att det finns en aktuell patientrelation, att uppgifterna kan antas ha betydelse för vården av patienten samt att patienten särskilt samtycker till informationsinhämtningen. Utöver detta ställs sedan krav i 2 kap. 8 § ovan nämnda föreskrifter att ordinatören, efter att patienten lämnat sitt samtycke, gör ett aktivt val för att ta del av uppgifterna.

Även när det gäller åtkomst till uppgifter i system för samman- hållen journalföring har Socialstyrelsen i sin handbok lämnat exempel på hur föreskrifterna kan tillämpas. Av exemplet framgår följande steg för åtkomst till information hos andra vårdgivare. Även i detta exempel har vi använt oss av orden ”ordinatör” och ”uppgift om ordinerade läkemedel” för att göra exemplet mer illustrativt.

1.En ordinatör kan se att en annan vårdgivare har ospärrade uppgifter om ordinerade läkemedel om en viss patient, men inte vilken vård- givare.

2.Ordinatören måste nu inhämta samtycke från patienten för att gå vidare.

3.Om patienten samtycker måste ordinatören göra ett aktivt val innan han eller hon kan se vilka vårdgivare som har uppgifter om ordinerade läkemedel om patienten.

4.Därefter tar ordinatören ställning till hos vilka vårdgivare det finns uppgifter om ordinerade läkemedel som behövs för att vårda patienten

ett aktivt val.

5.Samtliga aktiva val som ordinatören gjort har blivit loggade i systemet och kan följas upp i efterhand.

Våra reflektioner

Vid en genomläsning av exemplen ovan framträder en bild av en omständlig informationshanteringsprocess för den som ska ta ställning till vård och behandling av patienten. Det kan ifrågasättas om detta är ändamålsenligt eller ens i linje med de krav på patientsäkerhet som måste ställas vid ordination av läkemedel. Enligt utredningens bedömning medför regleringen i föreskrifterna svårigheter för arbetet med att skapa en samlad läkemedelslista som snabbt och säkert kan nås av den som t.ex. står i begrepp att göra en ordination eller utvärdera en pågående läkemedelsbehandling.

419

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Det kan inte uteslutas att de hinder som uppställs medför ökade risker för patienter, t.ex. genom felaktiga eller olämpliga läke- medelsordinationer.

Föreskrifternas utformning blir än mer problematisk när man beaktar det grundläggande ansvaret hälso- och sjukvårdspersonalen har för att utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet och för att ge patienten en sakkunnig och omsorgsfull vård som uppfyller dessa krav (6 kap. 1 § PSL). Det kan därför krävas av den yrkesutövare som t.ex. ordinerar eller sätter ut ett läkemedel att alltid ta del av patientens läkemedelslista vid sitt ställningstagande till patientens behandling.

I sammanhanget kan exempelvis nämnas den rekommendation som landets samtliga läkemedelskommittéer tog fram år 2009. Av rekommendationen om ansvar och riktlinjer för hantering av patientens läkemedelslista i öppen vård följer bland annat detta.17

Ordinatören är skyldig att informera sig om vilka eventuella övriga läkemedel som patienten använder, att ta ställning till hur detta påverkar ens ordination eller uppföljningen av en behand- ling och ta ställning till hur den nya ordinationen påverkar tidigare ordinationer.

Ordinatören är ansvarig för att aktuell ordination är lämplig utifrån patientens status och behov samt mot bakgrund av tillgänglig historik.

På en övergripande nivå medför regleringen i föreskrifterna att journalsystemets användargränssnitt inte kan byggas utifrån användarens behov av information för att fatta bästa möjliga beslut om patientens läkemedelsbehandling, utan snarare efter organisa- toriska och andra faktorer. Samtidigt kan ifrågasättas om det i praktiken är möjligt att implementera regelverkets krav på ett sätt som är förenat med hur hälso- och sjukvårdsverksamhet bedrivs i dag. Regeringen anför i propositionen till patientdatalagen att det behövs en blandning av preventiva och reaktiva åtgärder för att patientuppgifter inte ska hanteras på ett oacceptabelt sätt samt att det knappast är möjligt att i lag formulera alla de krav som bör ställas på olika slags verksamheter. Vidare uttalar regeringen att det även finns en risk för att detaljerade bestämmelser visar sig olämpliga på sikt på grund av t.ex. en strukturell eller teknisk

17 Sveriges läkemedelskommittéer, Patientens samlade läkemedelslista – ansvar och riktlinjer för hantering i öppen vård (2009).

420

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

utveckling inom områden som nu inte kan överblickas.18 Enligt utredningens bedömning är de detaljerade kraven på journal- systemens användargränssnitt exempel på sådana bestämmelser som är olämpliga. Vi bedömer att regelverket i denna del behöver förändras för att informationshanteringen i hälso- och sjukvården ska kunna bli mer ändamålsenlig och bidra till ännu bättre resultat för patienterna.

Som nämnts tidigare ställer sig utredningen även tveksam till föreskrifternas utformning i förhållande till det uttalande från regeringen som föreskrifterna söker stöd i. I Socialstyrelsens handbok lyfts följande uttalande från regeringen fram som stöd för föreskrifterna om aktiva val.19

Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individ- orienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter.

Utredningen kan trots det inte se att föreskriften om aktiva val på ett ändamålsenligt sätt implementerar regeringens intentioner. Regeringen pekar på att det är känsligheten i uppgifterna och personalens behov av uppgifter som ska vara styrande för hur åtkomsten till uppgifter närmare ska arrangeras. Föreskriften tar dock över huvud taget inte hänsyn varken till uppgifternas känslighet eller till yrkesutövarnas behov, utan utgår uteslutande ifrån organisatoriska faktorer.

Det kan dock konstateras att även Datainspektionen i äldre praxis vid tillämpning av dåvarande vårdregisterlagen också gett uttryck för att åtkomsten till information bör styras utifrån organisatoriska principer. I sitt remissyttrande angående Patient- datautredningens förslag anförde Datainspektionen även följande.20

Datainspektionen har i sin tillsyn i frågor som rör 8 § lagen om vårdregister ansett att användargränssnittet i ett system för vård- dokumentation ska ha ett utgångsläge som innebär att användaren inte kan se om patienten är aktuell i någon annan verksamhet hos vård- givaren än den där användaren själv är verksam. Även sådan informa- tion är integritetskänslig.

18Prop. 2007/08:126 s. 147.

19Prop. 2007/08:126 s. 149.

20Datainspektionen, Synpunkter på betänkandet Patientdatalag, dnr 1612-2006.

421

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Modellen med elektronisk åtkomst bör därför utformas så att vård- givarens anställda inte får tillgång till information om att patienten överhuvudtaget förekommer i en annan vårdenhet eller vårdprocess innan förutsättningarna för åtkomsten är uppfyllda. Datainspektionen anser att detta är möjligt att åstadkomma med föreskrifter om behörighetstilldelning samt inom ramen för de övriga tekniska och organisatoriska säkerhetsåtgärder som vårdgivaren ska vidta enligt 31 § personuppgiftslagen för att skydda de personuppgifter som behandlas.

Utredningen delar regeringens uttalande ovan att det kan finnas behov av aktiva val som ett slags tekniska trösklar för att nå sådan information som kan vara särskilt känslig eller som exempelvis inte generellt är nödvändiga att ta del av i vården av en patient. Samtidigt måste det betraktas som en svår uppgift att med någon form av exakthet bedöma vad som är en sådan känslig uppgift och vad som inte är det. Det avgörande torde i själva verket vara i vilket sammanhang en viss uppgift exponeras.

När det gäller spärrade uppgifter inom en vårdgivares verk- samhet anser utredningen att det av nuvarande 4 kap. 4 § tredje stycket PDL följer att en yrkesutövare ska kunna se att det finns spärrade uppgifter, men inte i utgångsläget vilken vårdenhet som har de spärrade uppgifterna. Något motsvarande finns dock inte vad gäller ospärrade uppgifter. Inte heller kan den grundläggande bestämmelsen om behörighetsstyrning i 4 kap. 2 § PDL anses med- föra ett sådant krav. Den bestämmelsen tar på en övergripande nivå sikte på vilken behörighet en användare ska ha till patientuppgifter för att kunna utföra sitt arbete, alldeles oavsett var i vårdgivarens verksamhet uppgifterna är dokumenterade.

Både ur ett patientsäkerhetsperspektiv och med hänsyn till behovet av enskilda patienters integritetsskydd finns det skäl att i första hand utforma yrkesutövarnas gränssnitt efter behovet av uppgifter, inte efter organisatoriska faktorer. Den nu gällande före- skriften medför enligt utredningens bedömning att en yrkesutövare varje gång denne har behov av information utanför sin egen vårdenhet ska få se en uppräkning över alla andra vårdenheter som har dokumenterade uppgifter om patienten. Det kan ifrågasättas om den typen av innehållsförteckning som ska exponeras för yrkesutövaren är en ordning som är ändamålsenlig ur ett integritets- perspektiv, eller om det i stället vore att ta större hänsyn till patientens behov av integritetsskydd om användargränssnittets utgångsläge så långt möjligt var anpassad efter yrkesutövarens behov i förhållande till patientens situation. Datainspektionen

422

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

framhåller i ovan nämnda remissyttrande att även information om var en patient är aktuell i en vårdgivarens verksamhet är integritets- känslig. Utredningen delar den bedömningen, men anser samtidigt att det kan övervägas om nuvarande regelverk verkligen tar hänsyn till det på ett ändamålsenligt sätt. När det gäller uppgifter om ordinerade läkemedel finns det enligt vårt synsätt mycket som talar för att det såväl ur ett integritets- som ett patientsäkerhets- perspektiv vore att föredra om yrkesutövaren kunde se en samlad lista av patientens aktuella läkemedelsbehandling i stället för en uppräkning över vilka verksamheter som stått för ordinationerna. Det senare kan vara mer information än vad användaren faktiskt har behov av.

Problemet med den nuvarande utformningen av föreskrifterna blir därför särskilt tydligt när det gäller åtkomst till uppgifter om patientens ordinerade läkemedel. Det är en sådan informationskälla som yrkesutövaren förutsätts ta del av i sin helhet och där det finns betydande risker för patienten vid ett felaktigt beslutsunderlag. Tvärtemot vad som är fallet i dag anser utredningen att såväl lagstiftning som föreskrifter har all anledning att inte förhindra, utan ytterligare stimulera att behörig personal snabbt och säkert får tillgång till en korrekt, samlad och aktuell bild av patientens läke- medelsbehandling. Här kan även finnas behov av att analysera om patientdatalagens nuvarande utformning med möjligheter för patienter att spärra uppgifter om ordinerade läkemedel är ända- målsenlig och hur det förhåller sig till förutsättningarna att lagra och ta del av motsvarande information i läkemedelsförteckningen och receptregistret.

15.6.2Åtkomst till läkemedelsförteckningen

Läkemedelsförteckningen innehåller uppgifter om samtliga läke- medel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret kan därmed sägas ge svar på om patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patientjournalen. Detta under förutsättning att läkemedlet inte har bytts ut i samband med expedieringen på apotek. I sådant fall registreras det expedierade läkemedlets namn i läkemedelsförteckningen medan patientjournalen fortfarande inne- håller uppgift om vilket läkemedel som ursprungligen ordinerades.

423

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning. Regi- streringen av uppgifter i läkemedelsförteckningen är obligatorisk och patienten kan inte motsätta sig den. Vid en jämförelse med patientdatalagens regler för sammanhållen journalföring kan där- med konstateras att patienten inte har någon motsvarande spärr- möjlighet avseende läkemedelsförteckningen.

En förskrivare kan i dag få behörighet, dvs. en teknisk möj- lighet, att ta del av uppgifter i läkemedelsförteckningen på åtminstone två olika sätt. Den förskrivare som vill ta del av läke- medelsförteckningen via Mina vårdkontakter ska göra en ansökan om behörighet genom att fylla i en blankett och skicka till eHälso- myndigheten. Såvitt utredningen förstår godkänns förskrivares ansökan generellt om de formella kraven är uppfyllda, utan någon närmare individuell prövning. Naturligtvis kontrolleras att för- skrivaren har förskrivningsrätt och i övrigt uppgivit rätt uppgifter i form av exempelvis förskrivarkod och arbetsplatskod. Ett annat alternativ är att ta del av läkemedelsförteckningen via Inera AB:s läkemedelsförteckningstjänst. Tjänsten kan integreras i vårdgivar- nas journalsystem eller exempelvis nås genom Nationell Patient- översikt, NPÖ. I dessa fall är det vårdgivarna, dvs. yrkesutövarens arbetsgivare, som tilldelar behörigheter till förskrivare och sjuk- sköterskor utan förskrivningsrätt. Vårdgivarens anropande system ska ansvara för kontrollen av att yrkesutövaren är behörig att få åtkomst till läkemedelsförteckningen innan ett anrop till eHälso- myndigheten görs.

Behörighet till läkemedelsförteckningen ger en potentiell till- gång till uppgifter som samtliga patienters uthämtade läkemedel de senaste 15 månaderna. De uppgifter som registreras i läkemedels- förteckningen är därmed i princip automatiskt potentiellt tillgäng- liga för de aktörer som enligt lagen om läkemedelsförteckning får ha direktåtkomst till uppgifterna. Sådan åtkomst får under vissa förutsättningar t.ex. ges till förskrivare och sjuksköterskor utan förskrivningsrätt. För att få använda sin behörighet och i enskilda situationer ta del av uppgifter om uthämtade läkemedel krävs dock att patienten samtycker till det, eller att det är en sådan situation där patienten inte kan samtycka men uppgifterna kan behövas för att patienten ska få den vård som hon eller han oundgängligen behöver.

424

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

En förskrivare får genom direktåtkomst ta del av uppgifterna om det behövs för att åstadkomma en säker framtida förskrivning av läkemedel för patienten, bereda patienten vård eller behandling samt för att komplettera patientjournalen. Det finns inga krav i lagen om läkemedelsförteckning på att informationen ska vara strukturerad på ett visst sätt eller att den ska presenteras utifrån organisatoriska faktorer. En förskrivare kan därmed snabbt och enkelt få tillgång till en samlad lista över de läkemedel en patient hämtat ut på apotek under den senaste 15-månadersperioden.

Våra reflektioner

Vid en jämförelse med förutsättningarna för förskrivaren att ta del av motsvarande uppgifter i den egna vårdgivarens journalsystem eller hos andra vårdgivare i system för sammanhållen journalföring, synes åtkomsten till uppgifter i läkemedelsförteckningen vara mer anpassad till de behov som finns för en patientsäker läkemedels- behandling. Dessa inkonsekvenser i lagstiftningen medför enligt utredningens bedömning problem i flera dimensioner. Problemen blir särskilt uppenbara i relation till det utvecklingsarbete som i dag drivs såväl regionalt som nationellt och där vårdgivare genom att tillämpa reglerna i patientdatalagen samarbetar mot en gemensam och samlad läkemedelslista. Ur ett pedagogiskt perspektiv är det även svårförklarligt varför en yrkesutövare ska ha svårare att få fram en samlad bild av patientens läkemedelsbehandling i vård- givarens eget journalsystem jämfört med att ta del av uppgifter i läkemedelsförteckningen. Medan åtkomsten till uppgifter i det egna journalsystemet måste ske i ett antal steg där informationen är ordnad efter vilka vårdenheter som har ordinerat läkemedel för patienten, kan yrkesutövaren i läkemedelsförteckningen direkt ta del av motsvarande information i en samlad lista.

Ytterligare en inkongruens mellan regelverken är att patienten inte kan motsätta sig att uppgifterna registreras i läkemedels- förteckningen och hålls potentiellt tillgängliga för de som är behöriga att ta del av uppgifterna. Det är en skillnad mot system för sammanhållen journalföring där patienten kan motsätta sig och där en sådan spärr dessutom innebär att uppgifterna inte ens i en nödsituation går att ta del av genom direktåtkomst. Av lagen om läkemedelsförteckning följer emellertid en möjlighet för t.ex. en förskrivare att i nödsituationer, där patienten inte kan samtycka till

425

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

åtkomsten, ändå ta del av uppgifterna. En följd av detta är således att uppgiften om patientens ordination kan vara spärrad och därmed oåtkomlig i systemet för sammanhållen journalföring för t.ex. den läkare som möter patienten i en akut situation, medan samma läkare i samma situation och genom åtkomst till läke- medelsförteckningen kan ta del av uppgift om att det ordinerade läkemedlet har hämtats ut.

Regelverkens olikheter blir än mer svårbegripliga när vi läser regeringens uttalanden från förarbetena till lagen om läkemedels- förteckning. I propositionen anför regeringen bland annat att en förskrivare som tar del av uppgifter i läkemedelsförteckningen ska få komplettera uppgifterna till patientens journal och att detta bör vara möjligt oberoende av om journalen förs manuellt eller elek- troniskt.21 Vad som är intressant är att en sådan journal- komplettering vid en jämförande tillämpning av nu gällande patientdatalag och Socialstyrelsens föreskrifter skulle leda till att informationen skulle behöva hänföras till den vårdenhet för- skrivaren tillhör. Detta med följden att en förskrivare vid en annan vårdenhet hos samma vårdgivare vid ett framtida möte med patienten inte lika snabbt och enkelt skulle kunna ta del av de i patientjournalen kompletterade uppgifterna, som förskrivaren skulle kunna göra genom läkemedelsförteckningen. Att använda patient- journalen, som är hälso- och sjukvårdspersonalens primära informationskälla och arbetsinstrument, blir således mindre ända- målsenligt i en sådan situation.

När det gäller läkemedelsförteckningen understryker regeringen i propositionen vikten av fullständig information, både för den som ska förskriva läkemedel, men även för den som bedömer patientens behov av annat än läkemedelsbehandling. Det borde enligt utred- ningens bedömning gälla oavsett om det är åtkomsten till upp- gifterna i läkemedelsförteckningen som används eller om det är en åtkomst till journalsystemens läkemedelslistor eller läkemedels- moduler som används. Regeringen anför bl.a. följande.22

Genom att förskrivaren får en fullständig bild av patientens läke- medelsköp klar för sig minskar bl. a. risken för över- och under- förskrivning samt andra former av felaktig förskrivning. Information om en patients läkemedelssituation är också, som flera remissinstanser påtalat, många gånger av stort värde vid bedömningar av en patients behov av vård- eller behandlingsinsatser som inte innefattar förskriv-

21Prop. 2004/05:70 s. 25.

22Prop. 2004/05:70 s. 25.

426

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

ning av läkemedel. Regeringen anser att uppgifterna i förteckningen ska kunna användas i sistnämnda situationer.

Vidare anför regeringen följande angående intentionerna och för- hoppningarna med läkemedelsförteckningen.23

Avsikten med förteckningen är i stället att möjliggöra för olika för- skrivare vid olika vårdenheter som patienten kommer i kontakt med vid senare tillfälle att snabbt få ett så fullständigt beslutsunderlag som möjligt om patientens läkemedelsanvändning utan att gå den tids- ödande och kanske inte ens genomförbara vägen att låna in patient- journaler från olika håll.

Enligt utredningens bedömning är regeringens avsikt rimlig och generellt i linje med vad som får betraktas som ändamålsenligt för att en yrkesutövare på ett effektivt sätt ska kunna ge en god och säker vård utifrån ett samlat beslutsunderlag. Mot bakgrund av regeringens uttalande kan emellertid konsekvenserna av det ovan beskrivna regelverket i patientdatalagen och Socialstyrelsens föreskrifter ifrågasättas.

15.6.3Särskilt om utbyte av läkemedel (generikabyte)

I läkemedelsförteckningen registreras, som redovisats ovan, upp- gifter om läkemedel om patienter hämtar ut på apotek. Det innebär bland annat att det i läkemedelsförteckningen registrerats vilket läkemedel som har köpts. Om ett byte av läkemedel (generikabyte) har ägt rum är det således det nya läkemedlet som registreras i läkemedelsförteckningen. Av den anledningen finns det även skäl att i detta sammanhang uppmärksamma hur hanteringen av upp- gifter om utbytta läkemedel är reglerad i närliggande lagstiftning.

Förutsättningarna för utbyte av läkemedel regleras närmast av lagen (2002:160) om läkemedelsförmåner m.m. Av 21 § fjärde stycket följer en uppgiftsskyldighet för apotekens räkning. Apoteken ska enligt bestämmelsen skriftligt underrätta den som utfärdat receptet, dvs. ordinerat läkemedlet, om att ett utbyte har ägt rum. I förarbetena till bestämmelsen berörs egentligen inte närmare hur denna underrättelse är tänkt att gå till eller varför den behövs. I samband med omregleringen av apoteksmarknaden anförde regeringen dock att förskrivaren behöver information om att utbyte har skett för att kunna komplettera patientjournalen och

23 Prop. 2004/05:70 s. 29.

427

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

eventuellt även för att kunna ta ställning till den fortsatta behand- lingen av patienten.24

Förarbetena till bestämmelsen om skyldigheten att underrätta förskrivarna om utbytta läkemedel ger inte svar på vad som avses med att underrättelsen ska ske skriftligen. Ett alternativt synsätt är att det inte får ske muntligen. Ett annat synsätt är att söka ledning i tryckfrihetsförordningens bestämmelser om ”framställning i skrift eller bild” och ”upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel”.

Utredningen anser emellertid att begreppet skriftligen, i brist på vägledande uttalanden i förarbetena till bestämmelsen, snarare bör ses i sitt aktuella sammanhang än jämföras med tryckfrihets- förordningens bestämmelser. Kravet på skriftlighet får därför närmast, enligt vår bedömning, ses som ett förbud mot muntlig underrättelse. Detta bland annat eftersom det torde finnas ett grundläggande intresse av att säkerställa att kommunikationen görs på ett sådant sätt att den inte kan missförstås. Läkemedel har inte sällan långa och relativt komplicerade produktnamn. En muntlig kontakt mellan utlämnande apotek och förskrivare får mot den bakgrunden anses mindre lämplig. Vidare förutsätter en muntlig kontakt en mer omfattande administrativ aktivitet hos mottagaren, som ska ta del av informationen och dokumentera uppgiften så att den kan ligga till grund för fortsatta ställningstaganden kring patientens vård.

Om avsikten varit att inte möjliggöra olika formera av elektroniska utlämnanden borde det även ha uppmärksammats i förarbetena till apoteksdatalagen (2009:367). Så gjordes inte. När det gäller möjliga sätt att fullgöra uppgiftsskyldigheten ligger det därför enligt vår bedömning närmast till hands att söka stöd i apoteksdatalagen. Lagen reglerar förutsättningarna för apoteken att behandla och lämna ut personuppgifter. Av 8 § punkten 7 följer att personuppgifter får behandlas om det är nödvändigt för rapportering till förskrivare om utbyte av läkemedel enligt 21 § fjärde stycket lagen om läkemedelsförmåner m.m. Vidare framgår av 11 § att en personuppgift som får lämnas ut, får lämnas ut på medium för automatiserad behandling. Sammantaget innebär detta, enligt utredningens bedömning, att kravet på att underrätta förskrivaren får tillgodoses genom ett elektroniskt utlämnande av uppgifterna.

24 Prop. 2008/09:145 s. 349.

428

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

När detta ställs i relation till förutsättningarna för förskrivaren att ta del av samma uppgifter i läkemedelsförteckningen kan en splittrad bild återigen identifieras. Medan det enligt lagen om läkemedelsförmåner finns en uttrycklig skyldighet att underrätta förskrivaren om att ett utbyte av läkemedel har ägt rum samt att detta kan fullgöras elektroniskt med stöd av apoteksdatalagen, krävs patientens samtycke för att samma uppgifter ska få lämnas ut från läkemedelsförteckningen. Detta vare sig utlämnandet görs genom direktåtkomst eller på medium för automatiserad behand- ling. Inte minst eftersom en underrättelse om utbyte av läkemedel i sig även innebär en uppgift om att patienten har hämtat ut det ordinerade läkemedlet och kan ifrågasättas om inte regelverken skulle kunna harmoniseras. För detta talar även det faktum att de bakomliggande ändamålen med underrättelsen av utbytet och åtkomsten till uppgifter i läkemedelsförteckningen synes vara desamma, dvs. att komplettera patientjournalen och se till att patienten får en god och säker vård.

Det praktiska tillvägagångssätten för att underrätta förskrivare om utbytta läkemedel har genom åren kritiserats för att vara omständligt och ge upphov till ökad administration. Före omreg- leringen av apoteksmarknaden samlade Apoteket AB in informa- tionen om utbyten och levererade sedan uppgifterna efter en sammanställning per arbetsplatskod till landstingen. Informationen lämnades en gång per månad antingen i pappersform eller på en cd- skiva.

Läkemedelsverket har i ett regeringsuppdrag analyserat frågor med beröringspunkter till frågan om underrättelse av utbytta läke- medel.25 I en rapport från 26 september 2011 anger Läkemedels- verket följande.26

För att säkerställa att patienten får aktuellt läkemedel förskrivet vid nästa vårdkontakt samt för att ha aktuell information om patientens aktuella läkemedel vid eventuella reaktioner på läkemedlen måste återrapportering av dessa byten ske till förskrivaren samma dygn bytet utförs på apotek. För att återrapporteringen ska uppfylla sitt syfte måste förtydligade krav ställas på vården att dessa uppgifter snarast/omgående förs i journal/förskrivarstöd så att förskrivaren vid nästa förskrivning/ordination vet vilket läkemedel patienten fått expedierat och kan förskriva det aktuella läkemedlet. För att åter- rapporteringen ska fungera i praktiken och för att undvika tungrodd

25S2010/8678/HS.

26Läkemedelsverket, Utredning av förutsättningar för utvidgat utbyte respektive utbyte vid nyinsättning s. 21.

429

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

administration bör möjligheter skapas för apotekens återrapportering att elektroniskt överföras till vården och företrädesvis direkt till patientens journal/motsvarande.

Läkemedels- och apoteksutredningen

Frågan om underrättelse av utbytta läkemedel har nyligen även uppmärksammats av Läkemedels- och apoteksutredningen (S 2011:07) i delbetänkandet SOU 2012:75. I betänkandet betonas vikten av att förskrivare får information om att ett utbyte har skett och att underrättelseskyldigheten bör kunna fullgöras på ett mer ändamålsenligt sätt än vad som hittills varit fallet.

I utredningen uppmärksammas även osäkerheten kring vad kravet på att underrättelsen ska ske skriftligen egentligen innebär. Utredningen lyfter här fram samma alternativa synsätt som vi redo- gjort för ovan, men tar själva inte närmare ställning till saken. För att undanröja tvivlen och möjliggöra ett effektivare informations- utbyte föreslår utredningen dock att ordet skriftligen tas bort i bestämmelsen i lagen om läkemedelsförmåner. Utredningen anför bland annat följande.27

Utredningen stannar för att det i dagsläget mest ändamålsenliga sättet att utforma bestämmelsen om öppenvårdsapotekens underrättelse- skyldighet till förskrivarna är att ta bort kravet på skriftlighet. Apoteksaktörerna kan därmed själva bestämma på vilket sätt de vill underrätta förskrivaren, t.ex. elektroniskt. Apoteksaktörerna bör sam- råda med mottagarna av informationen rörande såväl rapporteringssätt som tidpunkt för rapporteringen. För det fall rapporteringen sker elektroniskt måste parterna också ta hänsyn till att det är fråga om integritetskänsliga personuppgifter som kräver säkerhet vid över- föringen. Eftersom det är nödvändigt att förskrivarna har tillgång till aktuell information om patientens läkemedelsanvändning bör rapporteringen ske inom rimlig tid. Det kan finnas behov av att regeringen eller TLV utnyttjar bemyndigandet att meddela föreskrifter på området, t.ex. avseende just inom vilken tid underrättelsen ska ske. Det bör också påpekas att det för närvarande pågår flera utredningar och projekt som rör informationshanteringen inom hälso- och sjuk- vården och som kan komma att påverka frågan om förskrivarens information om utbyte av läkemedel, t.ex. arbetet med NOD.

27 SOU 2012:75 s. 685 f.

430

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Våra reflektioner

Utredningen delar såväl Läkemedelsverkets som Läkemedels- och apoteksutredningens bedömning att underrättelseskyldigheten bör kunna utformas på ett mer ändamålsenligt sätt, så att aktuell information om patientens läkemedelsbehandling finns tillgänglig för den som behöver uppgifter för att t.ex. ta ställning till patientens vård och behandling. Samtidigt utkristalliseras en bild av ett regelverk som inte i alla delar hänger ihop. Det tydliggörs exempelvis av de olika överväganden som förefaller ha legat bakom den reglerade underrättelseskyldigheten och lagen om läkemedels- förteckning. Medan den förstnämnda ställer ett uttryckligt krav på att informationen om utbytet (och därmed även att läkemedlet hämtats ut) ovillkorligen ska återrapporteras till hälso- och sjuk- vården ställer det sistnämnda regelverket krav på samtycke för tillgång till motsvarande information. Det kan därför finnas anledning att överväga ett mer samlat grepp om hur rätt information om patienternas läkemedel kan göras tillgänglig för behöriga yrkesutövare. Detta blir inte minst viktigt eftersom det, precis som Läkemedels- och apoteksutredningen uppmärksammar, nu pågår ett antal olika projekt och initiativ för att förbättra informationshanteringen i läkemedelsprocessen.

Ytterligare en faktor att uppmärksamma är att det i lagen om läkemedelsförmåner uttrycks att underrättelsen ska ske till för- skrivaren och inte till vårdgivaren. Såvitt vi har kunnat utreda framgår inte av förarbetena till bestämmelsen hur detta ska tolkas. Vid en strikt bokstavstolkning ger bestämmelsen snarare uttryck för att återrapporteringen ska ske till förskrivaren personligen än till organisationen som sådan. Mot bakgrund av regeringens uttalande om att uppgift om utbytta läkemedel är viktiga för att komplettera patientjournalen och utgöra underlag för fortsatta beslut kring patientens vård, blir bilden dock något annorlunda. Ett sådant syfte omfattar generellt fler än endast den som i ett enskilt fall ordinerat ett läkemedel, t.ex. andra yrkesutövare som i olika situationer har att ta ställning till patientens läkemedelsbehandling m.m. Ansvaret för att uppgiften tas om hand och kompletterar patientjournalen ligger då även i verksamhetens intresse och omfattas av vårdgivarens ansvar för en patientsäker informations- hantering. En annan omständighet som i praktiken talar för att tolkningen hittills varit att informationen om utbytet snarare riktar sig till verksamheten som sådan än till den enskilda förskrivaren, är

431

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

det praktiska tillvägagångssättet för hur återrapporteringen under en längre tid har fullföljts. Som redovisats ovan har det historiskt sett varit vanligt med en månatlig återrapportering till verksamheten som sådan, sammanställd per arbetsplatskod (där flera förskrivare ingår), inte primärt till enskilda förskrivare. Läkemedels- och apoteksutredningen redovisar exempelvis att det i vissa landsting skickades information direkt till en vårdcentral, medan andra landsting ville samla informationen centralt.28

15.6.4Åtkomst till receptregistret

Receptregistret, eller receptdepån, innehåller uppgifter om samtliga elektroniska läkemedelsförskrivningar som görs i landet. eHälso- myndigheten är personuppgiftsansvarig för receptregistret enligt receptregisterlagen. De uppgifter som får registreras är bland annat patientens namn, personnummer, uppgifter om läkemedlet, förskrivningsorsaken (ska anges med kod), förskrivarens namn och arbetsplats. Registreringen är obligatorisk i den meningen att patienten inte kan motsätta sig att uppgifterna registreras. Från denna huvudprincip finns dock ett undantag som innebär att uppgifter om patienter som får dosdispenserade läkemedel endast får behandlas med stöd av patientens samtycke.

Generellt får hälso- och sjukvårdspersonal inte ha direktåtkomst till uppgifter i receptregistret. Det skiljer sig därmed från vad som redovisas om läkemedelsförteckningen ovan. Från denna huvud- regel i receptregisterlagen finns dock ett undantag som innebär att legitimerad hälso- och sjukvårdspersonal får ha direktåtkomst till uppgifter om dosrecept. I sammanhanget kan således noteras att lagstiftaren har utformat regelverket för åtkomst till uppgifter om ordinerade läkemedel olika beroende på vilken distributionsform det är fråga om (dvs. dosläkemedel eller inte) och inte utifrån sådant som patientens autonomi eller särskilda behov.

Några särskilda villkor för hur denna direktåtkomst ska få användas uppställs inte i lagen. Inte heller ställs det några krav på hur uppgifterna ska vara strukturerade och presenteras vid en direktåtkomst. I praktiken innebär det således att legitimerad hälso- och sjukvårdspersonal kan ta del av en samlad lista över patientens dosrecept de senaste 15 månaderna.

28 Pris, tillgång och service – fortsatt utveckling av läkemedels- och apoteksmarknaden SOU 2012:75 s. 679.

432

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

För att möjliggöra denna direktåtkomst finns en sekretess- brytande regel i 25 kap. 17 c § andra stycket offentlighets- och sekretesslagen (2009:400), förkortad OSL, som innebär att sekre- tess inte hindrar att uppgift i receptregistret lämnas till hälso- och sjukvårdspersonal i enlighet med vad som följer av receptregister- lagen. Vidare finns i 13 § receptregisterlagen en uppgiftsskyldighet som innebär att eHälsomyndigheten ska lämna ut uppgifter om dosrecept till den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av sådana uppgifter. Regeringen anför bland annat följande med avseende på möjligheten till direktåtkomst och uppgiftsskyldigheten för Apotekens Service AB (nuvarande eHälsomyndigheten).29

Apoteket AB och Datainspektionen har uppgett att förskrivare och sjuksköterskor med behörighet till e-dos för närvarande har direkt- åtkomst till dosrecept. Åtkomsten sker genom tjänsten e-dos. Det är viktigt att denna direktåtkomst kan säkerställas även fortsättningsvis. Registrering av dosrecept är ett av de ändamål för vilket person- uppgiftsbehandlingen i receptregistret får ske. För att direktåtkomst för de aktuella personalkategorierna ska vara möjlig krävs att det i receptregisterlagen införs en tystnadspliktsbrytande uppgiftsskyldig- het för Apotekens Service AB. Regeringen föreslår därför att Apotekens Service AB ska åläggas att från receptregistret lämna ut uppgifter om dosrecept till den som har legitimation för yrke inom hälso- och sjukvården och som i sin verksamhet inom vården har behov av sådana uppgifter. Uppgiftsskyldigheten är tystnadsplikts- brytande och innebär att nämnda personalkategori får medges direkt- åtkomst till uppgifterna om dosrecept i receptregistret.

Utredningen konstaterar att det finns en viss otydlighet vad gäller de tillåtna ändamålen för direktåtkomst till uppgifter om dosrecept. I registerförfattningar anges vanligtvis tydligt för vilka ändamål det är tillåtet att behandla personuppgifter genom direktåtkomst.

Av uppgiftsskyldigheten i receptregisterlagen följer indirekt ett mycket generellt utformat ändamål, dvs. att den legitimerade yrkesutövaren får ta del av uppgifter om denne ”har behov” av uppgifterna. Samtidigt anges i lagens grundläggande ändamåls- bestämmelse att personuppgifter får behandlas om det behövs för registrering av dosrecept. Det får, enligt utredningens bedömning, anses oklart vad detta ändamål ska anses omfatta och hur det korresponderar med de behov av informationen som finns i hälso- och sjukvården. En fråga som kan ställas är om ändamålet t.ex.

29 Prop. 2008/09: 145 s. 318.

433

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

innebär att direktåtkomst till redan registrerade uppgifter endast får användas för att kunna registrera nya uppgifter, dvs. nya eller förändrade ordinationer. Effekten och nyttan av en sådan ordning kan dock ifrågasättas. För att endast göra en registrering borde det inte finnas behov av att se tidigare registreringar.

I författningskommentaren till bestämmelsen anför regeringen bland annat följande.30

I andra stycket anges att den som har legitimation för yrke inom hälso- och sjukvården får ha direktåtkomst till uppgifter om dosrecept. Den personal som åsyftas är hälso- och sjukvårdspersonal som enligt 1 kap. 4 § första stycket 1 lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har legitimation för yrke inom hälso- och sjukvården.

Både när det gäller expedierande personal på öppenvårdsapotek och den hälso- och sjukvårdspersonal som anges i bestämmelsens andra stycke, får direktåtkomst endast medges om det behövs för ändamålen 1, 2 och 8. Det innebär att endast personal som på grund av sitt arbete behöver ha tillgång till uppgifterna får ha direktåtkomst till uppgifter som behandlas automatiserat. Den personuppgiftsansvarige måste därför göra en bedömning av vilka personuppgifter som varje anställd behöver ha tillgång till för att kunna utföra sitt arbete.

Enligt vad utredningen har fått information om har bestämmelsen i praktiken kommit att tolkas på ett sådant sätt att den legitimerade yrkesutövare som exempelvis ska ordinera ett dosdispenserat läkemedel, eller av andra skäl som rör patientens vård har behov av uppgifterna, får del av uppgifterna om tidigare ordinationer i receptregistret. Direktåtkomsten underlättar då för yrkesutövaren att fatta sitt beslut om patientens vård samt ta ställning till och registrera nya ordinationer. På så sätt har direktåtkomsten till upp- gifter om dosrecept snarare kommit att användas som ett besluts- underlag vid vården av patienter, i stället för endast i samband med den rent administrativa uppgiften ”registrering av dosrecept”. Sannolikt är detta en naturlig utveckling eftersom nyttan av en direktåtkomst endast för syftet att registrera ett dosrecept inte kan vara stor.

Mot bakgrund av regeringens uttalanden bedömer utredningen att syftet med att möjliggöra direktåtkomst har varit att tillhanda- hålla en möjlighet för hälso- och sjukvårdspersonal att ta del av uppgifter om dosrecept för att exempelvis i samband med ordinationer av dosläkemedel få ett beslutsunderlag som ökar

30 Prop. 2008/09:145 s. 444.

434

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

förutsättningarna för en patientsäker ordination. En sådan tolkning ligger även i linje med följande yttrande från lagrådet.31

Som Lagrådet ser det torde avsikten endast vara att uppgifter ska lämnas ut till de nämnda yrkesutövare som behöver uppgifterna i sin yrkesverksamhet. Någon uppgiftsskyldighet bör alltså inte finnas gentemot de legitimerade yrkesutövare inom hälso- och sjukvården som inte tar befattning med frågor om dosrecept.

Enligt utredningens bedömning ger lagrådets yttrande och regeringens uttalande i författningskommentaren uttryck för att den legitimerade yrkesutövare som i sin verksamhet inom vården har behov av att ta befattning med frågor om dosrecept får göra det genom direktåtkomst. Någon närmare ändamålsbegränsning fram- kommer inte av receptregisterlagen eller dess förarbeten.

Datainspektionen har även i ett samrådsyttrande rörande direktåtkomst till receptregistret bland annat uttalat följande som också får anses ge stöd för en sådan tolkning.32

Det är endast den som har legitimation för yrke inom hälso- och sjuk- vården och som i sin verksamhet inom vården har behov av upp- gifterna som avses med denna uppgiftsskyldighet. Det är alltså behovet av uppgifterna i verksamheten för den legitimerade personalen som ska styra vem som har rätt att få direktåtkomst till uppgifterna. Det är därför nödvändigt att gå igenom vilka personer som behöver tillgång till uppgifterna för att utföra sitt arbete och därefter göra en avgränsning i enlighet med dessa behov. Med hänsyn till detta anser vi inte att det är förenligt med gällande regler att Apotekens Service AB ger direktåtkomst avseende dosrecept till samtlig hälso- och sjukvårds- personal inom landstinget, d.v.s. även till dem som inte behöver uppgifter om dosrecept i sin verksamhet inom vården.

15.6.5Våra sammanfattande reflektioner kring gällande rätt

Utredningens generella bedömning är att regelverket för hantering av läkemedelsrelaterade uppgifter om patienter, t.ex. ordinationer, recept och uthämtade läkemedel, är såväl svåröverskådligt som oförenligt i sitt sätt att reglera förutsättningarna för en säker läkemedelsprocess. En vanligt förekommande beskrivning av en ändamålsenlig eller rationell läkemedelsanvändning är: rätt läke- medel till rätt patient, i rätt dos, vid rätt tillfälle och till rätt

31Prop. 2008/09:145 s. 567.

32Datainspektionen, Samråd om direktåtkomst till dosregistret, dnr 483-2013.

435

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

kostnad. Sammantaget finns behov av att justera gällande regelverk så att förutsättningarna för att nå dessa målsättningar ökar.

Ovan har det tydliggjorts att hanteringen av information i samband med förskrivning av läkemedel är komplicerad – inte desto mindre är den mycket viktig att komma till rätta med. I dag finns inte någon samlad, korrekt och aktuell information om en patients läkemedelsbehandling. Såväl patientens information som ordinatörens beslutsunderlag innehåller brister som ger upphov till uppenbara risker för patientens hälsa och livskvalitet.

Det är vidare en stor pedagogisk utmaning att beskriva motiven bakom regelverkens nuvarande utformning. Sannolikt finns inget sammanhängande motiv eller någon gemensam målsättning för hur de olika lagstiftningarna tillsammans kan bidra till god och säker vård. Även om utredningen inte kommer att ha förslag till lösningar i läkemedelsprocessens alla delar bedömer vi att det ligger i vårt uppdrag att lämna förslag som ökar möjligheterna för hälso- och sjukvårdens aktörer att utveckla ett gränssnitt som kan utgöra en samlad informationskälla om patientens ordinerade och uthämtade läkemedel. Det ligger i den enskilde individens intresse att beslut om läkemedelsbehandling fattas på bästa möjliga grunder så att avsedd effekt kan uppnås och bidra till ökad hälsa och livskvalitet.

15.7Våra överväganden och förslag

I det följande redovisas ett antal överväganden och förslag som enligt utredningens bedömning ökar förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering på läke- medelsområdet. Utredningens förslag syftar i allt väsentligt till att öka kvaliteten och säkerheten i vården samtidigt som patienternas behov av skydd för den personliga integriteten tillgodoses.

15.7.1Utredningens förslag i andra delar m.m.

Vår bedömning: Utredningens förslag om förbättrade möj- ligheter till direktåtkomst mellan vårdgivare inom en huvud- mans ansvarsområde samt om förändringar i reglerna om sammanhållen journalföring bedöms undanröja en del av de hinder som i dag finns för utvecklingen mot en samlad bild av

436

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

patientens läkemedelsbehandling. Samtidigt finns behov av ytterligare överväganden för att harmonisera vissa förutsätt- ningar för informationshantering som de regleras i nu gällande patientdatalag, i lagen om läkemedelsförteckning och i recept- registerlagen.

Vidare bedöms bestämmelserna om s.k. aktiva val i Social- styrelsens föreskrifter (SOSFS 2008:14) om informations- hantering och journalföring i hälso- och sjukvården, utgöra hinder för en patientsäker och ändamålsenlig hantering av uppgifter om ordinationer. Föreskrifterna är för tillfället under omarbetning.

Inledning

I detta betänkande föreslås ett antal grundläggande förändringar vad gäller möjligheterna att hantera och dela information om patienter i hälso- och sjukvården. Ett antal av dessa förslag kommer även att undanröja en del av de hinder som i dag finns för att utveckla en samlad information om patientens läkemedelsbehand- ling. Men det behövs ytterligare åtgärder för att harmonisera vissa förutsättningar i de relevanta regelverken, dvs. framför allt i nu gällande patientdatalag, lagen om läkemedelsförteckning och recept- registerlagen.

Nedan berörs kortfattat vilken betydelse utredningens förslag i övriga delar kan ha för en mer ändamålsenlig hantering av läke- medelsrelaterade uppgifter inom hälso- och sjukvården.

Direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för

Utredningens förslag till ökade möjligheter för direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för kommer att innebära betydligt bättre förut- sättningar för en sammanhållen informationshantering jämfört med vad som är fallet i dag. Effekterna av vårt förslag kommer att bli särskilt påtagliga i de delar av landet där ett stort antal privata och offentliga vårdgivare bedriver hälso- och sjukvård.

I dag medför regleringen i offentlighets- och sekretesslagen och patientdatalagen att vårdgivare i landsting och kommuner med

437

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

många privata vårdgivare har svårare att hålla samman information om patienterna, jämfört med vad som är möjligt i kommuner och landsting där de privata inslagen är mindre. Vårt förslag innebär i praktiken att dessa skillnader kan suddas ut och att förutsätt- ningarna för en sammanhållen informationshantering inte längre blir beroende av hur hälso- och sjukvården är organiserad, utan i stället kan utgå ifrån individens behov och den situation individen befinner sig i.

Konkret innebär vårt förslag att uppgifter om ordinerade läke- medel kan delas mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för, t.ex. sådan verksamhet som finansieras av ett och samma landsting, i det närmaste ”som om” de vore samma verksamhet. Beroende på hur den direktåtkomst vi föreslår implementeras rent tekniskt, kommer uppgifter om ordinerade läkemedel kunna presenteras för behörig hälso- och sjukvårdspersonal i en samlad vy innehållande uppgifter från olika vårdgivare.

Det handlar inte om någon okontrollerad spridning eller tillgång till uppgifterna. En förutsättning för att få ta del av uppgifterna ska vara att vårdgivaren har en aktuell relation med patienten, dvs. att åtkomsten endast får avse patienter som är aktuella i verksamheten. Dessutom följer av den grundläggande bestämmelsen om inre sekretess att t.ex. en ordinatör hos en vårdgivare endast får ta del av de uppgifter som behövs för att kunna utföra sitt arbete.

Utöver detta har patienten en möjlighet att spärra vård- dokumentation inom och mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet som samma huvudman ansvarar för. Det innebär exempelvis att det i en samlad vy över patientens ordi- nerade läkemedel kan finnas en uppgift om att det finns spärrade uppgifter om ordinationer rörande patienten. Sådana spärrade uppgifter är till skillnad från i system för sammanhållen journalföring fortfarande tekniskt åtkomliga för hälso- och sjuk- vårdspersonalen, så att de i enskilda situationer med patientens samtycke eller vid akuta nödlägen kan ta del av de spärrade upp- gifterna. Frågan om uppgifter om ordinerade läkemedel bör undantas från patientens rättighet att begära spärrar kommer dock att behandlas i det följande.

438

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Sammanhållen journalföring

Genom utredningens förslag om ökade möjligheter till direkt- åtkomst mellan vårdgivare som bedriver hälso- och sjukvårdsverk- samhet som samma huvudman ansvarar för kommer tillämp- ningsområdet för sammanhållen journalföring att minska. Redan det innebär att hindren mot att skapa en samlad bild av patientens läkemedelsbehandling blir mindre omfattande. Regelverket om sammanhållen journalföring kommer då endast att behöva tillämpas för informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvård som olika huvudmän ansvarar för, t.ex. mellan vårdgivare i olika landsting eller mellan vårdgivare med ett landsting som huvudman och vårdgivare med en kommun som huvudman.

Vidare leder vårt förslag om att ta bort det särskilda samtyckes- kravet för åtkomst till uppgifter i sammanhållen journalföring förhoppningsvis till en mer ändamålsenlig informationshantering i praktiken. Genom att tydliggöra att samtycket till och överens- kommelsen om vård är utslagsgivande för informationsinhämt- ningen bedömer vi samtidigt att patienternas integritetsskydd i praktiken inte försämras. Den som inte har en laglig grund för att ge hälso- och sjukvård, t.ex. ordinera ett läkemedel, får därmed inte ta del av uppgifter hos andra vårdgivare i sammanhållen journal- föring.

Socialstyrelsens föreskrifter

Som vi har redovisat i det föregående bedömer utredningen att utformningen av kraven på s.k. aktiva val i Socialstyrelsens föreskrifter (SOSFS 2008:14) innebär hinder för en patientsäker och ändamålsenlig hantering av uppgifter om ordinationer. För en ordinatör kan dessa krav innebära att det i praktiken blir svårt att snabbt få en samlad bild av patientens läkemedelsbehandling. Föreskrifterna är för tillfället under revidering. Utredningen hoppas att de nya föreskrifterna kommer att ge stöd för att utforma journalsystemens användargränssnitt efter behoven av information i stället för efter organisatoriska faktorer. Oavsett om utredningens förslag i övrigt genomförs har förändrade föreskrifter stor betydelse för de faktiska möjligheterna att tillhandahålla ett fullständigt beslutsunderlag för den som står i begrepp att ordinera, sätta ut eller bedöma en patients läkemedelsbehandling.

439

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

15.7.2Behov av åtgärder som leder till harmoniserade regler

Utredningen har redovisat de olika förutsättningar som i dag finns för hanteringen av motsvarande informationsmängder i patient- journalen, i receptregistret respektive i läkemedelsförteckningen, samt uppmärksammat den underrättelseskyldighet som följer av lagen om läkemedelsförmåner m.m.

Det kan konstateras att det finns bristande överensstämmelser både i frågor som rör villkoren för registrering av uppgifter och villkoren för åtkomst till uppgifterna. Vår bedömning är att en viss harmonisering av regelverken bör göras i syfte att öka förut- sättningarna för en mer ändamålsenlig hantering av läkemedels- relaterad information om patienter.

För att identifiera vilka förändringar som det kan finnas behov av att överväga kan, förutom det som redovisats i det föregående, följande schematiska och något förenklade uppställning vara upp- lysande. Beskrivningen utgår ifrån de förutsättningar som skulle gälla om det som utredningen hittills har föreslagit genomförs. Vidare beaktas inte kraven på s.k. aktiva val i SOSFS 2008:14 i uppställningen.

Patientjournalen – åtkomst inom och mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för

1.Uppgifter om ordinationer får vara tillgängliga inom och mellan vårdgivarna.

2.Patienten kan motsätta sig, men sådan spärrad information får ändå ingå och vara åtkomlig med stöd av patientens samtycke eller i en nödsituation.

3.Åtkomsten får ske till uppgifter rörande patienter som finns i den egna verksamheten under förutsättning att uppgifterna behövs.

440

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Patientjournalen – sammanhållen journalföring

1.Uppgifter om ordinationer får vara tillgängliga mellan vård- givarna om patienten först informerats och inte motsatt sig.

2.Patienten kan motsätta sig och i sådant fall är uppgifterna inte tekniskt åtkomliga för andra vårdgivare, dvs. uppgift om ordi- nationen kan inte nås genom direktåtkomst vare sig med patientens samtycke eller i en nödsituation.

3.Åtkomsten får ske till uppgifter rörande patienter som finns i den egna verksamheten under förutsättning att uppgifterna behövs.

Läkemedelsförteckningen – uppgifter om uthämtade läkemedel

1.Uppgifterna ska registreras i läkemedelsförteckningen och patienten kan inte motsätta sig det.

2.Förskrivare och sjuksköterskor utan förskrivningsrätt har potentiell åtkomst till samtliga uppgifter.

3.Åtkomst får användas om patienten samtyckt till det och uppgifterna behövs för att åstadkomma en säker förskrivning, ge patienten vård och behandling eller komplettera patient- journalen.

4.Åtkomst är även tillåten om patienten inte kan lämna samtycke och uppgifterna behövs för att patienten ska kunna få den vård eller behandling som han eller hon oundgängligen behöver.

Underrättelseskyldighet rörande utbytta läkemedel

1.Apotek ska skriftligen underrätta förskrivare om ett utbyte av läkemedel har skett i samband med att patienten hämtar ut läkemedlet på ett apotek.

2.Syftet med underrättelsen är att komplettera patientjournalen och ligga till grund för beslut om patientens vård och behand- ling.

3.Underrättelsen bedöms kunna ske på medium för automatiserad behandling, t.ex. filöverföring.

441

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Receptregistret – uppgifter om dosrecept

1.Om patienten samtycker ska uppgifter om dosrecept registreras i receptregistret.

2.Legitimerad hälso- och sjukvårdspersonal får ha direktåtkomst till uppgifter om dosrecept om det behövs för yrkesutövarens verksamhet i hälso- och sjukvården.

15.7.3Patientens spärrmöjligheter bör inte omfatta uppgifter om ordinerade läkemedel

Vårt förslag: Patienten ska inte kunna motsätta sig att uppgifter om ordinerade läkemedel görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direkt- åtkomst mellan vårdgivare. Patienten kan därmed inte motsätta sig att uppgifter om ordinerade läkemedel görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen.

Med uppgifter om ordinerade läkemedel avses ordinations- orsak, läkemedlets namn, läkemedlets form, mängd, dosering, administrationssätt och tidpunkter för administrering. Defini- tionen ska anges i hälso- och sjukvårdsdatalagen och anger den yttersta ramen för vad som patienten inte har rätt att spärra.

Vår bedömning: Förslaget syftar till att förbättra kvaliteten och patientsäkerheten i hälso- och sjukvården genom att möjliggöra en samlad, korrekt och aktuell bild av patientens läkemedels- behandling. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att upp- gifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkesutövares åtkomst i journal- systemens läkemedelslistor därmed i stort överensstämmande med vad som gäller för åtkomst till motsvarande uppgifter i receptregistret och läkemedelsförteckningen.

442

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Inledning

Utredningen kan konstatera att de rättigheter enligt patient- datalagen som patienten har att spärra uppgifter inte helt är harmoniserade med förutsättningarna för registrering av motsvar- ande information i läkemedelsförteckningen. Det kan även finnas anledning att ställa regelverket i relation till den underrättelse- skyldighet som följer av lagen om läkemedelsförmåner m.m. och som uttrycker vikten av att rätt information om läkemedel finns för den som står i begrepp att fatta beslut om patienters läkemedelsbehandling m.m.

Ända sedan patientdatalagens ikraftträdande har det framförts åsikter och bedömningar kring möjligheterna för patienterna att spärra sådan information som är särskilt viktig antingen för vården av patienten eller för säkerheten m.m. för hälso- och sjukvårds- personalen. I ett antal remissyttranden på Patientdatautredningens betänkande framfördes vikten av att exempelvis s.k. varnings- information, t.ex. uppgifter om allergi, överkänslighet eller smitta inte bör kunna spärras av patienten.33 Reumatikerförbundet anförde i sammanhanget exempelvis att det borde kunna skapas ett ”emergency-tecken” i journalen med direktåtkomst till viktiga fakta kring t.ex. läkemedel, sjukdom, funktionsstörningar i hjärt- lungverksamhet, uppgifter som kan vara av avgörande betydelse för vård i kristillstånd.34

Regeringen anförde dock att det är viktigt att gå försiktigt fram vid införandet av ny lagstiftning och att skyddet för patientens integritet och därmed möjligheterna att behålla förtroendet för systemet som föreslås väger över till förmån för att inte införa regler om undantag för spärr för viss information. I sammanhanget anförde regeringen även följande35

Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter och varför eller anledningen till att patienter inte spärrar uppgifter. Den nyordning som regeringen föreslår bör därför utvärderas så snart som det finns underlag för det. Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhets- synpunkt vad det gäller andra områden än barn som far illa, som exempelvis smitta, kan det finnas skäl att överväga ytterligare lag-

33Prop. 2007/08:126 s. 108 f.

34Prop. 2007/08:145.

35Prop. 2007/08:126.

443

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

ändringar som gör undantag från den ordning som regeringen nu före- slagit.

Utredningen delar generellt regeringens uppfattning att det är viktigt att gå försiktigt fram och att det är viktigt att analysera och utvärdera effekterna av en ny lagstiftning. När det gäller det senare bedömer vi att det inte enbart är relevant att betrakta frågorna ur ett övergripande patientsäkerhets- och integritetsperspektiv, utan att det också är nödvändigt att ta hänsyn till andra aspekter som ett införande av regelverket för med sig. Det kan handla om balansen mellan kostnader och nytta, men även om regelverkets påverkan på arbetssituationen för yrkesutövarna i hälso- och sjukvården. Vidare bör hänsyn även tas till vilka praktiska möjligheterna de som ska tillämpa lagstiftningen har att omsätta lagstiftningens krav i de system som används och som ska bidra till god och säker vård. Vår utgångspunkt är även att det är nödvändigt att inte endast analysera frågan om patientens spärrmöjligheter som en isolerad fråga om ett vara eller icke vara. Vi behöver också fokusera på frågan i sak, dvs. hur ett tillfredsställande integritetsskydd övergripande bör konstrueras och konkretiseras utan att omotiverade patientsäkerhetsrisker m.m. uppstår.

Utmärkande för patientdatalagens utformning och uttalanden i förarbetena är bland annat att det inte görs någon skillnad mellan olika informationsmängder. Samtliga informationsmängder omfattas av samma legala regelverk oavsett skillnader som kan finnas i informationens betydelse för en god och säker vård eller oavsett informationens känslighet ur ett integritetsperspektiv. Inte heller gör regelverket skillnad på om uppgifter hanteras i ett omfattande journalsystem tillsammans med alla andra uppgifter om patienter eller om uppgifterna är strukturerade på ett sådant sätt att de kan t.ex. kan nås för en mindre krets yrkesutövare genom avgränsade tekniska funktioner etc. Det kan därför uppstå kollisioner mellan ett generellt tillämpligt regelverk och de mer specifika och verk- samhetsnära behoven. Det är särskilt uppenbart när det gäller hanteringen av läkemedel. Vid denna hantering har man länge arbetat mot en gemensam läkemedelslista, en samlingsvy över patientens läkemedelsbehandling,

Frågan om att eventuellt begränsa patientens rätt att spärra upp- gifter är komplicerad och kräver noggranna överväganden. Ur ett övergripande perspektiv delar vi den princip om självbestämmande som gällande rätt ger uttryck för. Det är på ett generellt plan högst

444

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

rimligt att patienter har möjligheter att påverka hur känsliga upp- gifter hanteras och utbyts inom och utom hälso- och sjukvården. Samtidigt kan finnas skäl att överväga om skälen för detta är lika starka för all information eller om viss information i sig utgör en sådan nödvändig förutsättning för god och säker vård att den i praktiken alltid behövs för att patienten ska kunna ges den vård som är nödvändig. Uppgifter om ordinerade läkemedel är på flera sätt en sådan uppgift.

Vi har tidigare översiktligt redovisat omfattningen av läke- medelsbehandling och vilka risker och läkemedelsrelaterade problem som patienter utsätts för. Vi har även redovisat att de yrkesutövare som ska fatta bästa möjliga beslut om patienters läkemedels- behandling många gånger gör sina ställningstaganden på osäker grund, exempelvis för att läkemedelslistorna är utspridda på olika vårdgivare eller för att de inte överensstämmer med vad patienten faktiskt har hämtat ut och tar. Samtidigt har uppmärksammats att det både på lokal, regional och nationell nivå pågår ett målmedvetet arbete med att tillhandahålla bättre förutsättningar för en säker och ändamålsenlig hantering av läkemedelsrelaterade uppgifter om patienter. Utredningen anser att det är viktigt att detta arbete kan fortsätta drivas framåt för att komma närmare målsättningen om rätt information på rätt plats i rätt tid.

Vidare är vår utgångspunkt att varje förskrivare har ett ansvar för att i varje given förskrivningssituation göra en bedömning av aktuell läkemedelsbehandling, att helheten fungerar och att den ordination som avses är ändamålsenlig och säker. Även en oförändrad ordination kan betraktas som ett ställningstagande och i princip jämställas med en ordination av given dos, styrka och behandlingstid. För att kunna ta detta ansvar krävs en samlad, korrekt och aktuell bild av patientens läkemedelsbehandling. Regeringen uttrycker bland annat följande i den nationella läke- medelsstrategin.36

Läkemedel skapar stor nytta för patienter och samhälle. Men läke- medelsanvändningen är inte problemfri. Biverkningar, olämpliga läkemedelskombinationer, feldosering, bristande följsamhet till ordi- nationer, oavsiktlig dubbelmedicinering och annan felaktig läkemedels- användning kan leda till hälsoproblem. Ett sätt att öka möjligheterna att förutse och undvika läkemedelsrelaterade problem skulle vara att patienten själv, vården och apoteket hade en samlad och gemensam bild av vilka läkemedel varje enskild patient rekommenderats och

36 Nationell läkemedelsstrategi, Handlingsplan 2014, s. 13.

445

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

varför. Idag finns ingen sådan samlad bild. I stället finns informationen spridd i flera olika läkemedelslistor och register. Till exempel finns uppgift om ordinerade läkemedel i läkemedelslistor i olika journal- system, giltiga recept i receptregistret och uppgifter om uthämtade läkemedel i Läkemedelsförteckningen. Dessa register och listor visar inte sällan olika bilder av verkligheten och de har dessutom olika regler om vem som får åtkomst till informationen. Det är inte heller säkert att någon av listorna stämmer med patientens egen bild. Detta är bakgrunden till att en nationell, samlad läkemedelslista behövs och nu skapas.

När nu hälso- och sjukvården står inför nästa steg i riktning mot en samlad läkemedelslista i form av nationell ordinationsdatabas anser utredningen att en omprövning och en omvärdering av lagstift- ningens perspektiv och utgångspunkter bör göras. Den tekniska utvecklingen har gått framåt och ytterligare utveckling kommer att ske. Inte minst går utvecklingen mot inbyggda beslutsstöds- liknande funktioner som kan reducera riskerna för olämpliga beslut i läkemedelsprocessen. Det kan exempelvis handla om sådana funktioner där systemet själv känner av och signalerar om en olämplig ordination är på väg att genomföras, t.ex. om det finns risker för kontraindikationer mellan läkemedel. Ett regelverk som tillåter att sådan information kan spärras som behövs för att systemet ska kunna stödja en patientsäker vård och vara kunskaps- styrande för yrkesutövarna ger också uttryck för att tillåta och ha överseende med osäkerhetsfaktorerna. För den patient som spärrat en viss läkemedelsordination får ett sådant beslutsstöd ett begränsat värde eftersom beslutsstödet inte tillåts arbeta med all relevant information. Detsamma gäller naturligtvis för de yrkes- utövare som ska vägledas av beslutsstödsfunktionerna i sitt arbete. För dem blir det svårt att lita på om systemet har fått bearbeta tillräcklig och nödvändig information för att göra sin rekom- mendation.

Med nya och effektiva beslutsstöd har vi i dag möjligheter att låta tekniken göra sådant som vi i en manuell hantering skulle ha mycket svårt att klara av. Både resursmässigt vad gäller tid men även kunskapsmässigt med tanke på de snabba landvinningar som görs och det omfattande forskningsunderlag som kontinuerligt produceras. Att manuellt gå igenom en omfattande mängd indika- torer i patientjournaler, värdera dessa efter vetenskap och beprövad erfarenhet och samtidigt ta hänsyn till de senaste forsknings- rekommendationerna för att fatta ett beslut är ingalunda en enkel

446

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

uppgift. I dag vet vi dock att tekniken kan göra mycket av detta åt oss mer eller mindre automatiskt. Men då måste uppgifterna finnas tillgängliga så att de kan bearbetas av systemet och ligga till grund för en beräkning eller rekommendation.

Denna typ av beslutsstödsfunktioner kan dessutom vara fördel- aktiga ur ett integritetsskyddsperspektiv eftersom de aktuella uppgifterna hanteras av systemet och inte exponeras för yrkes- utövaren på samma sätt som när motsvarande beslutsunderlag ska tas fram vid en traditionell genomgång av patientjournalen. En samlad, korrekt och aktuell bild av patientens läkemedels- behandling utgör en begränsad del av dokumentationen i vården. Samtidigt är värdet av informationen ofta alldeles avgörande i vårdögonblicket. Vid analysen av nyttan med tillgång till informa- tionen relaterat till risker för ökat integritetsintrång behöver därför särskild hänsyn tas till att läkemedel är en informationsmängd som är särskilt viktig för patientens liv och hälsa.

Hälso- och sjukvårdens utmaning beträffande handläggning av kroniska sjukdomar och pågående kronisk läkemedelsbehandling är avgörande för hela hälso- och sjukvårdssystemet inför framtiden. Läkemedelsrelaterade problem med åtföljande vårdkonsumtion utgör en allt större del av de samlade hälso- och sjukvårdskost- naderna. Målet och intentionen med en samlad läkemedelslista är att i varje stund kunna ge patienten en adekvat och anpassad läkemedelsbehandling som grund för en god och säker vård utifrån det tillstånd och den situation som råder. Aktuell och pågående läkemedelsbehandling ger hälso- och sjukvårdspersonalen en kvali- ficerad bild av aktuellt hälsotillstånd. Med detta utgångsläge möjliggörs ett effektivt medicinskt omhändertagande på en nivå där tidigare medicinska bedömningar tas tillvara, omprövas och ifråga- sättas samtidigt som nya bedömningar kan adderas.

Danmark som jämförande exempel

Vid en utblick mot våra grannländer kan bland annat konstateras att Danmark sedan ett antal år tillbaka drivit utvecklingen mot en nationell, samlad läkemedelslista (Fælles Medicinkort, FMK). Det är en gemensam nationell läkemedelslista där hälso- och sjukvårds- personal (och även socialtjänstpersonal m.fl.) elektroniskt kan ta del av en patients samtliga ordinationer. Även patienterna själva har en möjlighet att över internet ta del av sin samlade läkemedelslista.

447

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

För hälso- och sjukvårdspersonal både i offentlig och privat hälso- och sjukvård finns en skyldighet att uppdatera informa- tionen i den samlade läkemedelslistan och patienter kan inte motsätta sig att uppgifter registreras. Det finns således ingen mot- svarande rätt för patienter att spärra, som det finns i patient- datalagens regelverk för sammanhållen journalföring. I Danmark är uppgifter om ordinerade läkemedel därmed alltid potentiellt tillgängliga för de behöriga yrkesutövarna.

För att exempelvis en läkare ska få ta del av uppgifterna krävs att det finns en aktuell patientrelation med patienten och att uppgifterna kan antas behövas för vården av patienten. Åtkomst till läkemedelslistan kan ske antingen genom att hälso- och sjukvårds- personalen loggar in direkt mot FMK t.ex. genom den lösning som Sundhedsstyrelsen tillhandahåller, eller genom att vårdgivaren har integrerat FMK i sitt journalsystem. Enligt uppgifter till utredningen har alla fem hälso- och sjukvårdsregioner i Danmark utvecklat full integration mot FMK genom de lokala patient- journalsystemen.

Även om patienter i Danmark inte har rätt att motsätta sig att uppgifterna registreras i FMK finns en möjlighet för patienten att begära att en ordination ska markeras som ”privat”. Patienten kan inte själv göra detta utan det ska göras av en läkare på patientens begäran. Läkaren ska samtidigt informera patienten om eventuella konsekvenser för framtida behandlingar, så att patienten kan fatta ett informerat beslut. Normalt sett ska det vara den läkare som ordinerat läkemedlet. När annan hälso- och sjukvårdspersonal sedan tar del av patientens läkemedelslista kommer den privat- markerade ordinationen inte att framgå i klartext, men det framgår att det finns en ordination som är privatmarkerad. Hälso- och sjukvårdspersonalen kan ta del även av den privatmarkerade upp- giften efter att ha inhämtat patientens samtycke till det. Om patienten saknar förmåga att samtycka och yrkesutövaren bedömer att uppgifterna kan vara nödvändig med hänsyn till patientens behov av vård, är det också tillåtet att ta del av en privatmarkerad ordination. Det innebär således att en privatmarkerad ordination är tillgänglig i systemet, dvs. tekniskt åtkomlig, men att särskilda villkor gäller för att en yrkesutövare lagligen ska få ta del av uppgiften.

448

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Balansen mellan olika intressen

Sammantaget finns det, enligt utredningens bedömning, starka skäl som talar för att såväl lagstiftning som andra åtgärder behöver stimulera den utveckling mot en samlad läkemedelslista som nu är på gång även i Sverige. Ett led i detta skulle kunna vara att undanta uppgifter om läkemedelsordinationer från patienternas rätt att motsätta sig sammanhållen journalföring. Samtidigt skulle det inne- bära ökade risker för intrång i den personliga integriteten samt inskränka patienternas rätt till självbestämmande i frågan. Det är dock viktigt att poängtera att ett undantag från dagens spärr- möjligheter inte skulle innebära en okontrollerad spridning eller användning av uppgifterna. Undantaget skulle principiellt endast innebära att uppgifterna, i likhet med vad som gäller för läke- medelsförteckningen, får vara tekniskt åtkomliga, så att det är möjligt för en yrkesutövare att ta del av dem när det i en enskild situation är lagligt. Att undanta läkemedelsordinationer från spärrmöjligheterna handlar således inte om förutsättningarna för yrkesutövare att få ta del av uppgifterna, det handlar om upp- gifterna över huvud taget ska få finnas potentiellt tillgängliga.

Mot den bakgrunden kan det vara av intresse att uppmärk- samma hur regeringen resonerade i en motsvarande fråga, där det precis som här handlade om begränsade informationsmängder avseende läkemedel. Regeringen uttalade bl.a. följande i proposi- tionen till lagen om läkemedelsförteckning om behovet av en samlad bild av patientens läkemedelsbehandling.37

Regeringen konstaterar att det i nuläget inte finns någon samlad information om patientens läkemedelssituation tillgänglig. Om en förskrivare inte har den fullständiga och korrekta bilden av patientens läkemedelsförhållande klar för sig när ett läkemedel ska förskrivas utgör detta en uppenbar hälsorisk för den enskilde patienten. En brist på information om patientens läkemedelsförhållanden kan leda till över- och underförskrivning samt direkt felaktig förskrivning, vilket i sin tur kan leda till att patienten drabbas av sjukdom och lidande.

---

För att skapa en aktuell och samlad information om en patients läkemedel som kan användas vid förskrivning och hantering av den enskildes läkemedel vore det lämpligt att utnyttja eller knyta an till denna registrering av uthämtade förskrivna läkemedel men spara upp- gifterna under en längre tid än i dag. En sådan registrering belastar inte den förskrivande läkaren och har den fördelen att den omfattar sådana läkemedel som patienten inte bara har ordinerats utan också hämtat ut

37 Prop. 2004/05:70 s. 19 f.

449

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

på apoteket. Registreringen kan knytas till den enskilde patienten, dennes namn och personnummer och möjliggör en samlad, heltäck- ande information om patientens läkemedelsinköp oberoende av vem som har förskrivit läkemedlen och vid vilken vårdenhet det skett.

Mot denna bakgrund övervägde regeringen sedan om registreringen av uppgifter om uthämtade läkemedel skulle vara obligatorisk eller om det skulle vara beroende av patientens inställning. Det kan i detta avseende därför jämföras med frågan om patientens rättighet att spärra uppgifter från elektronisk åtkomst och motsätta sig att uppgifter om ordinationer delas mellan vårdgivare i system för sammanhållen journalföring. Vad gäller läkemedelsförteckningen menade regeringen att registret behöver vara heltäckande för att förskrivare ska kunna lita på att samtliga uthämtade läkemedel finns med i förteckningen. Regeringen anförde bland annat följande.38

Ett register, som för vissa patienter endast redovisar ett urval av de förskrivna läkemedel som hämtats ut, skulle av naturliga skäl inte fullt gå att lita på. Syftet med förteckningen skulle då vara förfelat och nuvarande problem med informationsbrist skulle kvarstå.

----

Skälen för att tillåta att uppgifterna i en läkemedelsförteckning registreras utan krav på den enskildes samtycke väger tungt. Regeringen anser därför att själva förtecknandet av uppgifterna ska få ske utan krav på den enskilde patientens samtycke. För att skydda den enskildes integritet skall dock tillgången till uppgifterna vara beroende av den enskildes samtycke.

Med avseende på uppgifter om uthämtade läkemedel har lag- stiftaren således gjort bedömningen att registrering inte ska kräva patientens samtycke eller att patienten ska ha en rätt att motsätta sig registreringen. Det innebär t.ex. att uppgifter om samtliga uthämtade läkemedel kan vara tillgängliga för den förskrivare som i möten med patienter har behov av uppgifterna för att kunna ge en god och säker vård. Det faktum att patientens samtycke krävs för åtkomsten kan jämföras med det samtycke till vård som patienter lämnar och som är det som primärt grundar en rätt att ta del av uppgifter i en patientjournal.

Enligt vår uppfattning blir lagstiftarens signaler när det gäller hanteringen av läkemedelsrelaterad information splittrad. Medan patienter i enlighet med patientdatalagen ges rätt att spärra en ordination från en yrkesutövares åtkomst, har patienten inte rätt

38 Prop. 2004/05:70 s. 20 ff.

450

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

att motsätta sig registrering av samma information i läkemedels- förteckningen. Och eftersom yrkesutövaren får ha tillgång till uppgifter läkemedelsförteckningen på i princip samma grunder som gäller för åtkomst till patientjournalen, kan effekten av patientens spärr ifrågasättas. Den spärrade uppgiften kan ju ändå nås av yrkes- utövaren, genom åtkomst till läkemedelsförteckningen, när det behövs i vården av patienten. Det kan därmed diskuteras vilken reell försvagning av patienternas integritetsskydd som det egent- ligen skulle vara fråga om ifall uppgifter om ordinerade läkemedel undantogs från spärrmöjligheterna.

Utredningen delar regeringens bedömning i propositionen om läkemedelsförteckningen att en läkemedelslista som inte är full- ständig är av begränsat värde. Sammantaget finner vi därför att övervägande skäl talar för att uppgifter om ordinerade läkemedel bör undantas från patientens möjligheter att motsätta sig samman- hållen journalföring. Inte minst för de grupper som utredningen enligt direktivet särskilt ska fokusera på (dvs. äldre, personer med psykisk sjukdom eller funktionsnedsättning samt personer med missbruks- och beroendeproblematik) är en samlad läkemedelslista många gånger helt avgörande. För den stora och växande gruppen av äldre har situationen beskrivits ingående; flera läkemedel, stora vårdbehov och omfattande vårdkontakter. Samma faktorer kan sägas gälla många funktionshindrade.

Behovet av en samlad läkemedelista kan även vara avgörande i behandlingen av beroendesjukdomar. Utöver att förskrivningar av olika beroendeframkallande preparat visas i en läkemedelslista så syns också den totala förskrivningen samt vilka förskrivare som förekommit. Patientgruppen vid läkemedelsberoende rör sig ofta mellan olika förskrivare. Interna läkemedelistor inte ger därför inte alltid en rättvisande bild. Behandling av beroendesjukdomar inne- bär hanterande av det förnekande och förringande av missbruket som ingår i sjukdomsbilden. En samlad läkemedelslista möjliggör en överblick och uppföljning av förskrivningssituationen på ett mer ändamålsenligt sätt.

Förslaget innebär visserligen att patienternas självbestämmande i frågor om hur information får hanteras inom hälso- och sjuk- vården begränsas något jämfört med vad som är fallet i dag. Samtidigt finns patientens möjligheter att avseende all annan vårddokumentation motsätta sig en medverkan i systemet kvar. Frågan om undantag avseende uppgifter om läkemedel bör i stället närmast jämföras med vad som gäller för läkemedelsrelaterade

451

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

uppgifter i övrigt - än med vad som gäller för vårddokumentation generellt. Det något ökade intrånget i den personliga integriteten som det då är fråga om bedömer vi är motiverat med hänsyn till den nytta som förslaget innebär för förutsättningarna för kvalitet och patientsäkerhet i läkemedelsprocessen.

Även om det inte är avgörande för frågans bedömning ska det inte heller underskattas att det finns praktiska svårigheter och att det krävs omfattande resurser, både i form av utveckling och av administration av system m.m., för att implementera och förvalta spärrfunktioner i en läkemedelslista som sedan länge har byggts upp med målsättningen att vara gemensam för alla i verksamheten som möter patienten och har behov av uppgifterna. Här har bland annat tillsyn från Datainspektionen visat både på svårigheter och låg prioritering från vårdgivarna när det gäller att utveckla spärr- funktioner i läkemedelslistan. Samtidigt har inte minst från chef- läkare och andra framhållits farhågor om att ett införande av spärrmöjligheter i läkemedelslistorna leder till ökade patient- säkerhetsrisker.

Vid bedömningen av om det ska vara tillåtet att spärra uppgifter om läkemedel bör hänsyn bör även tas till hälso- och sjukvårds- personalens förutsättningar att utöva sakkunnig och omsorgsfull vård. De förväntas ta del av all relevant information för att kunna fatta bästa möjliga beslut om patientens vård och behandling. Det kan i det avseendet inte uteslutas att varje krav från lagstiftaren som gör det svårare att snabbt och säkert ta del av den information som behövs i detta syfte medför en otrygg arbetssituation och ett större mått av osäkerhet och frustration i verksamheten. Hälso- och sjukvårdspersonal har i kontakter med utredningen vittnat om att det i dag finns en generell osäkerhet om den informations- hantering som görs i och för vården av patienterna. Bland annat har lyfts fram att yrkesutövare möter ett gränssnitt i journalsystemen där det ställs höga krav på att navigera rätt för att få fram den information som behövs.

Vi bedömer att det generellt, och särskilt vad gäller läkemedel, finns ett behov av att gå ifrån en modell där informationen ska delas upp efter organisatorisk tillhörighet till en modell där informationen kan presenteras efter användarens behov. Dagens korta vårdtider och många övergångar i vårdkedjan förutsätter en ändamålsenlig informationshantering där korrekta uppgifter kan nås av behörig hälso- och sjukvårdspersonal på ett säkert och enkelt sätt. Förslaget att ta bort spärrmöjligheterna för uppgifter

452

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

om ordinerade läkemedel är en av flera åtgärder som vi bedömer har betydelse för att stödja en sådan utveckling.

Sammanfattningsvis syftar förslaget i allt väsentligt till att förbättra resultatet för patienter som är i behov av läkemedel och till att reducera de stora risker som i dag finns för patienter att drabbas av läkemedelsrelaterade problem som leder till ökad ohälsa och lägre livskvalitet. Vi är medvetna om att det därutöver krävs ett antal olika åtgärder som alla samspelar med varandra för att patienter i praktiken ska kunna dra nytta av de möjligheter som lagstiftningen ger. Vad dessa åtgärder kan bestå i berörs längre fram.

Närmare om vårt förslag

Mot bakgrund av vad som redovisats ovan föreslår vi således att uppgifter om läkemedelsordinationer ska vara undantagna från patientens rätt att motsätta sig att uppgifter görs tillgängliga i system för sammanhållen journalföring och mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för. Det innebär i praktiken, precis som för läkemedelsförteckningen, att uppgifterna får dokumenteras och vara potentiellt tillgängliga för andra vårdenheter och andra vårdgivare utan att patienten kan motsätta sig det. För att någon ska få ta del av uppgifterna krävs dock att de grundläggande förutsättningarna för åtkomst till patient- uppgifterna är uppfyllda.

Vid sammanhållen journalföring får åtkomsten till uppgifter om ordinerade läkemedel således ske under samma förutsättningar som gäller för åtkomst till andra uppgifter om patienten. Det innebär bl.a. att åtkomst till uppgifterna i system för sammanhållen journal- föring i praktiken får användas om det finns en aktuell patient- relation och uppgifterna kan antas behövas för den aktuella vården av patienten. Precis som vid all hälso- och sjukvård gäller naturligtvis att patienten har samtyckt till vården eller att vården i annat fall har stöd av lag. Genom att tydliggöra att det är patientens behov av och samtycke till hälso- och sjukvårdsinsatser som är utgångspunkten för informationsinhämtningen uppnås i praktiken en överenstämmelse mellan förutsättningarna för att ge vård och för att ta del av den information som behövs för att kunna ge den aktuella vården med hög kvalitet och säkerhet.

453

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Även för sådan åtkomst inom och mellan vårdgivare som bedriver verksamhet som samma huvudman ansvarar för ska åtkomsten till uppgifter om ordinerade läkemedel ske enligt samma förut- sättningar som gäller för övriga ospärrade uppgifter. Det innebär att åtkomsten till uppgifterna bara är tillåten i förhållande till patienter som är aktuella i den egna verksamheten och om uppgifterna behövs för arbetets utförande.

Sammantaget innebär detta att yrkesutövares åtkomst till uppgifter om ordinerade läkemedel i patientjournaler i praktiken kommer att vara tillåten under samma förutsättningar som gäller för åtkomst till motsvarande uppgifter i läkemedelsförteckningen eller i receptregistret avseende dospatienter. De olika regelverken rörande hantering av läkemedelsrelaterade uppgifter om patienter skulle då i praktiken komma att harmoniseras och ge uttryck för samma värdering av nyttan av att hålla information tillgänglig och behovet av att tillåta åtkomst endast när det är befogat.

En möjlig framtida konsekvens av förslagen kan vara att den i dag tillåtna åtkomsten till uppgifter om dosrecept i receptregister- lagen inte kommer att behöva användas. Om hälso- och sjuk- vårdens aktörer fortsätter utvecklingen mot en samlad, nationell läkemedelslista i likhet med vad som är fallet i Danmark, kommer denna läkemedelslista att innehålla de uppgifter som i dag tillhanda- hålls samlat i receptregistret. Om en sådan utveckling realiseras kommer det därför inte längre att finnas behov av åtkomst till receptregistret. Detta förutsätter, precis som ambitionen är i Danmark, att alla som ordinerar läkemedel använder samma verk- tyg, dvs. den samlade nationella läkemedelslistan, för att journal- föra och/eller presentera ordinationerna. Ytterligare aspekter kring vikten av att alla vårdgivare arbetar mot samma samlade läke- medelslista berörs längre fram.

I praktiken medför förslagen, enligt vår bedömning, även väsentligt bättre förutsättningar att utforma ett användargränssnitt som samlat kan ge svar både på patientens ordinerade och på patientens uthämtade läkemedel. Hälso- och sjukvårdsdatalagen skulle åtminstone inte ställa upp några hinder mot att uppgifter om ordinerade läkemedel presenteras i en samlad lista oavsett om uppgifterna är dokumenterade hos en eller flera vårdgivare. Till det skulle det också, när förutsättningarna för åtkomst enligt läke- medelsförteckningen är uppfyllda, vara möjligt att i samma gräns- snitt få svar på om läkemedlet är uthämtat och om det i sådana fall är utbytt. För läkemedel som har blivit utbytta skulle i och för sig

454

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

motsvarande information kunna tillföras patientjournalens läke- medelslista om en mer ändamålsenlig och elektronisk funktion för återrapporteringsskyldigheten enligt lagen om läkemedelsförmåner togs fram. Denna informationskälla är dock inte fullständig eftersom den saknar information om läkemedel som inte har bytts ut men väl hämtats ut av patienten.

Utredningen har därutöver övervägt om det skulle vara lämpligt med motsvarande lösning som i Danmark, dvs. att patienten ges en möjlighet att ”privatmarkera” en ordination. Det finns emellertid ett antal skillnader mellan förhållandena i Sverige och Danmark, som även påverkar bedömningen av lämpligheten av en sådan lös- ning. En skillnad är exempelvis att det generellt är fler yrkes- kategorier som tillåts ha åtkomsten till den samlade läkemedels- listan i Danmark än vad som är fallet i Sverige, t.ex. viss social- tjänstpersonal. Även om en sådan lösning i och för sig skulle kunna vara ett sätt för att uppväga de ökade risker för integritetsintrång som kan uppstå, ser vi samtidigt att det i praktiken förutsätter ett nationellt system för hantering av uppgifter om ordinerade läke- medel. Medan Danmark har en författningsreglerad hantering av uppgifter i en gemensam läkemedelslista, bygger motsvarande utveckling i Sverige på vårdgivares frivillighet och på regleringarna rörande läkemedelsförteckningen och receptregistret. Att i en sådan situation föreslå en särskild lösning endast för vårdgivares hantering av uppgifter om ordinerade läkemedel i vårddokumen- tationen vore en tveksam lösning. Förutom att det även framöver skulle bidra till att upprätthålla inkongruensen mellan åtkomst till uppgifter i en patientjournal och åtkomst till uppgifter i läke- medelsförteckningen, kan det heller inte uteslutas att det skulle medföra praktiska svårigheter för vårdgivarna att utforma ändmåls- enliga IT-system. Med det sagt kan emellertid en annan bedömning vara påkallad om utvecklingen framöver, även vad gäller lagstift- ningen, tar en liknande riktning som exempelvis i Danmark.

Vad är uppgifter om ordinerade läkemedel?

För att vårt förslag ska vara praktiskt genomförbart är det nöd- vändigt att definiera vilken information som ska omfattas av undantaget från spärreglerna. Enligt vår bedömning bör detta även framgå av hälso- och sjukvårdsdatalagen.

455

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Vid en jämförelse med läkemedelsförteckningens information om uthämtade läkemedel kan konstateras att följande uppgifter, enligt 4 § lagen om läkemedelsförteckning, får registreras.

1.Inköpsdag, vara, mängd, dosering,

2.den registrerades namn och personnummer, samt

3.förskrivarens namn, yrke, specialitet och arbetsplats.

När det gäller receptregistret får enligt 8 § receptregisterlagen följande uppgifter registreras.

1.Inköpsdag, vara, mängd, dosering, kostnad och kostnads- reducering,

2.förskrivningsorsak,

3.patientens namn, personnummer och folkbokföringsort samt postnumret i patientens bostadsadress,

4.förskrivarens namn, yrke, specialitet, arbetsplats, arbetsplatskod och förskrivarkod,

5.samtycke, och

6.administrativa uppgifter.

För att komma fram till hur uppgift om ordinerade läkemedel bör definieras och avgränsas kan även bestämmelserna om krav på patientjournalens innehåll vara vägledande. Av de grundläggande bestämmelserna i patientdatalagen följer att journalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten. Detta konkretiseras sedan något och av 3 kap. 6 § andra stycket PDL framgår att om uppgifterna finns tillgängliga ska en patient- journal alltid innehålla bl.a. uppgifter om bakgrunden till vården, uppgifter om diagnos samt väsentliga uppgifter om vidtagna och planerade åtgärder. Enligt utredningens bedömning måste det redan av patientdatalagen anses följa ett krav på att journalen inne- håller sådan information som t.ex. vilket läkemedel som ordinerats, i vilken mängd, med vilken dosering och varför läkemedlet ordinerats. Detta förtydligas även i Socialstyrelsens föreskrifter SOSFS 2008:14, där det i 3 kap. 6 § bland annat uttryckligen ställs krav på att en patientjournal ska innehålla uppgifter om ordinationer av läkemedel och uppgifter om förskrivningsorsak vid ordination av läkemedel. I

456

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Socialstyrelsens handbok med ytterligare tillämpningsanvisningar kring föreskrifterna framgår bland annat följande.

Ordination av läkemedel och olika behandlingar ska dokumenteras i patientjournalen. När det gäller ordinerade läkemedel ska förskriv- ningsorsaken noteras tillsammans med namn på preparatet, läkemedels- form, styrka, dosering, administrationssätt, tidpunkt för administrering och eventuell iterering.

Ovanstående återfinns även i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården. Av 3 kap. 7 § följer bland annat att en läkemedels- ordination ska innehålla uppgifter om läkemedlets namn, läke- medelsform, styrka, dosering, administrationssätt och tidpunkterna för administrering.

Mot bakgrund av ovanstående finner vi sammantaget att det i begreppet ”uppgifter om ordinerade läkemedel” och som föreslås vara undantaget från patientens spärrmöjligheter får inrymmas följande.

-Ordinationsorsak

-Läkemedlets namn

-Läkemedlets form

-Mängd

-Dosering

-Administrationssätt

-Tidpunkter för administrering

Ovanstående uppgifter utgör därmed den yttersta ram för vilka uppgifter som patienten inte har en rätt att spärra. Eftersom det är svårt och ibland olämpligt att direkt i lagstiftning vara alltför precis är detta även ett område som ytterligare kan behöva preciseras genom föreskrifter från Socialstyrelsen. Sannolikt kan således finnas behov av att även definiera några av begreppen ovan. Det görs emellertid, enligt utredningens bedömning, med fördel på den föreskrivande myndighetens nivå än direkt i lag. När utredningen har övervägt uppgiften om ordinationsorsak har vi närmast avsett ”omständighet som ordinatör anger som skäl för ordination”.39

39 Jfr CeHis, Projekt för dokumentation av ordinationsorsak och analys av samspel med närliggande kunskapsstöd, s. 26.

457

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Samtidigt ser vi inga hinder för att i det avseende som är aktuellt här, låta ordinationsorsak även omfatta både insättningsorsak, ändringsorsak och utsättningsorsak. Sett mot bakgrund av syftet med utredningens förslag är det även helt naturligt. Detta eftersom ordinerande åtgärder i sig kan utgöras både av insättning av en behandling och av ändring eller utsättning av behandlingen. Särskilt torde vissa utsättningsorsaker kunna vara väldigt viktiga att känna till för en patientsäker läkemedelsbehandling, inte minst de orsaker som har att göra med sådant som allvarliga biverkningar, uteblivna effekter. Utebliven information medför risker för patienter efter- som det ökar sannolikheten för att samma läkemedel kan komma att ordineras ännu en gång. Orsaken till att en ordination förändras eller sätts ut ska dokumenteras i patientjournalen precis på samma sätt som själva ordinationsorsaken ska dokumenteras. Även sett mot den bakgrunden finns det övervägande skäl som talar för att de olika informationsmängderna bör hanteras på samma sätt i den föreslagna hälso- och sjukvårdsdatalagen. En samlad, korrekt och aktuell bild av patientens läkemedelsbehandling bör således även ge svar på varför en ordination ändrats eller satts ut.

Vidare bedömer vi att det kan finnas fördelar om ordinations- orsaken anges som en kod utifrån medicinska klassifikationer. Förutom att en strukturerad journalföring i denna del skulle redu- cera riskerna för missförstånd och samtidigt öka möjligheterna till uppföljning och kvalitetssäkring, innebär medicinska klassifika- tioner ett visst integritetsskydd i jämförelse med om uppgifterna anges exempelvis i fritext. Ytterligare en omständighet i samman- hanget är att receptregistret får innehålla uppgift om ordinations- orsak (förskrivningsorsak), men endast om det anges med en kod. Ett nationellt kodverk för ordinationsorsaker skulle då ge förut- sättningar för en enhetlig hantering oavsett om uppgifterna dokumenteras i en patientjournal eller registreras i receptregistret. Socialstyrelsen har på regeringens uppdrag inlett ett arbete med att ta fram koder för ordinationsorsak bl.a. av dessa skäl. I det arbetet har även påbörjats ett arbete med att möjliggöra dokumentation av ordinationsorsak med en kod i den samlade, nationella läkemedels- listan, NOD.

458

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

15.7.4Ändringar som görs på apotek

Vår bedömning: Det bedöms möjligt för apoteksaktörerna att inom ramen för gällande rätt lämna ut information till vårdgivare i hälso- och sjukvården om sådana ändringar i recept- informationen som görs på apotek på begäran av förskrivaren. Sådana ändringar som görs på begäran av patienten bör kunna lämnas ut under förutsättning att patienten samtycker till det. Utlämnandet bör kunna göras elektroniskt i enlighet med apoteksdatalagen.

När patienter hämtar ut läkemedel på apotek händer det ibland att den utlämnande farmaceuten gör ändringar i den aktuella recept- informationen, dvs. i det som ordinerats av en förskrivare. Utredningen har blivit varse om att det finns en osäkerhet om det är möjligt för apoteksaktörerna att kommunicera de vidtagna ändringarna till vårdgivare i hälso- och sjukvården, t.ex. så att patientens läkemedelslista kan kompletteras med information och därmed överensstämma med det som registrerats i receptregistret.

Såvitt utredningen förstår görs i dag sådana förändringar antingen på ordinatörens uppdrag eller på patientens uppdrag. Enligt uppgift är det som görs på ordinatörens uppdrag följande.

1.”skapa ordination”, dvs. registrera en läkemedelsordination

2.”sätta ut ordination”, dvs. registrera en utsättning

3.”korrigera ordination”, dvs. registrera en korrigering av t.ex. doseringstext eller andra enstaka fält

4.”makulera ordination”, dvs. ta bort det registrerade receptet

5.”förlänga ordination”, dvs. förlänga receptets giltighetstid

När det gäller ändringar som görs på patientens uppdrag är det enligt uppgift följande som kan göras av farmaceut på apotek.

1.”skapa ordination”, dvs. registrera en läkemedelsordination som kommer med pappersrecept

2.”makulera ordination”, dvs. ta bort det registrerade receptet

3.”skriva ut receptoriginal”, dvs. omvandla ett elektroniskt recept till ett pappersrecept så att det inte sparas elektroniskt

459

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

En fråga utredningen har försökt få svar på är varför förändringar görs på det beskrivna sättet. Det besked vi då har fått är att det har att göra med det faktum att vi i Sverige både arbetar med ordinationer och med recept. De förändringar som görs i detta led syftar därför i första hand till att korrigera det recept, dvs. beställ- ningen, som förskrivits och som ger patienten en möjlighet att på apoteket hämta ut det som omfattas av receptet.

När hälso- och sjukvården nu är på väg mot en samlad, nationell läkemedelslista har önskemål väckts om att de ovan angivna förändringarna ska kommuniceras tillbaka till vårdgivaren för att på sådant sätt kunna komplettera den samlade läkemedelslistan. Om så inte görs befaras att läkemedelslistan kommer att visa upp viss information och receptregistret en annan, trots att det avser samma läkemedelsordination. Utredningen kan emellertid inte helt se att det scenariot nödvändigtvis behöver inträffa. Det kan exempelvis antas att förskrivare som arbetar i en samlad, nationell läkemedels- lista även kommer att ha egna möjligheter att vidta de aktuella förändringarna direkt i ordinationsverktyget.

Under en övergångsperiod när ordinationsverktyget inte används av samtliga förskrivare kvarstår dock, såvitt vi kan bedöma, ett behov för ordinatören att kontakta apoteket och be att receptet förändras på önskat sätt. Enligt utredningens bedömning ska en sådan åtgärd från ordinatören journalföras. Detta omfattas av den grundläggande skyldigheten att föra patientjournal och att dokumentera uppgifter om ordinerade läkemedel. Kraven gäller oavsett om förändringarna görs av farmaceuten på begäran av för- skrivaren eller om förskrivaren kan göra ändringarna själv på ett sådant sätt att de slår igenom i recepthandlingen som ligger till grund för patientens möjlighet att hämta ut läkemedel. Kraven på journalföring omfattar av naturliga skäl inte sådana ändringar som görs på begäran av patienten i dennes kontakter med apoteket. Dessa har förskrivaren normalt sett ingen kännedom om.

I viss utsträckning synes detta därmed vara en fråga av mer praktisk karaktär. Den praktiska frågan handlar om journalföringen skulle kunna underlättas genom att farmaceuten på apotek kommunicerar de vidtagna ändringarna ifall förskrivaren inte själv har använt ett ordinationsverktyg som möjliggör såväl journal- föring som förändring av receptet. En sådan ordning skulle inne- bära att en förskrivare som, t.ex. via en telefonkontakt med apoteket, begär en förändring inte skulle behöva notera detta själv i patientjournalen utan i stället ta emot den registrerade informa-

460

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

tionen från apoteket och låta den komplettera patientens journal. Naturligtvis kan det finnas fördelar med en sådan lösning, bland annat eftersom den innebär att uppgifterna bara behöver doku- menteras en gång på ett ställe och sedan kommuniceras till mot- tagaren. Vidare kan datakvaliteten öka genom att riskerna för divergerande informationsmängder minskar jämfört med om två olika personer ska dokumentera uppgifterna var för sig och i olika it-stöd.

För att kunna realisera ett sådant arbetssätt krävs dock att den rådande lagstiftningen inte hindrar den aktuella kommunikationen, dvs. utlämnandet av uppgifter från apotek till den vårdgivare där förskrivaren är verksam. Eftersom det i dessa fall är apoteksaktörerna som dokumenterar och skulle kommunicera informationen med vårdgivare i hälso- och sjukvården är det primärt apoteksdatalagens bestämmelser som behöver analyseras.

I sammanhanget kan samtidigt konstateras att informationen om de aktuella ändringarna redan i dag kan vara åtkomliga för legitimerad hälso- och sjukvårdspersonal. Det gäller dock endast rörande patienter som får dosdispenserade läkemedel. Med avseende på dessa patienter har hälso- och sjukvårdspersonal en möjlighet att ta del av uppgifterna genom direktåtkomst till receptregistret. Men även om själva åtkomsten kan tillgodose behovet av information rörande dosrecept, kvarstår enligt utredningens uppfattning ett krav på att informationen journalförs i hälso- och sjukvården. Detta gäller förstås endast sådana förändringar som görs på för- skrivarens uppdrag.

Grundfrågan om de legala möjligheterna att kommunicera informationen från apoteket till vårdgivare i hälso- och sjukvården är därmed, ur ett journalföringsperspektiv, lika relevant alldeles oavsett om det rör dosdispenserade läkemedel eller andra läke- medel.

Apoteksdatalagen

Apoteksdatalagen reglerar som tidigare nämnts personuppgifts- behandlingen hos öppenvårdsapoteken. Av 6 § följer bland annat att sådan behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig behandlingen. I andra stycket samma paragraf anges att behandling av person-

461

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

uppgifter som inte är tillåten enligt lagen ändå får utföras om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.

I 8 § finns en uppräkning över tillåtna ändamål för öppenvårds- apotekens personuppgiftsbehandling. Det kan konstateras att behandling av personuppgifter för att kommunicera (lämna ut) förändringar i recept som begärs av förskrivare i hälso- och sjukvården inte återfinns i ändamålsbestämmelsen. Det framgår dock av bestämmelsen att apoteken får behandla sådana uppgifter. I själva verket innebär den hänvisning som finns i 8 § punkten 2 apoteksdatalagen att det föreligger en skyldighet för apoteket att behandla personuppgifterna och lämna ut dem till eHälsomyndig- heten. Detta följer av 2 kap. 6 § punkten 5 lagen (2009:366) om handel med läkemedel, som ålägger apoteken att vid expediering av en förskrivning lämna de uppgifter som anges i 8 § recept- registerlagen till eHälsomyndigheten.

Att det ändamål för personuppgiftsbehandlingen som här är aktuellt, dvs. utlämnande till vårdgivare i hälso- och sjukvården, inte uttrycks i lagens ändamålsbestämmelse behöver dock inte innebär att den är otillåten att genomföra. Av 9 § apoteksdatalagen följer nämligen, genom en hänvisning till personuppgiftslagen, en möjlighet att behandla personuppgifter för andra ändamål än de som räknas upp i ändamålsbestämmelsen så länge som det nya ändamålet inte är oförenligt med det ursprungliga. Detta är ett uttryck för personuppgiftslagens finalitetsprincip och innebär enligt utredningens bedömning att det får anses vara tillåtet att behandla personuppgifter för att, till vårdgivare i hälso- och sjuk- vården, lämna ut uppgifter om sådana förändringar som vidtagits på begäran av ordinatören. Det saknas enligt utredningens bedömning skäl att inte tillåta en sådan personuppgiftsbehandling i dessa fall när själva behandlingen görs på initiativ av ordinatören själv. Ett utlämnande av uppgifterna bedöms därmed inte som oförenligt med det ändamål för vilka uppgifterna samlades in.

Av 11 § apoteksdatalagen följer sedan att en personuppgift som får lämnas ut, får lämnas ut på medium för automatiserad behand- ling. Förutsättningarna för att personuppgiften ska få lämnas ut är dels att det måste vara en tillåten personuppgiftsbehandling, dels att utlämnandet inte får hindras av bestämmelser om tystnadsplikt. Att det är en tillåten personuppgiftsbehandling har redan konstaterats. Inte heller kan reglerna om tystnadsplikt anses förhindra ett sådant utlämnande som det här är fråga om. Detta eftersom utlämnandet inte görs till någon som inte redan äger kännedom om uppgifterna.

462

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

Det är i själva verket endast fråga om ett utlämnande som bekräftar den begäran som förskrivaren framfört till farmaceuten på apoteket.

Utöver detta krävs att utlämnandet görs på ett sådant sätt att de grundläggande kraven på it-säkerhetsåtgärder är uppfyllda. Vilka dessa krav är i praktiken, beror på hur informationsöverföringen arrangeras. Om uppgifterna överförs över öppet nät, t.ex. Internet eller Sjunet, måste uppgifterna vara krypterade och mottagarna vara identifierade genom stark autentisering, exempelvis SITHS-kort.

Det finns sannolikt ett antal olika tillvägagångssätt för att arrangera den aktuella informationsöverföringen på ett sådant sätt att informationen säkert och ändamålsenligt kan komplettera patientjournalen. I sammanhanget är det dock viktigt att poängtera att informationsöverföringen inte innebär att farmaceuten på apoteken för patientjournal. Att apoteksaktörerna med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter som sedan kan komplettera en patientjournal i hälso- och sjukvården innebär inte att apoteksaktörerna för patientjournal eller att de har någon ovillkorlig möjlighet att bidra med uppgifter till en patient- journal. Det innebär endast att vårdgivaren i sina rutiner för att inhämta den information som behövs för en god och säker vård tillhandahåller definierade möjligheter för apoteksaktörerna att bidra med viktig information. Det formella ansvaret för journal- anteckningar och att journal förs ligger därmed alltid på vård- givaren och den yrkesutövare som svarar för anteckningen. Detta kan jämföras med andra situationer där vårdgivare inhämtar upp- gifter från olika källor för att uppgifterna behövs i vården av patienter. Ett sådant exempel är sådana uppgifter som patienterna själva bidrar med t.ex. genom att fylla i elektroniska formulär som sedan bidrar till patientjournalens innehåll. Ur ett journalförings- perspektiv är det ingen egentlig skillnad mellan t.ex. en uppgift som förut inkom på papper och tillfogades journalen och en uppgift som lämnas in elektroniskt och tas om hand elektroniskt i jour- nalen.

Vad gäller det informationsutbyte som här är aktuellt är det upp till de berörda parterna att hitta närmare former för informations- överföringen som tillgodoser såväl kraven på säkerhet för person- uppgifterna som kraven på journalföring m.m.

463

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Förändringar som görs på patientens begäran

När det gäller sådana förändringar som görs på begäran av patienten själv kan det möjligen finnas skäl att anlägga ett annat synsätt än vad som redovisats ovan. Det finns ett antal principiella skillnader mellan en ändring som görs på begäran av förskrivaren och en ändring som görs på begäran av patienten. I det senare fallet har det nödvändigtvis inte förekommit någon kontakt eller dialog om saken mellan patient och förskrivare. Det kan därmed vara något som patienten själv råder över och har fattat beslut om. Andra skillnader har att göra med de ändringar som patienten faktisk kan begära och hur de korresponderar med journalföringen.

Den första ändringen patienten kan begära innebär att apoteks- aktörerna kan elektroniskt registrera ett pappersrecept. Detta är egentligen ingen ny ordination ur ordinatörens synvinkel, bl.a. eftersom det endast bekräftar vad som ordinerats. Dessutom ska denna ordination redan vara införd i patientjournalen i enlighet med de krav som gäller för journalföring. Motsvarande resonemang kan även föras med den tredje ändringen som patienten kan begära och som redovisats ovan, dvs. att omvandla ett elektroniskt recept till ett pappersrecept så att det inte sparas elektroniskt. För ordinatörens del har ordinationen inte förändrats utan överens- stämmer med vad som ska vara dokumenterat i patientjournalen.

Till skillnad mot ovanstående kan emellertid patientens begäran om att ett recept ska makuleras vara sådan information som ordinatören inte har och som kan vara viktig att känna till. Visser- ligen kan en åtkomst till läkemedelsförteckningen ge ordinatören svar på om läkemedlet hämtats ut eller inte. I läkemedels- förteckningen framgår emellertid inte om receptet makulerats och därmed inte längre är möjligt att lägga till grund för ett uthämtande.

Någon skyldighet för patienter eller för apoteksaktörerna att underrätta ordinatören om att ett recept har makulerats finns inte i dag. Vidare får bedömas att ett utlämnande av en sådan uppgift, utan patientens samtycke, kan anses strida mot bestämmelserna om tystnadsplikt. Mycket talar för att ett sådant utlämnande skulle bedömas som obehörigt röjande av en uppgift som omfattas av apotekspersonalens tystnadsplikt. Såvitt utredningen kan bedöma skulle ett sådant utlämnande av uppgifter från apoteket till vård- givaren där förskrivaren är verksam således kräva patientens sam- tycke. Ett sådant samtycke bör då omfatta såväl frågan om

464

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

utlämnandet som frågan om den personuppgiftsbehandling som utlämnandet innebär.

15.7.5Uttag av läkemedel som görs utomlands ska registreras i Läkemedelsförteckningen

Vårt förslag: Lagen om läkemedelsförteckning ska tydliggöras på sådant sätt att köp av läkemedel som förskrivits i Sverige ska registreras i förteckningen även om köpet har ägt rum utom- lands.

Vår bedömning: Förslaget syftar till att tydliggöra att lagstift- ningen är anpassad till de nya möjligheterna patienter har att hämta ut recept på apotek i andra länder. För att läke- medelsförteckningen ska vara ändamålsenlig i förhållande till sitt syfte behöver alla köp av läkemedel som förskrivits i Sverige finnas med i registret.

Det är i dag möjligt att hämta ut läkemedel som förskrivits i Sverige i vissa andra länder i Europa. Vi har bland annat i avsnitt 34 uppmärksammat det gemensamma utvecklingsarbete som bedrivits på EU-nivå och nationellt inom ramen för Epsos. När det gäller de närmare förutsättningarna för att hämta ut receptförskrivna läke- medel i andra länder hänvisas därför till det nämnda avsnittet.

Den nya utvecklingen medför att läkemedel som tidigare både förskrivits och hämtats ut i Sverige, i viss utsträckning i framtiden kommer att hämtas ut i andra länder. Syftet med läkemedels- förteckningen är att registrera samtliga köp av förskrivna läkemedel så att informationen bland annat kan användas av svenska för- skrivare för att åstadkomma en säker framtida förskrivning av läkemedel för patienten och för att fatta beslut om patientens vård och behandling samt för att vid behov komplettera patientens patientjournal. För att läkemedelsförteckningen ska kunna leva upp till sitt syfte är det nödvändigt att alla köp av förskrivna läkemedel registreras i förteckningen. Det är i det sammanhanget oväsentligt om patienten hämtat ut läkemedlet på ett apotek i Sverige eller på ett apotek i ett annat land.

465

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

I propositionen till lagen om läkemedelsförteckning anförde regeringen bland annat följande med avseende på vikten av ett heltäckande register.40

Ett register, som för vissa patienter endast redovisar ett urval av de förskrivna läkemedel som hämtats ut, skulle av naturliga skäl inte fullt gå att lita på. Syftet med förteckningen skulle då vara förfelat och nuvarande problem med informationsbrist skulle kvarstå.

Regeringens bedömning gör sig enligt utredningen gällande även på den här aktuella frågan om registrering i läkemedelsförteckningen av läkemedel som förskrivits i Sverige men hämtats ut utomlands. Utredningens bedömning är att det ur flera perspektiv är olyckligt om läkemedelsförteckningen inte innehåller uppgifter om samtliga uthämtade läkemedel, oavsett var de hämtas ut. Förutom att informationskällan inte längre skulle bli fullständig och inte på samma sätt kunna ligga till grund för kvalificerade bedömningar om patientens vård och läkemedelsbehandling, skulle det ur ett övergripande perspektiv missgynna patienter som väljer att hämta ut läkemedel under vistelse i andra länder. Med ökad patient- rörlighet över nationsgränserna och ökat samarbete mellan hälso- och sjukvårdsaktörer i olika länder kan problemet dessutom befaras bli större. Vidare skulle det även kunna ge upphov till missförstånd i kommunikationen mellan exempelvis en förskrivare och patienten. Detta eftersom det i läkemedelsförteckningen skulle se ut som om patienten inte har hämtat ut läkemedlet över huvud taget.

Enligt utredningens bedömning framgår det inte av lagen om läkemedelsförteckning att det enbart är läkemedel som köps i Sverige som ska registreras. Men vi bedömer ändå att det kan finnas ett behov av att förtydliga att alla köp av läkemedel ska registreras oavsett var köpet genomförs.

Vi föreslår därför att lagen om läkemedelsförteckning förtydligas på ett sådant sätt att det framgår att köp av läkemedel som förskrivits i Sverige ska registreras i läkemedelsförteckningen även om köpet ägt rum i ett annat land.

Såvitt utredningen kan bedöma finns inget hinder i gällande rätt mot att registrera de aktuella uppgifterna i receptregistret, varför en ändring i den lagstiftningen inte behövs. Det innebär exempelvis att expedierande personal på apotek kommer att kunna se att ett en expediering har skett utomlands. Med vårt förslag harmoniseras

40 Prop. 2004/05:70 s. 20 f.

466

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

förutsättningarna för personuppgiftbehandling i receptregistret och läkemedelsförteckningen i denna del.

15.7.6Bevarande och gallring av uppgifter

Vår bedömning: Nuvarande bestämmelser om bevarande och gallring av uppgifter enligt, receptregisterlagen, lagen om läke- medelsförteckning och gällande patientdatalag bör kvarstå oför- ändrade respektive föras över till hälso- och sjukvårdsdatalagen.

Regeringen framhåller i direktivet till utredningen att om det ska vara möjligt att få en så samlad och aktuell bild av en enskilds läkemedelsordinationer som möjligt, behöver även bestämmelser i relevant lagstiftning om lagring och gallring av uppgifter i journaler och register harmoniseras så att inte kraven på gallring skiljer sig åt för uppgifter som bör hanteras samlat.

Inledningsvis kan konstateras att det i dag gäller olika krav på bevarande och gallring av uppgifter enligt patientdatalagen, recept- registerlagen och lagen om läkemedelsförteckning. För hälso- och sjukvårdens del gäller enligt patientdatalagen som huvudregel ett krav att bevara journalhandlingar i tio år efter det att den sista uppgiften fördes in i handlingen. Detta innebär exempelvis att uppgifter om ordinerade läkemedel som förts in i patientjournalen, t.ex. i läkemedelslistan, ska bevaras i minst tio år. För journal- handlingar som utgör allmänna handlingar gäller även arkivlagen (1990:782) samt sådana bestämmelser som meddelats med stöd av den lagen.

För uppgifter om dosrecept i receptregistret gäller enlig 19 § receptregisterlagen att uppgifter som kan hänföras till enskilda personer ska tas bort ur registret under den femtonde månaden efter den under vilken de registrerades.

Av 9 § lagen om läkemedelsförteckning följer att uppgifterna ska tas bort ur förteckningen under den femtonde månaden efter den månad uppgifterna registrerades.

Utredningen kan konstatera att bestämmelserna om bevarande och gallring i de olika regelverken syftar till att möta olika behov. Medan uppgifter i patientjournaler generellt behöver bevaras en längre tid för att kunna användas t.ex. i vården av patienter har motsvarande uppgifter inte bedömts behöva sparas lika länge för de

467

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

behov som primärt ska tillgodoses i receptregistret och läkemedels- förteckningen. Sett mot den bakgrunden ser utredningen inget generellt behov av exempelvis att förlänga bevarandetiden i receptregistret eller läkemedelsförteckningen. Något behov för apoteksmarknadens aktörer att ha tillgång till uppgifter i recept- registret och läkemedelsförteckningen under en längre tid än vad som är tillåtet i dag, har vi inte kunnat styrka. Inte heller bedömer vi att uppgifterna i de två registren ska bevaras under en längre tid för ändamål som hänför sig till behov inom hälso- och sjukvården.

Hälso- och sjukvårdens behov av information om patienters läkemedelsbehandling är primärt avsett att tillgodoses genom journalföringen och de möjligheter till utbyte av vårddokumenta- tion som finns inom och mellan vårdgivares verksamheter. Det torde därför snarare handla om att utveckla ändamålsenliga funktioner för informationsinhämtning från receptregistret och läkemedels- förteckningen och för den åtföljande kompletteringen av patient- journalen. I sådant fall kommer de uppgifter som behövs i och för vården av patienter att finnas i vårddokumentationen och vara tillgänglig för behörig personal i hälso- och sjukvården.

Vi bedömer inte heller att nuvarande gallringsbestämmelser utgör ett hinder mot att skapa en nationell, samlad bild av patientens läkemedelsbehandling.

15.7.7Farmaceuters tillgång till läkemedelsförteckningen

Vårt förslag: Farmaceuter som arbetar i hälso- och sjukvården ska med den enskildes uttryckliga samtycke kunna få åtkomst till den enskildes uppgifter i läkemedelsförteckningen. Upp- gifterna ska få användas för att åstadkomma en säker framtida förskrivning av läkemedel för den enskilde, komplettera den enskildes patientjournal eller underlätta den enskildes läke- medelsanvändning.

Inledning

Läkemedelsförteckningen innehåller som tidigare redovisats upp- gifter om samtliga läkemedel som patienter under den senaste 15- månadersperioden har hämtat ut på apotek. Registret hanteras av eHälsomyndigheten, som även är personuppgiftsansvarig för registret.

468

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

I förteckningen samlas viss information om en individs uthämtade läkemedel, oavsett vem som har förskrivit läkemedlet. Den information som får finnas i registret är inköpsdag, vara, mängd, dosering, patientens namn och personnummer samt för- skrivarens namn, yrke, specialitet och arbetsplats. Registreringen i registret är tvingande på så sätt att patienten inte kan motsätta sig registreringen. Däremot har patienten viss rätt att påverka vem som ska få tillgång till patientens uppgifter.

Syftet med läkemedelsförteckningen är framför allt att öka patienternas trygghet och stärka kvaliteten och säkerheten på läkemedelsområdet. En korrekt och komplett bild över patientens läkemedelsanvändning är en förutsättning för att behörig hälso- och sjukvårdspersonal ska kunna bedöma patientens tillstånd, behandlingseffekter, risker, interaktioner och biverkningar.

Läkemedelsförteckningen får endast användas för att

1.åstadkomma en säker framtida förskrivning av läkemedel för den registrerade,

2.bereda den registrerade vård och behandling,

3.komplettera den registrerades patientjournal,

4.underlätta den kontroll som ska genomföras innan ett läkemedel lämnas ut till den registrerade från apotek, samt

5.underlätta den registrerades läkemedelsanvändning.

Åtkomsten till uppgifterna i läkemedelsförteckningen är i dag begränsade till patienten själv och med dennes samtycke till för- skrivare, sjuksköterskor utan förskrivningsrätt och farmaceuter på apotek. Dessa olika yrkeskategorier får med patientens samtycke använda uppgifter i läkemedelsförteckningen för några begränsade och skilda ändamål.

Förskrivare av läkemedel får använda uppgifter för att åstad- komma en säker framtida förskrivning av läkemedel för patienten, bereda patienten vård och behandling samt för att komplettera patientjournalen.

Om det är nödvändigt för att patienten ska kunna få den vård eller behandling som patienten oundgängligen behöver får legitimerad sjuksköterska utan behörighet att förskriva läkemedel använda uppgifterna för att bereda patienten vård och behandling och för att komplettera patientjournalen.

469

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Farmaceut på apotek får, vid färdigställande av läkemedel som ska lämnas ut, använda uppgifterna för att underlätta den kontroll som ska göras innan ett läkemedel lämnas ut till patienten

Dessa tre olika yrkeskategorier får med stöd av patientens samtycke ta del av uppgifter i läkemedelsförteckningen för de angivna ändamålen antingen genom direktåtkomst eller genom att uppgifterna lämnas ut på medium för automatiserad behandling.

Farmaceuter i vårdgivares verksamhet

Farmaceut är en yrkestitel och för att få arbeta som farmaceut krävs att den enskilde är apotekare eller receptarie och har legitimation för yrket. Av ovanstående kan konstateras att farma- ceuter på apotek, men inte farmaceuter som arbetar hos vårdgivare i hälso- och sjukvården, får med patientens samtycke ha tillgång till uppgifterna i läkemedelsförteckningen.

Farmaceuter som arbetar i vårdgivares verksamheter får med dagens regelverk över huvud taget inte ta del av uppgifterna i läkemedelsförteckningen, vare sig på medium för automatiserad behandling eller med direktåtkomst och alldeles oavsett patientens inställning i saken.

Det medför bland annat att farmaceuter hos vårdgivare i samband med exempelvis läkemedelsgenomgångar inte på ett effektivt och ändamålsenligt sätt kan ta del av uppgifter om vilka läkemedel patienten hämtat ut. I utredningsdirektivet nämner regeringen följande av betydelse i sammanhanget.41

Behörig personal inom hälso- och sjukvården och socialtjänsten behöver ha tillgång till personuppgifter om den enskilde och information om de insatser (förskrivning av läkemedel, behandlingar etc.) som den enskilde fått tidigare. Utan sådan tillgång till uppgifter ökar risken för bl.a. felaktiga beslutsunderlag, felbehandlingar eller allvarliga interaktioner mellan läkemedel och andra insatser. Konkret innebär det exempelvis att förskrivare behöver ha en så samlad bild som möjligt av en individs läkemedelsordinationer, från såväl förskriv- ning på recept som på rekvisition från öppen och sluten vård. Sjuksköterskor i kommunal hälso- och sjukvård behöver veta vilka ordinationer den patient som varit på sjukhuset har fått. Farmaceutisk personal i hälso- och sjukvården eller på apotek behöver ha tillgång till informationen som finns i läkemedelsförteckningen. Utöver de negativa konsekvenserna för den enskilde kan brister i möjligheter att samverka

41 Dir. 2011:11 s. 6.

470

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

och samarbeta genom att utbyta uppgifter utgöra ett hot mot vården och stödet på en övergripande nivå.

Även Sveriges Kommuner och Landsting (SKL) och Center för E- hälsa i samverkan (CeHis) har uppmärksammat behovet för farma- ceutisk personal hos vårdgivare att ha tillgång till uppgifter i läkemedelsförteckningen.

Ökat antal farmaceuter i vården

Antalet farmaceuter som arbetar i vårdgivares organisationer har ökat de senaste åren. Inte minst genom att landstingen anställt fler och fler farmaceuter har antalet som arbetar i vårdgivares hälso- och sjukvårdsverksamhet ökat till omkring 250–300 stycken i dag. Tidigare köptes kompetensen i större utsträckning in från Apoteket AB, men det blir enligt vad utredningen har fått veta, mindre och mindre vanligt. En vanlig arbetsuppgift för en farmaceut i vårdgivares verksamheter är att medverka i individuella patienters läkemedelsgenomgångar. En sådan genomgång innebär att man utifrån den enskildes behov granskar och undersöker de läkemedel som en patient har ordinerats. Genomgångarna bör följa en enhetlig struktur, om möjligt ske tillsammans med patienten och vid behov också vårdpersonalen. Syftet är att efter en noggrann analys bedöma om något läkemedel ska bytas ut, tas bort helt eller kompletteras. Det kan handla om att utifrån den totala läkemedels- användningen och sjukdomshistorien identifiera ev. interaktioner, över- och/eller underförskrivning m.m.

Syftet med läkemedelsgenomgångar är framför allt att åstad- komma en bättre läkemedelsanvändning och minska antalet läke- medelsrelaterade problem.

Av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2000:1) om läkemedelshantering i hälso- och sjukvården följer att en läkare ska ansvara för läkemedelsgenomgången och vid behov samverka med andra läkare, apotekare, sjuksköterskor och annan hälso- och sjukvårdspersonal, om det inte finns hinder för det enligt bestämmelserna om sekretess och tystnadsplikt. Vidare framgår av de allmänna råden till 3 a kap. 5 § att vid en kartläggning kan uppgifter behöva hämtas in från den egna vårdgivarens och andra vårdgivares journalhandlingar samt från läkemedelsförteck- ningen, om det inte finns rättsliga hinder för det.

471

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

Av 3 a kap. 3 § följer att vårdgivare ska erbjuda de patienter som är 75 år eller äldre och som är ordinerade minst fem läkemedel en enkel läkemedelsgenomgång vid

1.besök hos läkare i öppen vård,

2.inskrivning i sluten vård,

3.påbörjad hemsjukvård, och

4.inflyttning i särskilt boende.

Patienter som är 75 år eller äldre och som är ordinerade minst fem läkemedel ska dessutom erbjudas en enkel läkemedelsgenomgång minst en gång per år under pågående hemsjukvård eller boende i särskilt boende.

Närmare om vårt förslag

Läkemedelsförteckningen ger en komplett och kvalitetssäkrad information över de läkemedel patienten har hämtat ut på apotek under den senaste 15-månadersperioden. Förteckningen är därmed en väldigt viktig informationskälla i strävan efter att åstadkomma en bättre läkemedelsanvändning och minska enskilda individers läkemedelsrelaterade problem. Av integritetsskäl är användningen av uppgifter i läkemedelsförteckningen begränsad till ett fåtal ända- mål och det är endast ett fåtal yrkeskategorier som får ha tillgång till uppgifterna. Det är dessutom patienten, som genom sitt sam- tycke, bestämmer vem som ska få ta del av uppgifter om patientens uthämtade läkemedel.

Inom vårdgivares organisationer kan vi till skillnad mot tidigare i dag se ett ökat antal farmaceuter som på olika sätt deltar och medverkar i den individinriktade verksamheten. Det kan sägas ha medfört att det uppstått ett behov av tillgång till uppgifter i läke- medelsförteckningen för en inom vårdens verksamhet ny yrkes- kategori. Det bör därför övervägas om lagstiftningen bättre ska anpassas efter hur verksamheten är organiserad genom att fler yrkeskategorier i vårdteamet får tillgång till läkemedelsförteck- ningen.

Kliniska farmaceuter som arbetar i hälso- och sjukvården och där ges i uppdrag att med sin kompetens medverka till en säker och mer ändamålsenlig läkemedelsanvändning bör enligt utredningens

472

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

uppfattning ges reella möjligheter att utföra sitt arbete. En farmaceut som arbetar hos en vårdgivare får ta del av den information om patienterna som farmaceuten behöver för att kunna utföra sitt arbete. Det innebär exempelvis att farmaceuten har möjlighet att ta del av journaluppgifter, t.ex. uppgifter om ordinerade läkemedel, för det fall det behövs med hänsyn till det arbete farmaceuten är satt att utföra. Precis som för övriga yrkeskategorier i hälso- och sjukvården är det behovet av uppgifter för att kunna utföra sitt arbete som är avgörande. En farmaceut som deltar i arbetet med att ta ställning till eller utvärdera en patients läkemedelsanvändning kan då genom patientjournalen ta del av uppgifter om vilka läkemedel som ordinerats för patienten. Sett mot den bakgrunden kan det tyckas omotiverat att inte farmaceuten i detta uppdrag även kan ta del av uppgifter om vilka av de ordinerade läkemedlen som patienten hämtat ut på apotek.

Av dessa skäl bedömer utredningen att farmaceuter som arbetar hos en vårdgivare kan ha ett berättigat behov av tillgång till uppgifter i läkemedelsförteckningen. En självklar förutsättning är givetvis, precis som för övriga yrkeskategorier, att patienten samtycker till det.

En annan fråga är dock för vilka ändamål en farmaceut som arbetar hos en vårdgivare ska få använda uppgifter i Läkemedels- förteckningen. Eftersom farmaceuter i vårdgivares verksamheter framför allt medverkar vid olika former av läkemedelsgenomgångar och på andra sätt arbetar med att öka kvaliteten och säkerheten i läkemedelsanvändningen bedömer utredningen att de tillåtna ändamålen ska anpassas efter de behov som dessa arbetsuppgifter medför. Det bör därför vara tillåtet för farmaceuter hos vårdgivare att, med patientens samtycke, använda uppgifter i läkemedels- förteckningen för ändamålen att åstadkomma en säker framtida förskrivning, komplettera patientjournalen samt underlätta patientens läkemedelsanvändning.

Risken för intrång i enskilda patienters personliga integritet ökar i viss mån när ytterligare en yrkeskategori inom vården får möjlighet att ta del av uppgifter i läkemedelsförteckningen. För- slaget syftar emellertid att leda till en ökad kvalitet och säkerhet i hälso- och sjukvården i allmänhet och i läkemedelsanvändningen i synnerhet. Det i kombination med att patienten själv genom att lämna samtycke eller avstå från att lämna samtycke styr tillgången till läkemedelsförteckningen bedöms dock väga upp den ökade risken för integritetsintrång. Dessutom föreslås inte farmaceuter

473

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

SOU 2014:23

omfattas av den möjlighet som förskrivare och sjuksköterskor utan förskrivningsrätt i dag har att i nödsituationer där patienten inte kan samtycka ta del av läkemedelsförteckningen. Tillgången är därmed begränsad till sådana situationer när patienten kan lämna sitt samtycke.

15.7.8Övriga rekommendationer för utvecklingen mot en samlad läkemedelslista m.m.

Vår bedömning: Våra förslag syftar till att öka kvaliteten och säkerheten för patienter som är i behov av läkemedelsbehand- ling. Flera förslag innebär att nya möjligheter för en ändamålsenlig och sammanhållen hantering av uppgifter om ordinerade läkemedel tillhandahålls. Samtidigt kan det finnas behov av ytterligare åtgärder på en rad andra områden för att möjlig- heterna ska kunna tillvaratas och målsättningen nås.

Lagstiftaren kan genom utformningen av regelverket ställa krav, tillhandahålla möjligheter och på andra sätt stimulera en önskad utveckling. Läkemedelsprocessen är ett sådant område där lagstift- ningen inte på ett samlat sätt ger uttryck för patientens intresse av att den som står i begrepp att fatta beslut om vård och behandling har tillgång till bästa möjliga beslutsunderlag. Vi lämnar ett antal förslag i detta betänkande som i allt väsentligt syftar till att förändra denna bild, harmonisera regelverken och öka förutsätt- ningarna för ökad kvalitet och säkerhet för patienter som är i behov av läkemedelsbehandling. Samtidigt inser vi att det sannolikt krävs kraftfulla och medvetna åtgärder på en rad andra områden för att de nya möjligheterna ska kunna tillvaratas och bidra till att målsättningen nås. För att kunna ta tillvara intentionerna bakom lagstiftningen kommer det att krävas stora resurser och en gemensam vilja att arbeta tillsammans över organisatoriska och professionella gränser.

En grundläggande förutsättning för en samlad, nationell läke- medelslista där informationen i de olika källorna är samstämmig, är att samtliga som ordinerar läkemedel arbetar mot samma informa- tionskälla. Så länge den samlade läkemedelslistan inte kompletteras med uppgifter från samtliga som ordinerar läkemedel kommer det att finnas inbyggda osäkerheter om vilken som är den korrekta och

474

SOU 2014:23

Rätt information om läkemedel – på väg mot en samlad läkemedelslista

aktuella bilden av patientens läkemedelsbehandling. Utredningen inser att det kan ta tid att genomföra detta. Men det är inte desto mindre är viktigt att ta ett nationellt ansvar för att driva utveck- lingen mot en gemensam målsättning. Av naturliga skäl är vissa saker även svårare än andra att genomföra, exempelvis kan möjligheterna att arbeta mot samma informationskälla bedömas vara större när det gäller öppenvårdsordinationer än när det gäller slutenvårdsordinationer.

En central fråga är även hur ett gemensamt nationellt åtagande mot en samlad läkemedelslista ska utformas och drivas. I detta ryms såväl finansiella frågor som frågor om det ska bygga på frivillig basis eller om det ska vara tvingande att arbeta mot en nationell källa. De finansiella frågorna är inte minst avgörande i relation till alla mindre privata vårdgivare som är etablerade i landet.

Vi har i det föregående redovisat kort hur Danmark har byggt upp sitt system med en samlad, nationell läkemedelslista. I Danmark har alla förskrivare, vare sig de arbetar i offentlig eller privat verksamhet, en skyldighet att uppdatera informationen i den nationella listan. Vidare har samtliga hälso- och sjukvårdsregioner integrerat den nationella listan mot sina journalsystem.

Utredningen bedömer att dessa frågor har starka berörings- punkter med det uppdrag E-hälsokommittén har enligt sitt utred- ningsdirektiv.42 Det kan i det arbetet bland annat finnas skäl att göra närmare överväganden kring följande.

Tydligare nationell styrning vad gäller infrastrukturfrågor m.m. för att säkra informationshanteringen i läkemedelsprocessen

Om pappersrecept ska få användas eller om det endast ska vara möjligt med elektronisk förskrivning.

Hur en inomprofessionell diskussion om ansvaret för en samlad läkemedelslista ytterligare kan stimuleras.

Ett tydligare gemensamt åtagande som gör det möjligt för alla patienter, oavsett var i landet de bor, att själva kunna ta del av sin samlade läkemedelslista.

42 S 2013:17, dir. 2013:125.

475

16Förbättrad tillgång till varningsinformation

16.1Bakgrund

För patientens liv och hälsa är det särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten exempelvis har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger över- känsligheten. Sådan information som hälso- och sjukvårds- personalen behöver uppmärksammas på kallas ofta för varnings- information. Det kan exempelvis vara information om att patienten är överkänslig för läkemedel, födoämnen, djur, växter eller kemi- kalier. Vidare kan det handla om att patienten lider av ett, särskilt allvarligt tillstånd, exempelvis att patienten är blödningsbenägen eller svårintuberad vid narkos. Det kan även vara fråga om att patienten står under en pågående allvarlig behandling med exempelvis blod- förtunnande eller immunsupprimerande (immunförsvarsnedsättande) läkemedel. Det är sådan information som, om den inte är känd för hälso- och sjukvårdspersonalen, kan leda till livshotande eller mycket farliga situationer för patienten.

I Socialstyrelsens termbank definieras varningsinformation som ”uppmärksamhetsinformation som gäller överkänsligheter, tillstånd och behandlingar som, om de inte är kända för vård- och omsorgs- personalen, medför allvarligt hot mot vård- eller omsorgstagarens liv eller hälsa”.

Avsaknad av uppgifter om varningsinformation kan i värsta fall leda till att en patient blir allvarligt felbehandlad eller dör.

Från varningsinformation ska därför skiljas sådan uppmärksam- hetsinformation som i och för sig är relevant för hälso- och sjuk- vårdspersonalen att känna till för att patienten ska få en god och säker vård, men som inte medför allvarligt hot mot vård- eller om- sorgstagarens liv eller hälsa. Sådan information kallas ofta för

477

Förbättrad tillgång till varningsinformation

SOU 2014:23

observandum. Det kan handla om sådant som att patienten har en smittsam sjukdom. Men det kan även vara information om hur patienten önskar att hälso- och sjukvården ska agera, t.ex. ifall pati- enten accepterar behandling med blodprodukter. Allvarlighets- graden av att sådan information inte är känd är generellt inte lika hög som när det gäller varningsinformation. Utredningens över- väganden och förslag omfattar således inte sådan information som inte är att betrakta som varningsinformation enligt definitionen i Socialstyrelsens termbank.

16.1.1Informationshanteringen

För att patienten ska få en god och säker vård är det nödvändigt att varningsinformation kommer till hälso- och sjukvårdspersonalens kännedom i rätt tid och på rätt plats. Det är därför viktigt att vård- givare ser till att sådan information dokumenteras och hanteras på ett sätt som tillgodoser patientens behov. Det kan bland annat innebära att vårdgivare behöver utforma journalsystemens använ- dargränssnitt på ett sådant sätt att det tydligt framgår att det finns varningsinformation rörande en patient och vad denna information består av.

Av 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården följer dessutom att rutinerna för dokumentation av patientuppgifter ska säkerställa att patientjournalen innehåller en markering som ger en varning om att en patient har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa. Vidare ska markeringen göras på ett sådant sätt att den är lätt att uppmärksamma.

Samtidigt innehåller föreskrifterna krav på hur uppgifter i t.ex. ett journalsystem presenteras och göras tillgängliga för hälso- och sjukvårdspersonalen. Det finns bland annat föreskrifter med krav på s.k. aktiva val, som i praktiken innebär att en användare i ut- gångsläget inte ska kunna se om det finns information om patien- ten hos en annan vårdenhet i vårdgivarens verksamhet. Dessa krav gäller oavsett vilka uppgifter det handlar om och omfattar således även uppgifter om intoleranser eller överkänsligheter som innebär en allvarlig risk för patientens liv eller hälsa.

I äldre föreskrifter från Socialstyrelsen (SOSFS 1982:8) angavs exempelvis att överkänslighet mot läkemedel m.m. som är så allvar-

478

SOU 2014:23

Förbättrad tillgång till varningsinformation

lig att den hotar liv eller hälsa ska märkas särskilt i patientjournalen. Märkningen skulle enligt föreskriften ske i rött med ordet ”VARNING”. På den tiden när patientjournalföringen var manuell gjordes därför märkningen med ordet ”VARNING” i rött i regel både på patientjournalens omslag samt på handlingar inne i journalmappen.

Genom patientdatalagen (2008:355), förkortad PDL, har pati- enten en rätt att spärra uppgifter från elektronisk åtkomst inom en vårdgivares verksamhet och från direktåtkomst mellan vårdgivare (sammanhållen journalföring). Patientens spärrmöjligheter gäller således oberoende av vilka uppgifter det är fråga om och var de har dokumenterats. Det innebär att patienten med stöd av nuvarande regelverk ges en möjlighet att spärra varningsinformation om exempelvis överkänsligheter från att vara elektronisk åtkomliga för andra vårdenheter än den som har dokumenterat uppgiften hos vårdgivaren. Patienten kan även motsätta sig att uppgifter om varningsinformation görs tillgängliga för andra vårdgivare i system för sammanhållen journalföring.

I samband med arbetet som föregick patientdatalagen framhöll en stor mängd remissinstanser att s.k. varningsinformation, t.ex. uppgifter om överkänsligheter, ska framgå av journalen och inte bör kunna spärras av patienten.1 Bakgrunden till detta var framför allt de patientsäkerhetsrisker som gör sig gällande för patienter som exempelvis har en överkänslighet som kan medföra allvarligt hot mot patientens hälsa om de inte är kända för hälso- och sjuk- vårdspersonalen.

16.1.2Vårt uppdrag m.m.

I utredningens övergripande uppdrag ingår bland annat att identifi- era utmaningar och hinder för en mer ändamålsenlig informations- hantering inom hälso- och sjukvården.

En ändamålsenlig informationshantering handlar bland annat om att behörig hälso- och sjukvårdspersonal har tillgång till den information om patienter som behövs för en god och säker vård. När det gäller varningsinformation kan tillgången till sådan information med fog hävdas vara alldeles nödvändig för patientens liv och fortsatta hälsa. I samband med att utredningen gjort en bred översyn av behoven av en ändamålsenlig informationshantering och

1 Prop. 2007/08:126 s. 109.

479

Förbättrad tillgång till varningsinformation

SOU 2014:23

av regelverket i patientdatalagen har därför frågan om patientens möjlighet att spärra varningsinformation hamnat i ljuset. Utred- ningen har under arbetets gång vid flera tillfällen blivit uppmärk- sammad på de risker som en spärr av sådan information kan med- föra samt om de hinder för utvecklingen av en gemensam standard för att dokumentera och visualisera varningsinformation som nuva- rande regelverk ställer upp. I detta avseende har utredningen även blivit uppmärksammade på de konsekvenser som Socialstyrelsens föreskrifter (SOSFS 2008:14) kan ha på frågan om en ändamåls- enlig hantering av varningsinformation.

16.2Våra överväganden och förslag

16.2.1Varningsinformation bör undantas från patientens spärrmöjligheter

Vårt förslag: Patienten ska inte kunna motsätta sig att uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa, görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vård- givare. Patienten kan därmed inte motsätta sig att sådana upp- gifter görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvarsområde. Bestäm- melser om detta ska tas in i hälso- och sjukvårdsdatalagen.

Vår bedömning: Förslaget syftar till att förbättra kvaliteten och patientsäkerheten i hälso- och sjukvården. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas tekniskt åt- komliga så att det är möjligt att ta del av dem när det behövs för patientens vård.

Kännedom om varningsinformation är nödvändig för patientens säkerhet

För en patient som exempelvis är så överkänslig mot vissa läke- medel att en felaktig läkemedelsordination kan leda till bestående allvarliga men eller till patientens död, är hälso- och sjukvårds-

480

SOU 2014:23

Förbättrad tillgång till varningsinformation

personalens tillgång till sådan information helt nödvändig. Det handlar inte endast om att uppgifterna behöver vara tillgängliga för hälso- och sjukvårdspersonalen, utan även om att uppgifterna ska vara lättillgängliga och lätta att uppmärksamma. Med hänsyn till behovet av säkerhet för den enskilde patienten ska det helst inte gå att missa att ta del av uppgifterna för den hälso- och sjukvårds- personal som står i begrepp att ta ställning till patientens vård och behandling.

Utmaningar och hinder för en ändamålsenlig hantering av varningsinformation

När patientjournaler fördes manuellt på papper tillgodosågs behovet genom att ordet ”VARNING” markerades i rött på patient- journalens omslag och i journalhandlingar inne i journalmappen. I dag har vårdgivarna ett krav på sig att, i enlighet med 3 kap. 6 § SOSFS 2008:14, säkerställa att patientjournalen innehåller en markering som ger en varning om att en patient har visat intolerans eller har en överkänslighet som innebär en allvarlig risk för patientens liv eller hälsa. Markeringen ska enligt föreskriften göras på ett sådant sätt att den är lätt att uppmärksamma. Det ska därmed, såvitt utredningen kan bedöma, inte vara fråga om en markering som hälso- och sjukvårdspersonalen ska behöva leta efter. Markeringen bör med andra ord vara så tydlig att den så långt möjligt inte går att undvika för den som deltar i patientens vård och behandling. Socialstyrelsen anger i handboken till föreskrifterna att uppgiften ska vara lätt tillgänglig för alla som behöver uppgifterna.

Samtidigt kan utredningen konstatera att det i Socialstyrelsens föreskrifter finns krav som i praktiken styr hur information får presenteras för vårdgivarens personal. Som vi har redovisat i kapitlet om arbetet för en gemensam läkemedelslista gäller olika förut- sättningar för personalens åtkomst till uppgifter inom en vård- givares verksamhet och mellan vårdgivare. För åtkomst till upp- gifter inom en vårdgivares verksamhet gäller enligt 2 kap. 7 § SOSFS 2008:14 att information om vilka vårdenheter som har upp- gifter om en viss patient inte får göras tillgänglig utan att den behörige användaren gör ett aktivt val, dvs. gör ett ställnings- tagande till, om han eller hon har rätt att ta del av dessa uppgifter. Patientuppgifterna hos dessa vårdenheter får sedan inte göras till- gängliga utan att den behörige användaren gör ytterligare ett aktivt

481

Förbättrad tillgång till varningsinformation

SOU 2014:23

val. Om patientuppgifterna har spärrats av en annan vårdenhet hos vårdgivaren, får uppgifterna endast göras tillgängliga efter att användaren gjort ett aktivt val efter att ha inhämtat patientens samtycke eller om förutsättningarna för nödåtkomst enligt 4 kap. 5 § PDL är uppfyllda.

Av Socialstyrelsens handbok förtydligas föreskrifternas krav på ett sådant sätt att yrkesutövaren vid inloggning i journalsystemet ska kunna se i systemet att det finns patientuppgifter hos en annan vårdenhet, men inte vilken vårdenhet det är eller vilka uppgifter det handlar om. Efter att ha gjort ett aktivt val kan yrkesutövaren sedan se vilka vårdenheter som har uppgifter om patienten, men inte vilka uppgifter det handlar om. Efter ytterligare ett aktivt val kan yrkesutövaren dock ta del av de aktuella uppgifterna hos de andra vårdenheterna. Om uppgifterna är spärrade gäller dock att yrkesutövaren antingen måste ha patientens samtycke eller att det är fråga om en sådan nödsituation som beskrivs i patientdatalagen, för att få ta del av uppgifterna.

I praktiken innebär föreskrifterna, enligt vår bedömning, att personalen vid inloggning i journalsystemet i utgångsläget inte ens får se att det finns varningsinformation om patienten eller vilken vårdenhet som har dokumenterat uppgifterna.

Motsvarande situation uppstår i stort sett även vad gäller åtkomst till uppgifter hos andra vårdgivare. Där innebär föreskrif- terna, enligt tillämpningsanvisningarna i Socialstyrelsens handbok, att yrkesutövaren vid inloggning i ett system för sammanhållen journalföring kan se att en annan vårdgivare har uppgifter om patienten, men inte vilken vårdgivare eller vilka uppgifter det rör. Om patienten har samtyckt till åtkomst till uppgifter hos andra vårdgivare och övriga förutsättningar i 6 kap. 3 § PDL är uppfyllda, kan yrkesutövaren sedan genom ett aktivt val se vilka vårdgivare som har uppgifter om patienten. Därefter förutsätts yrkesutövaren, med ledning av uppgiften om vilka vårdgivare som har uppgifter om patienten, ta ställning till hos vilka vårdgivare det finns upp- gifter som behövs för att vårda patienten. Efter det kan yrkesut- övaren ta del av de aktuella uppgifterna.

Om patienten motsatt sig medverkan i sammanhållen journal- föring, dvs. spärrat uppgifterna, är uppgifterna om varnings- information inte ens tekniskt åtkomliga för yrkesutövare hos andra vårdgivare. Det enda som syns i systemet för sammanhållen journal- föring är att det finns spärrade uppgifter om patienten och hos vilken vårdgivare uppgifterna finns. En spärr vid sammanhållen

482

SOU 2014:23

Förbättrad tillgång till varningsinformation

journalföring är således absolut i den meningen att uppgifterna inte finns potentiellt tillgängliga. För att kunna se vilken vårdgivare som har de spärrade uppgifterna krävs antingen att patienten har sam- tyckt till det eller att det är fråga om en sådan nödsituation där det föreligger fara för patientens liv eller allvarlig risk för patientens hälsa. När yrkesutövaren under de förutsättningarna fått reda på vilken eller vilka vårdgivare som har spärrade uppgifter om patienten, får yrkesutövaren sedan vända sig till dessa och begära att upp- gifterna lämnas ut. Yrkesutövaren kan alltså inte själv forcera en spärr och ta del av uppgifterna om patienten, t.ex. varnings- information.

Varningsinformation bör undantas från spärrmöjligheterna

Mot bakgrund av vad som redovisats ovan ställer sig utredningen frågande till hur det är avsett att en vårdgivare ska kunna säkerställa att en markering om varningsinformation är lättillgänglig och lätt att uppmärksamma, samtidigt som en sådan uppgift inte får vara tillgänglig för användarna om inte föreskrifterna i SOSFS 2008:14 om s.k. aktiva val följs. Det framstår som om dessa två olika krav inte är helt självklara att förena för dem som har ett ansvar för att tillämpa föreskrifterna.

Enligt utredningens bedömning leder utformningen av 2 kap. 7 § åtminstone inte till att uppgifterna är lätt tillgängliga för alla som behöver dem. Detta eftersom föreskrifterna i praktiken inne- bär att uppgifter ska sorteras och presenteras med hänsyn till organisatoriska faktorer i stället för utifrån patientens behov av att informationen är lätt tillgänglig och lätt att uppmärksamma för alla.

Sådan varningsinformation som det här är fråga om är, enligt utredningens bedömning, närmast att betrakta som så generell och grundläggande som uppgifter om patientens personnummer och namn. Det vill säga som sådana uppgifter som normalt är till- gängliga på samma sätt för alla som deltar i vården och behand- lingen av patienten. Utredningen anser att patienter och deras närstående har ett alldeles särskilt behov av att all personal som deltar i patientens vård har tillgång till uppgifter om varnings- informationen. Detta eftersom en ovetskap om dessa förhållanden kan ge upphov till stor skada och stort lidande.

Utredningen anser att det kan ifrågasättas om det över huvud taget är lämpligt att ge patienter möjlighet att spärra varnings-

483

Förbättrad tillgång till varningsinformation

SOU 2014:23

information från åtkomst inom och mellan vårdgivares verksam- heter. Inte minst mot bakgrund av att det sedan lång tid tillbaka funnits krav på att sådan information ska vara lätt tillgänglig och synlig för hälso- och sjukvårdspersonalen. Samtidigt som det ur ett grundläggande integritetsperspektiv självklart alltid kan finnas skäl att låta den enskilde själv bestämma i frågor om behandling av personuppgifter, kan det finnas skäl att diskutera om inte lag- stiftaren har skäl att ställa krav på hälso- och sjukvårdens aktörer att säkerställa att varningsinformation alltid är tillgängliga för den personal, på den plats och vid den tidpunkt uppgifterna behövs för att patienten ska få en god och säker vård. Det kan ur ett principiellt perspektiv behöva övervägas om ett sådant integritets- skydd som lagstiftaren ställer upp genom att ge patienter en ovillkorlig rätt att spärra vilka uppgifter som helst, blir missriktat och riskerar att motverka de krav på kvalitet och säkerhet som ställs på hälso- och sjukvården.

Även om utredningen inte har kunnat göra en fullödig genom- gång av Lex Maria-ärenden m.m., har vi kunnat konstatera att patienter har dött eller lidit allvarlig skada för att sådana uppgifter som är att betrakta som varningsinformation inte har funnits till- gängliga eller varit tillräckligt lätta att uppmärksamma. Vi har exempelvis tagit del av exempel som tyder på att patienter har avlidit på grund av överkänslighet mot läkemedel och där upp- gifterna inte varit tillräckligt iögonfallande i journalsystemet.

Det primära intresset är därför, enligt vår mening, att se till att alla patienter med intoleranser eller överkänsligheter m.m. kan vara trygga i förvissningen om att uppgifterna kommer till hälso- och sjukvårdspersonalens kännedom. Vårdgivare har ett ansvar för att arbeta aktivt med frågan om hur varningsinformation ska hanteras. Med hänsyn till att det är en så viktig informationsmängd för patientens liv och hälsa bör hanteringen av varningsinformation vara likartad över hela landet. Med ett, så långt möjligt, gemensamt tillvägagångssätt för att dokumentera och visualisera varnings- information ökar hälso- och sjukvårdspersonalens möjlighet att uppmärksamma informationen och agera i enlighet med den, vilket i sin tur ökar tryggheten och säkerheten för patienten.

I sammanhanget kan nämnas att det har bedrivits utvecklings- projekt för att nå en nationell enighet om hur varningsinformation bör hanteras. Projektet Varningsinformation som drevs av då- varande Sjukvårdsrådgivningen föreslog exempelvis en symbol för uppmärksamhetsinformation som bygger på ett gemensamt sätt för

484

SOU 2014:23

Förbättrad tillgång till varningsinformation

informationshantering och som skulle kunna implementeras i journalsystemen.2 Symbolen som föreslogs i projektet finns i dag i den Nationella Patientöversikten (NPÖ) och syftar till att i syste- met för sammanhållen journalföring tydligt visualisera ifall det finns sådana uppgifter om patienten som innebär en allvarlig risk för patientens liv eller hälsa. Det är enligt utredningens bedömning viktigt att det utvecklingsarbetet kan fortsätta och att vårdgivare vidtar de övriga åtgärder som krävs för att verksamhetens hantering av varningsinformation görs på ett ändamålsenligt sätt. Det kan bland annat finnas behov av rutiner och närmare riktlinjer för en strukturerad dokumentation av sådana uppgifter som ska slå igenom i varningssymbolen och för hur sådana uppgifter närmare får hanteras, t.ex. i fråga om vilka yrkesutövare som i enskilda fall avgör vad som utgör varningsinformation.

Utredningens utgångspunkt är att patienternas behov av skydd för den personliga integriteten ska värnas i hälso- och sjukvården. Det är en av grundpelarna både för att upprätthålla förtroendet för hälso- och sjukvårdens informationshantering och för att bidra till en hög patientsäkerhet. Redan av de grundläggande bestäm- melserna i hälso- och sjukvårdslagstiftningen följer att verksam- heten ska bygga på respekt för patientens självbestämmande och integritet. Lagstiftaren har även ett särskilt ansvar för att se till att nya möjligheter att hålla information tillgänglig eller nya möjlig- heter att utbyta information görs på ett sådant sätt att det inte uppstår otillbörliga integritetsintrång. Samtidigt kan inte inte- gritetsskyddet vara absolut, utan det behöver balanseras även mot andra värden och intressen.

När det gäller spärrmöjligheter har regeringen exempelvis gjort bedömningen att skydd för ett barns hälsa väger högre än skyddet för barnets integritet. Vårdnadshavare förhindras därmed genom regler i patientdatalagen från att spärra uppgifter om sina barn. Förbudet innebär att vårdnadshavare inte får spärra några uppgifter över huvud taget om sina barn. Det gäller både inom en vårdgivares verksamhet och mellan vårdgivare i system för sammanhållen journal- föring. Möjligheterna att upptäcka de barn som far illa kan därmed sägas ha värderats högre än övriga barns behov av skydd för den personliga integriteten.

När det gäller den här aktuella frågan om varningsinformation har utredningen ovan redovisat dels hur viktig informationen är för

2 Sjukvårdsrådgivningen, Varningsinformation, slutrapport (2008).

485

Förbättrad tillgång till varningsinformation

SOU 2014:23

patientens liv och hälsa, dels vilka utmaningar som finns för vård- givare som ska tillämpa patientdatalagen och Socialstyrelsens före- skrifter. Sammantaget bedömer utredningen att det finns över- vägande skäl som talar för att varningsinformation ska undantas från patientens spärrmöjligheter. Även om det kan antas att patien- ter som har en sådan intolerans eller överkänslighet som det här är fråga om, sällan väljer att spärra sådan information kan det hävdas att en enda allvarlig konsekvens av en sådan spärr skulle räcka för att motivera ett borttagande av spärrmöjligheterna i denna del. Enligt utredningens bedömning saknas det skäl att vänta på att något sådant ska inträffa för att lagstiftaren ska göra en värdering och ta ställning till saken. Det kan heller inte uteslutas att en av anledningarna till att det hittills inte verkar ha uppstått några utbredda patientsäkerhetsrisker på grund av spärrad varnings- information är att vårdgivare inte fullt ut har implementerat spärr- möjligheter för sådana informationsmängder. I Datainspektionens tillsyn på området och vid utredningens kontakter med företrädare för hälso- och sjukvården har framkommit uppgifter som tyder på det.

Hälso- och sjukvården står nu, genom införandet av NPÖ, inför en möjlighet att säkerställa att varningsinformation dokumenteras på ett sätt som gör att informationen följer patienten över organi- satoriska gränser och på ett sätt som tillsammans med andra vårdgivares information om patienten kan skapa en mer komplett och säker bild av enskilda patienters varningsinformation. Det ligger i patientens intresse av säkerhet att hälso- och sjukvårds- personalen har en aktuell och komplett bild av sådant som annars allvarligt kan hota patientens liv eller hälsa. För att hälso- och sjukvårdspersonalen ska kunna lita på att varningsinformationen är aktuell och komplett, oavsett om det visualiseras genom en symbol eller framgår på annat sätt, krävs enligt vår bedömning att alla uppgifter som behövs får vara tillgängliga när det behövs. Varnings- information som är ofullständig eller felaktig har ringa värde och tillgodoser inte behovet av patientsäkerhet. Sådan information bör därför inte omfattas av de nuvarande spärrmöjligheterna i patient- datalagen.

Vidare anser utredningen att den möjlighet som finns att häva spärr vid sammanhållen journalföring inte är särskilt relevant för den aktuella frågan. Eftersom en spärr vid sammanhållen journal- föring innebär att de spärrade uppgifterna inte ens är tekniskt

486

SOU 2014:23

Förbättrad tillgång till varningsinformation

åtkomliga, finns ingen möjlighet för den vårdgivare som behöver uppgifterna att själva forcera spärren.

Därutöver är reglerna uppbyggda på ett sådant sätt att de enda uppgifter som får finnas är att det finns spärrade uppgifter och vilken vårdgivare som har spärrat dem. För en yrkesutövare ger det tämligen liten vägledning att se att en patient har spärrade uppgifter hos Västra Götalandsregionen, Landstinget i Värmland, Praktiker- tjänst eller Capio etc. Förutom att det är i det närmaste omöjligt att endast med ledning av de uppgifterna bedöma om det finns sådan varningsinformation hos någon av dessa vårdgivare, har yrkesutövaren i praktiken även svårt att veta var han eller hon ska vända sig med begäran om att få uppgifterna utlämnade, dvs. att spärren hävs. En uppgift om att det finns spärrade uppgifter hos vårdgivaren Praktikertjänst eller Capio innebär rent faktiskt att uppgifterna kan ha spärrats i en verksamhet i stort sett var som helst i landet. Att spärrade uppgifter finns hos en vårdgivare som utgör ett landsting innebär på motsvarande sätt att uppgiften kan finnas var som helst inom en landstingsdriven verksamhet. Hur en yrkesutövare i praktiken ska kunna komma i kontakt just med den person hos dessa vårdgivare som ansvarar för uppgiften och har att pröva frågan om utlämnande är inte helt enkelt att föreställa sig. I relation till en patient som har sådan intolerans eller överkänslighet som i sig innebär en allvarlig risk för patientens liv eller hälsa är det för hälso- och sjukvårdspersonalen även bråttom att få vetskap om dessa förhållanden.

Utredningens förslag innebär att patienter som exempelvis har en sådan intolerans eller överkänslighet som innebär ett allvarligt hot mot det egna livet eller hälsan, inte fullt ut själv kan bestämma i frågor om hur sådana uppgifter ska utbytas och vara tillgängliga för hälso- och sjukvårdspersonalen. Jämfört med vad som gäller i dag innebär förslaget således ett visst integritetsintrång. Samtidigt kan det med fog antas att patienter i dag i ringa utsträckning motsätter sig att sådan information ska vara tillgänglig för behörig hälso- och sjukvårdspersonal när det behövs för att patienten ska få en god och säker vård. Utredningens sammantagna bedömning är att de patientsäkerhetsskäl som talar för vårt förslag väger tyngre än den inskränkning av patientens självbestämmande och integritet som förslaget innebär.

Sammanfattningsvis föreslår utredningen att patienten inte ska kunna motsätta sig att uppgifter som ger en varning om att patien- ten har visat intolerans eller har en överkänslighet som innebär en

487

Förbättrad tillgång till varningsinformation

SOU 2014:23

allvarlig risk för patientens liv eller hälsa, görs tillgängliga genom elektronisk åtkomst inom en vårdgivares verksamhet eller genom direktåtkomst mellan vårdgivare. Patienten kan därmed inte mot- sätta sig att sådana uppgifter görs tillgängliga genom sammanhållen journalföring eller mellan vårdgivare inom en huvudmans ansvars- område.

Utredningens förslag syftar till att förbättra kvaliteten och patientsäkerheten i hälso- och sjukvården. Däremot innebär för- slaget ingen förändrad eller ökad rätt för hälso- och sjukvårds- personal att ta del av de aktuella uppgifterna. Förslaget innebär endast att uppgifterna får finnas tekniskt åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård.

16.2.2Nationella insatser för en strukturerad, entydig och enhetlig varningsinformation

Vår bedömning: Regeringen, eller den eller de myndigheter eller organisationer som regeringen ger uppdrag åt, bör vidta åtgärder för att åstadkomma en strukturerad, entydig och en- hetlig dokumentation och presentation av varningsinformation.

I utredningens uppdrag ingår att identifiera nödvändiga förut- sättningar för en ändamålsenlig informationshantering samt vilka hinder (juridiska, tekniska etc.) som finns för en sådan informa- tionshantering. Utredningen ska vid behov föreslå lagstiftning eller andra åtgärder som medger att behörig personal får tillgång till nödvändiga uppgifter. Därutöver är utredningen oförhindrad att ta upp frågor som inte nämns i direktiven, men som utredningen anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredsställande sett.

Sammantaget innebär detta, enligt utredningens uppfattning, att det kan finnas skäl att förutom lagstiftningsåtgärder föreslå eller rekommendera andra åtgärder för att komma till rätta med de hinder för en ändamålsenlig informationshantering som finns i dag.

I det föregående har utredningen redogjort för ett förslag som syftar till att öka patientsäkerheten och förbättra kvaliteten i hälso- och sjukvården. Det handlar konkret om att se till att patienter som har visat en intolerans eller har en överkänslighet som medför allvarlig fara för patientens liv eller hälsa inte, vid sina kontakter

488

SOU 2014:23

Förbättrad tillgång till varningsinformation

med hälso- och sjukvården, ska utsättas för de ämnen m.m. som orsakar överkänsligheten eller intoleransen. För att se till att sådan information alltid är tillgänglig när den behövs för behörig hälso- och sjukvårdspersonal ska en patient inte kunna spärra sådan information från åtkomst inom och mellan vårdgivares verk- samheter.

För att utredningens förslag i praktiken ska få den avsedda effekten krävs emellertid, enligt vår bedömning, insatser och åtgärder på en rad andra områden. Utredningen har bland annat kunnat ta del av hur hälso- och sjukvården i Norge driver ett utvecklingsprojekt för att säkerställa att en strukturerad, entydig och enhetlig varningsinformation finns tillgänglig och kan presen- teras på ett entydigt sätt för hälso- och sjukvårdspersonal i olika delar av det norska hälso- och sjukvårdssystemet. Enligt vår bedömning finns det anledning för vårdgivare och myndigheter i Sverige att, i likhet med Norge, vidta gemensamma åtgärder för att se till att varningsinformation dokumenteras på ett strukturerat, entydigt och enhetligt sätt även i Sverige. Det är en grundförut- sättning för att sådan information ska kunna presenteras och visualiseras på ett sätt som garanterar patientsäkerheten. Vidare ger det förutsättningar att säkerställa att patientens behov av integritets- skydd tillgodoses.

Vi anser att ett sådant nationellt arbete för en strukturerad, entydig och enhetlig hantering av varningsinformation inte är beroende av utredningens förslag om förändrad lagstiftning. I själva verket finns det redan i dag ett behov av ett sådant arbete. Det bör därför, enligt vår bedömning, kunna initieras inom en snar framtid. Inte minst mot bakgrund av att varningsinformation och en symbol för varningsinformation ingår i den Nationella Patient- översikten finns, enligt vår mening, skäl att vidta gemensamma insatser och åtgärder redan nu.

Utredningen har inte haft möjlighet till närmare överväganden kring vilka konkreta åtgärder som skulle behöva komma till stånd för att stimulera en sådan utveckling. Samtidigt ser vi, förutom behov av teknisk implementering m.m., ett ökat behov av kunskaps- styrning och möjligen även normering på detta område. Det kan exempelvis finnas skäl för Socialstyrelsen att överväga om en tydlig normering med efterföljande aktiv förvaltning avseende krav på strukturerat innehåll och presentation för varningsinformation kan vara en lämplig väg att gå.

489

Förbättrad tillgång till varningsinformation

SOU 2014:23

För en gemensam implementering och fortsatt utveckling över landet kan möjligen inspiration hämtas från statens, huvudmännens och Sveriges Kommuner och Landstings arbete med kunskaps- styrning. Landsting och regioner har exempelvis vid SKL till- sammans etablerat Nationella programrådet för diabetes, som arbetar för en mer jämlik och kunskapsbaserad diabetesvård. Utredningen har kunnat konstatera att en motsvarande utveckling är på gång bl.a. inom ramen för strokevården och när det gäller regeringens Nationella strategi för att förebygga och behandla kroniska sjukdomar finns exempel på samma typ av samarbets- strukturer mellan myndigheter och sjukvårdshuvudmännen.

Utredningen har inte möjlighet att rekommendera eller peka ut den bästa vägen framåt, men bedömer att det i dagsläget finns ett antal förebilder där olika organisationer samverkar för att försöka åstadkomma nationell samsyn och gemensamt införande för en jämlik vård av hög kvalitet. För att öka säkerheten för patienterna ser vi ett motsvarande behov av gemensamt arbete vad gäller hante- ring av varningsinformation. Vi bedömer därför att regeringen, eller den eller de myndigheter eller organisationer som regeringen ger uppdrag till, bör vidta åtgärder för att åstadkomma en struk- turerad, entydig och enhetlig dokumentation och presentation av varningsinformation.

490

17Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

17.1Bakgrund

Verksamhet inom hälso- och sjukvården ska enligt grundläggande bestämmelser i hälso- och sjukvårdslagen (1982:763), förkortad HSL, vara av god kvalitet. Med det avses bl.a. att vården ska erbjudas av personal med rätt kompetens och ges med säker utrustning i enlighet med vetenskap och beprövad erfarenhet.1 Vidare följer av 31 § HSL att kvaliteten i hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. I för- arbetena till bestämmelsen anför regeringen att vårdgivare ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet och säkerhet.2 Det gäller t.ex. system som synliggör förekomsten av risktillbud eller s.k. avvikande händelser (onormala vårdtider, infektioner, komplikationer, reoperationer, återinlägg- ningar etc.) eller som mäter servicegrad, patienttillfredsställelse osv.

Vidare anförs att det är viktigt att vårdgivarna skapar förutsättningar och stimulerar medarbetare till insatser i arbetet med kvalitetssäkring och kvalitetsutveckling. Resultatet av det arbetet är, enligt regeringen, en viktig del av att vidareutveckla vården, höja kvaliteten och stärka patientens ställning och ska fortlöpande återföras till dem som deltar i vård- och behand- lingsarbetet.

Även genom föreskrifter från Socialstyrelsen förtydligas vård- givares ansvar för att systematiskt och fortlöpande utveckla och

1Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 27.

2Prop. 1995/96:176 s. 53 f.

491

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.

Kvalitetsutveckling och förbättringsarbete i hälso- och sjuk- vården bedrivs på olika nivåer, på olika sätt och i ett antal olika steg. Vidare aktualiseras kunskap och kompetens inom en rad olika områden som exempelvis ledarskap, utvärderingmetoder, förbätt- ringskunskap, hälsoekonomi och evidensbaserade arbetssätt. Som utgångspunkt för att kunna organisera och bedriva verksamheten på ett sådant sätt att det leder till bättre resultat för patienterna är det även ofta nödvändigt att identifiera och kartlägga patienternas processer.

För att följa upp och säkra kvaliteten i verksamheten samt skapa bättre resultat för patienterna finns därför ett behov av att låta dokumenterade uppgifter om enskilda och om genomförandet av insatser samt resultaten av dessa m.m. ligga till grund för ett ständigt förbättringsarbete. Personuppgiftsbehandlingen utförs i olika skeden av det systematiska kvalitetsarbetet och ger underlag för att exempelvis kunna mäta resultatet av åtgärder och insatser, identifiera förbättringsområden, kartlägga processer och följa upp effekter av olika tillvägagångssätt. Dagens hälso- och sjukvård med patientrörlighet, valfrihet och mångfald av aktörer ställer även delvis nya krav på kvalitetssäkringen. De vårdinsatser som tidigare ofta genomfördes inom en och samma vårdgivares verksamhet utförs i dag snarare genom samverkan mellan flera, såväl landstings- som kommunalt finansierade, vårdgivare. Även informations- hanteringen för att utveckla kvaliteten i hälso- och sjukvården behöver därför i större utsträckning än tidigare ta sin utgångspunkt i och följa patientens process och dennes möten med kommunala, landstingsdrivna och privata aktörer under ett visst vårdåtagande eller vårdprocess.

492

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

Vårt uppdrag

Personuppgiftsbehandling för att säkra och utveckla verksamhetens kvalitet kan göras på olika nivåer i hälso- och sjukvården. På lokal nivå, inom en vårdgivarens verksamhet, används ofta person- uppgifter för vårdgivarens kvalitetsarbete. Vid sidan av detta finns även ett stort antal nationella och regionala kvalitetsregister som, förutom att de används i det lokala kvalitetsarbetet, bland annat möjliggör jämförelser mellan vårdgivare i olika delar av landet.

Frågan om hälso- och sjukvårdspersonalens möjlighet att ta del av personuppgifter som finns i den egna vårdgivarens verksamhet i syfte att följa upp och säkra kvaliteten i genomförda insatser, har under en längre tid varit förknippad med viss osäkerhet. Utred- ningen har bland annat kunnat följa en allmän debatt där det ifrågasatts om det är lagligt för t.ex. en läkare att följa upp sina bedömningar och åtgärder kring enskilda patienter. Det är viktigt att analysera om det nuvarande regelverket förhindrar ett sådant kvalitetsarbete eller om det i stället finns behov av åtgärder för att tydliggöra vad som är möjligt att göra. Utredningen uppmärk- sammade denna fråga genom en promemoria i den delredovisning som överlämnades till regeringen den 31 december 2013 och som återfinns som bilaga till detta slutbetänkande. Vissa delar av detta återges även i det följande.

Vidare har det under utredningens arbete lyfts fram behovet av att se över vissa förutsättningar för personuppgiftsbehandlingen i nationella kvalitetsregister. En fråga som särskilt har aktualiserats är om de i dag begränsade möjligheterna till direktåtkomst till uppgifter om patienter bör förändras för att i större utsträckning göra det möjligt att säkra kvaliteten i vårdprocesser som går över vårdgivargränser. Vidare finns en osäkerhet i frågor som rör hopslagning eller utvidgning av nationella kvalitetsregister samt i frågor som rör förändringar av ansvaret för central behandling av personuppgifter i nationella kvalitetsregister.

Även i utredningens grunduppdrag om att analysera vilka hinder som i dag finns för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården har frågor om nationella kvalitetsregister en naturlig plats. I utredningsdirektivet anför regeringen även att personal och beslutsfattare bör få använda uppgifter i olika slags stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig till enskilda och att relevant

493

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

lagstiftning främjar en effektiv och ständigt pågående förbättrings- process inom hälso- och sjukvården.3

I det följande kommer möjligheterna att behandla person- uppgifter för att säkra och utveckla kvaliteten i hälso- och sjuk- vården att belysas. Det omfattar både hur uppgifter som finns dokumenterade i vårdgivarens verksamhet får användas i ett systematiskt kvalitetsarbete och hur uppgifter får användas i ett nationellt eller regionalt kvalitetsregister.

17.2Nationella kvalitetsregister

För att säkra och utveckla kvaliteten i hälso- och sjukvården och därigenom bidra till bättre resultat för patienterna används i dag omkring 100 nationella kvalitetsregister. I ett nationellt eller regionalt kvalitetsregister samlas personuppgifter från kommunal hälso- och sjukvård, sjukhus, vårdcentraler m.fl. för att möjliggöra kvalitetssäkring och jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I dag används kvalitetsregistren både för systematisk uppföljning och jämförelse på nationell nivå, men även på ett mer lokalt plan där registrerande enheter med allt tätare intervall följer sina resultat och lägger dem till grund för ett verksamhetsnära förbättringsarbete. Det gör bl.a. att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan.

Med ett kvalitetsregister avses, enligt 7 kap. 1 § patientdatalagen (2008:355), förkortad PDL, en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister i vilket person- uppgifter samlas in från flera olika vårdgivare. När det fortsätt- ningsvis i detta betänkande talas om nationella kvalitetsregister avses även regionala kvalitetsregister som förs i enlighet med 7 kap. patientdatalagen.

Innan en vårdgivare registrerar uppgifter i ett nationellt kvalitetsregister krävs att den enskilde har fått viss information om kvalitetsregistret och en möjlighet att motsätta sig registreringen. Det krävs alltså inget samtycke, men den enskilde har en möjlighet

3 Dir. 2011:111.

494

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

att säga nej. Den rättsliga konstruktionen motsvarar därför vad som tidigare redovisats för vårdgivares möjlighet att göra vård- dokumentation tillgänglig i system för sammanhållen journal- föring.

17.2.1Exempel på användning av nationella kvalitetsregister

Nationella kvalitetsregister har kommit att bli en av flera nöd- vändiga förutsättningar för att utveckla hälso- och sjukvården. Ett framgångsrikt utvecklingsarbete förutsätter dock insamling och bearbetning av de uppgifter om enskilda, om åtgärder, om diagnoser, om använda produkter m.m. som behövs. Mycket av förbättringsarbetet i kvalitetsregister görs i dag på lokal nivå, genom tät återkoppling av verksamhetens resultat. Precis som regeringen anförde i ovan nämnda proposition går utvecklingen mot att verksamhetens inrapporterade uppgifter och resultat återförs mer kontinuerligt än tidigare och nu i större grad kan ligga till grund för en lokal och verksamhetsnära förbättring av resultatet för de enskilda patienterna.

Detta har bland annat kommit att medföra att patienter som i dag deltar i kvalitetsregister i större utsträckning än tidigare själva är med och drar nytta av sin egen medverkan i registret. I sådana register där individen följs upp och uppgifter registreras kontinuer- ligt och över längre tid finns tydliga exempel på nyttan, inte endast för framtida patienter utan även för patienten själv. Som några exempel på sådana register kan nämnas register över kroniska sjukdomar som t.ex. reumatisk sjukdom och diabetes, men även register som Senior Alert och BPSD som riktar sig till individer över en viss ålder eller med en viss beteendemässig störning.

I sammanhanget kan även nämnas registret InfCare HIV som sedan det infördes för cirka 10 år sedan anses ha varit en stark bidragande faktor till att HIV-patienter som är under behandling i dag i stor utsträckning kan känna sig friska och leva ett normallångt liv med i princip obefintlig risk att smitta andra. Förbättrings- arbetet genom InfCare HIV har i olika sammanhang lyfts upp som ett exempel på när insamlandet av uppgifter blir en förutsättning för att kunna skapa bättre resultat och högre livskvalitet för en hel patientgrupp.

Att nationella kvalitetsregister har en central plats i hälso- och sjukvårdens förbättringsarbete lyfts även fram av regeringen i en

495

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

skrivelse som nyligen överlämnades till riksdagen.4 De nationella kvalitetsregistren utgör enligt regeringen en stor tillgång för hälso- och sjukvården genom att de har bidragit till de goda resultat för patienter som Sverige kan uppvisa i internationella jämförelser. Kvalitetsregistren har utvecklats primärt för att stödja det kliniska förbättringsarbetet, men är också en av huvudkällorna till Öppna jämförelser.

Vidare anför regeringen bland annat följande i den ovan nämnda skrivelsen.

Kvalitetsregistret Swedeheart samlar kontinuerligt in information från patienter i Sverige som vårdas på en hjärtinfarktsavdelning eller genomgår kranskärlsingrepp eller hjärtoperation. Genom registret informeras vårdgivare kontinuerligt och det görs jämförelser mellan sjukhus om vilka behandlingar som ges och vilket utfall de ger i termer av dödlighet, återinsjuknande och hur patienterna mår efter behandlingen. En studie som publicerades i den medicinska tids- skriften The Lancet i januari 2014 visar att dödligheten 30 dagar efter hjärtinfarkt är nästan 30 procent lägre i Sverige än i Storbritannien. Det betyder att mer än 10 000 liv skulle ha kunnat räddas i Storbritannien om dessa patienter hade fått samma sjukvård som i Sverige. Swedeheart har i sina årliga rapporter kunnat visa hur kvaliteten och följsamheten till riktlinjer ökat dramatiskt under de senaste 10–15 åren genom att vården registrerats kontinuerligt, jämförts öppet och publicerats offentligt. Faktum är att dödligheten efter hjärtinfarkt i Sverige mer än halverats under en tioårsperiod.

Svenska höftprotesregistret registrerar utbyte av höftleder. Enligt registrets användarundersökningar används registret aktivt och upplevs som användbart av i stort sett samtliga verksamheter i landet. Genom att omoperationer registreras möjliggörs analyser av komplika- tioner i det kontinuerliga förändringsarbetet. Sverige har den lägsta rapporterade omoperationsfrekvensen av höftproteser i världen.

Svensk reumatologis kvalitetsregister uppvisar kontinuerligt förbättrad hälsa för patienter med reumatologi. Registret har demonstrerat vinsterna för patienten med en allt bättre hälsa genom de nya biologiska läkemedlen, och med att andelen som får biologiska läkemedel ökar. Registret bidrar också till att antalet patienter som får rätt behandling vid första besöket successivt har ökat. I registret identifieras också vilka patienter som har en aktiv sjukdom och vilka som har en lugn och inaktiv sjukdom. På så vis kan vården anpassas efter vilken typ av besök patienten har behov av och med vilken

4 Regeringens skrivelse 20103/14:204, Riksrevisionens rapport om statens satsningar på nationella kvalitetsregister.

496

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

frekvens. Detta bidrar till att patientens besöksfrekvens optimeras och att belastningen på vården därmed minskar.

Nationella kataraktregistret är det nationella registret för operationer av grå starr. Operation av grå starr kan följas av en allvarlig men sällan förekommande inflammation. Sedan 1997, då Nationella katarakt- registret började samla patientdata för denna inflammation, fram till 2009, har det skett en kraftig minskning av antalet fall av inflammationen. Landstingsgenomsnittet för antalet fall låg 2009 på samma nivå som för den högst rankade ögonkliniken i USA. Detta skedde genom att riskfaktorer och bästa praxis kunde identifieras genom registret.

BPSD-registret hanterar beteendemässiga och psykiska symtom vid demens, dvs. förändrade beteenden som är belastande för omgivningen och psykiska symtom som är belastande för individen. Förekomst av BPSD kan ses som ett mått på livskvalitet för personen med demens- sjukdom. Syftet med registret är att kvalitetssäkra omvårdnaden av personer med demenssjukdom och att uppnå ett likvärdigt omhänder- tagande av denna patientkategori över hela landet. Genom registret har ett systematiskt arbetssätt med förbättrat bemötande vid beteende- mässiga symptom vid demens visat sig göra stor skillnad för dessa patienter. Sådana systematiska bedömningar har ökat dramatiskt mellan 2011 och 2013.

17.2.2Kort om regelverket och dess framväxt

Nationella kvalitetsregister har omfattats av ett antal olika regleringar genom åren. För register som startades före 24 oktober 1998 tillämpades t.o.m. 30 september 2001 sådana tillstånd med föreskrifter som meddelats med stöd av den då gällande datalagen. Normalt sett innebar det att det ställdes krav på att information skulle lämnas om registret och om att registreringen var frivillig. Sådana föreskrifter kan sägas ha medfört ett krav på den enskildes samtycke till registreringen av uppgifter.

För register som startades från och med den 24 oktober 1998 gällde däremot personuppgiftslagen (1998:204), förkortad PUL, vilken sedan blev tillämplig för samtliga nationella och regionala kvalitetsregister från 1 oktober 2001. Under den tid personupp- giftslagens tillämpades, dvs. åtminstone mellan oktober 2001 och juli 2009, bedömdes behandling av personuppgifter i kvalitets- register vara tillåten utan samtycke från den registrerade patienten.

497

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

Den bedömningen gjordes bl.a. av Datainspektionen, i en rapport om nationella kvalitetsregister.5

Samtidigt framförde Datainspektionen att behandlingen av personuppgifter i kvalitetsregister är så pass omfattande och rör så pass integritetskänsliga uppgifter att det finns starka skäl för att låta de nationella kvalitetsregistren omfattas av en särskild register- lagstiftning. Patientdatalagen kom sedan att bli den registerlagstift- ning som sedan 1 juli 2009 har gällt fullt ut för personuppgifts- behandling i nationella och regionala kvalitetsregister.

I direktiven till patientdatautredningen angavs att utredningen skulle utgå från att det skulle ställas krav på ett uttryckligt och informerat samtycke till behandling av personuppgifter i nationella kvalitetsregister, men samtidigt analysera konsekvenserna av att registreringen inte blir heltäckande om samtycke krävs. Utred- ningen tog i den delen hänsyn till att ett samtyckeskrav av olika skäl skulle kunna medföra ett så stort bortfall i registreringen att registrens betydelse för kvalitetssäkringsarbetet och till och med fortsatta drift skulle äventyras.

Vidare anförde utredningen bl.a. att vårdgivare enligt 31 § HSL är skyldiga att kvalitetssäkra sin verksamhet och att analyser av sammanställda personuppgifter i vårddokumentationen är en viktig metod i denna verksamhet vars samhällsnytta torde vara obestrid- lig. En hög täckningsgrad konstaterades vara helt avgörande för tillförlitligheten i registren.6.

Bland annat mot den bakgrunden avfärdade utredningen ett samtyckeskrav för registrering. Samtidigt ansåg utredningen att patienter borde ha någon form av inflytande. Med hänvisning bl.a. till grundläggande bestämmelser i hälso- och sjukvårdslagen om patientens medbestämmanderätt och med tanke på att vårdgivarens deltagande i kvalitetsregister inte är en författningsreglerad skyldighet, föreslogs i stället den nu gällande rätten för patienten att motsätta sig registreringen.

Kort om nuvarande regelverk

I det särskilda regelverket för kvalitetsregister i 7 kap. PDL finns ett antal bestämmelser som särskilt syftar till att balansera behovet av integritetsskydd mot behovet av en ändamålsenlig utveckling av

5Datainspektionens rapport 2002:1.

6SOU 2006:82 Patientdatalag, s. 454.

498

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

hälso- och sjukvårdens kvalitet. Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till med- verkan i den verksamhetsuppföljning som görs i ett kvalitets- register är den personuppgiftsansvarige skyldig att, innan uppgift- erna registreras, lämna patienten utförlig information om den hantering av personuppgifter som gäller för det aktuella kvalitets- registret.

Vidare anger de grundläggande ändamålsbestämmelserna på ett uttömmande sätt för vilka syften personuppgifter i kvalitetsregister får behandlas. Som primärt syfte anges i 7 kap. 4 § PDL att personuppgifter får behandlas för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det är vidare endast de person- uppgifter som just behövs för detta ändamål som får finnas i ett kvalitetsregister (7 kap. 8 §). Uppgifter som behövs och som behandlas för kvalitetssäkring får sedan även behandlas för statistikframställning och forskning. Det ska dock observeras att ändamålet forskning inte utgör något undantag från etikprövnings- lagen (2003:460) och dess krav på etikprövning då forskning innefattar behandling av känsliga personuppgifter.7 Det innebär i dag att all forskning som har för avsikt att ske med hjälp av upp- gifter i nationella kvalitetsregister måste underkastas etikpröv- ningsnämndens bedömning.

Av hänsyn till enskildas behov av integritetsskydd får uppgifter, enligt 7 kap. 5 § PDL, lämnas ut från kvalitetsregister endast till en mottagare som själv ska behandla uppgifterna för kvalitetssäkring, statistikframställning eller forskning. Ett sådant utlämnande måste dock som alltid föregås av en prövning om uppgifterna över huvud taget får lämnas ut med hänsyn till hälso- och sjukvårdssekretessen. Enligt sistnämnda bestämmelse får utlämnande också ske för att fullgöra eventuell uppgiftsskyldighet.

Till skillnad mot vad som i övrigt gäller för vårddokumentation m.m. får uppgifter i kvalitetsregister inte behandlas för några andra ändamål än de uppräknade. Personuppgiftslagens finalitetsprincip gäller således inte för personuppgiftsbehandling i kvalitetsregister. Regeringen bedömde i propositionen att denna modell med uttöm- mande ändamålsuppräkning och specifikt tillåtna utlämnanden

7 Prop. 2007/08:126 s. 180.

499

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

innebär ett starkt integritetsskydd för den enskilde. Utredningen delar den uppfattningen och bedömer att regelverket på ett bra sätt ger uttryck för behovet av balans mellan de olika intressen som gör sig gällande. Av det skälet är det viktigt att uppgifter i kvalitets- register inte i senare skeden får användas för andra än de upp- räknade ändamålen.

17.3Reflektioner kring möjligheterna att använda patientuppgifter i lokalt kvalitetsarbete

Frågan om det är tillåtet för en yrkesutövare inom hälso- och sjukvården att del av uppgifter för att följa upp utfallet för en patient yrkesutövaren vårdat har debatterats under de senaste åren. Röster har höjts för att lagstiftningen borde ändras och det har spridits en osäkerhet och otrygghet hos personalen om vad som egentligen gäller. Vår uppfattning är att osäkerheten till stor del bottnar i en okunskap om lagstiftningens möjligheter och i en avsaknad av aktiv rättstillämpning från vårdgivarnas sida. Vi bedömer generellt att möjligheterna att ta del av personuppgifter i vårdgivarens egen verksamhet är stora. För utbyte av information över vårdgivargränser i syfte att säkra och utveckla kvaliteten i verksamheten gäller delvis andra förutsättningar. Genom våra förslag med ökade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för kommer dock enligt vår bedömning att ge bättre förutsättningar att utveckla verksamhetens kvalitet jämfört med vad som är fallet i dag.

Som redovisats ovan fullgör vårdgivare sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verk- samheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av patientuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet.

500

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

Hälso- och sjukvårdspersonalens ansvar för kvaliteten

Enligt hälso- och sjukvårdslagstiftningen har den som tillhör hälso- och sjukvårdspersonalen ett personligt yrkesansvar och ska bland annat bidra till att hög patientsäkerhet upprätthålls. Hälso- och sjukvårdspersonalen ska utföra sitt arbete i överensstämmelse med vetenskap och beprövad erfarenhet. Patienten ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten. Patienten ska visas omtanke och respekt.

Det innebär enligt utredningen ett ständigt lärande att arbeta inom hälso- och sjukvården. Hälso- och sjukvårdspersonalen behöver kontinuerligt få återkoppling på sina egna och andras bedömningar och insatser för att bli bättre yrkesutövare och på så sätt öka säkerheten och kvaliteten i vården. För att utveckla sin kliniska förmåga kan det vara nödvändigt att följa upp hur det gick för patienten. Utan att veta vad man gör och vilket resultat det medför för patienterna är det inte möjligt att bedriva ett systematiskt kvalitetsarbete. En sådan uppföljning är också ett sätt att visa omtanke och respekt för patienten.

Ett sätt att arbeta med kvalitet är att följa upp de bedömningar och insatser som görs, för att på sådant sätt få underlag för att initiera förbättringsarbeten m.m. Att personal som deltagit i vården av en patient följer upp sina egna bedömningar och insatser är därför många gånger en naturlig utgångspunkt för ett systematiskt och fortlöpande kvalitetsarbete. Ur ett medborgarperspektiv har patienter och närstående även rätt att förutsätta att läkare, sjuk- sköterskor, sjukgymnaster, barnmorskor och tandläkare med flera vet vilka resultat de är med och skapar för sina patienter.

17.3.1Lagstiftningen ger möjligheter till kvalitetssäkring och kvalitetsutveckling

Av patientdatalagen följer bland annat att uppgifter om patienter får användas för att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten” (2 kap. 4 § punken 4 PDL). Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv inom detta område. Vi har i det föregående föreslagit att den grundläggande bestämmelsen om

501

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

tillåtna ändamål i 2 kap. 4 § PDL förs över till hälso- och sjukvårds- datalagen.

Vidare får den som arbetar hos en vårdgivare ta del av uppgifter om en patient antingen om yrkesutövaren deltar i vården av patienten eller av ”annat skäl behöver uppgifterna för sitt arbete” (4 kap. 1 § PDL). Ett exempel på ett sådant annat skäl är just att personal kan behöva ta del av uppgifter för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m. Även denna bestämmelse föreslår vi ska överföras till den föreslagna lagen, dock med vissa justeringar av språklig karaktär.

Detta innebär att det på en generell nivå är tillåtet för personal att ta del av patientuppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. I lagen anges dock inte närmare hur detta ska gå till. Patientdatalagen är i detta avseende, precis som annan lagstiftning på hälso- och sjukvårdens område, en ramlag. Tanken bakom valet av denna lagstiftningsteknik är att det är svårt för lagstiftaren att detaljreglera en sådan komplex verksamhet som hälso- och sjukvården. Därför måste lagarna fyllas ut av föreskrifter och vägledning på myndighetsnivå. Men även sådana riktlinjer är ofta inte tillräckligt verksamhetsnära för att ge bra vägledning. Lag- stiftningen måste också få ett konkret innehåll genom en aktiv tillämpning av de som ska använda lagstiftningen, det vill säga vårdgivare och hälso- och sjukvårdspersonal. Ett exempel på ett sådant område är just kvalitetssäkring och kvalitetsutveckling. Här finns ett behov av en aktiv tillämpning som resulterar i verk- samhetsnära riktlinjer för hur respektive vårdgivare vill arbeta med att säkra och utveckla kvaliteten i verksamheten.

Kvalitetsarbetet kan göras på många olika sätt och på olika nivåer, men det ställs krav på en systematik i arbetet. Att ta del av personuppgifter för kvalitetssäkring ska ha stöd i medarbetares uppdrag och vårdgivarens riktlinjer.

Behov av riktlinjer för det systematiska kvalitetsarbetet

Patientdatalagen gör det möjligt för vårdgivare att använda patient- uppgifter för att följa upp, säkra och utveckla kvaliteten i verksamheten. Det är dock inte i detalj reglerat hur det ska göras, vilken personal som ska göra det eller vilka uppgifter som behöver användas. Här förlitar sig lagstiftaren på kompetensen som finns hos hälso- och sjukvårdens aktörer. Det är där kunskapen finns om

502

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

hur man på bästa sätt mäter, följer och utvecklar kvaliteten i verk- samhetens olika delar. I vårdgivarens ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten ligger alltså även ett ansvar för att närmare avgöra hur det ska gå till, samt vilka uppgifter om vilka patienter som behöver användas och hur kunskap ska återföras till verksamheten.

Att använda patientuppgifter inom ramen för vårdgivarens systematiska kvalitetsarbete kan ske på en många olika sätt. Det kan handla såväl om att de enskilda yrkesutövarna kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process eller en viss intervention.

I den allmänna debatten hörs ibland att enskilda yrkesutövares uppföljning av enstaka patienter inte skulle vara ett sådant systematiskt kvalitetsarbete som lagstiftaren angett i hälso- och sjukvårdslagen och patientdatalagen. Utredningens uppfattning är dock att sådana åtgärder mycket väl kan utgöra en del av vårdgivarens arbete med att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Sådan kvalitetssäkring som görs när den som deltagit i vården av patienten följer upp resultatet av sina bedömningar och åtgärder blir tillsammans med övriga yrkes- utövares motsvarande uppföljningar av patienter ett omfattande och ständigt pågående kvalitetsarbete.

Genom att formulera närmare riktlinjer för hur kvalitetsarbetet ska gå till uppnås även en tydlig systematik. Systematiken handlar i detta fall bland annat om att avgöra vad som ska följas upp, när det ska göras, hur det ska göras, vem som ska göra det, vilka uppgifter som är relevanta för uppföljningen samt hur erfarenheterna ska återföras. Om exempelvis en vårdgivares akutläkare har som rutin att efter en bedömning av blindtarm följa upp detta när patienten flyttats för vidare vård och behandling på avdelning uppnås en systematik. Om respektive akutläkare även noterar de variationer som tydliggörs vid uppföljningen och vårdgivaren sedan tillhanda- håller möjligheter för gemensam återföring till verksamheten uppnås en ännu tydligare struktur för ett ständigt förbättrings- arbete för ökad kvalitet.

503

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

Riktlinjerna bör vara verksamhetsnära

Rutiner och riktlinjer för kvalitetsarbetet behöver utformas nära och tillsammans med professionsföreträdare för respektive verk- samhet. Det går säkert att ha en övergripande riktlinje på vårdgivarnivå som generellt beskriver hur man arbetar med kvalitetssäkring, men sannolikt behöver den sedan konkretiseras i respektive verksamhet. Åtminstone om vi ser framför oss en effektiv uppföljning med förutsättningar för jämförelser och bredare slut- satser.

Systematiken, det vill säga när uppföljning ska ske och vilka uppgifter som behövs, kan skilja sig åt beroende på verksamhetens karaktär, till exempel akutsjukvård, anestesi- och intensivvård jämfört med psykiatri, reumatologi och så vidare. Den kan också skilja sig åt beroende på enskilda yrkesutövares kompetens och erfarenhet. På samma sätt kan formerna för återföring av erfaren- heter och kunskap variera. Den gemensamma faktorn är dock alltid behovet av att följa upp och säkra kvaliteten.

Riktlinjerna bör enligt utredningens uppfattning inte beskriva vad personalen får göra, utan vad vårdgivaren förväntar sig att personalen ska göra. Det skapar sannolikt en ökad förutsebarhet och en ökad trygghet för hälso- och sjukvårdspersonalen. Utan tydliga riktlinjer riskerar enskilda yrkesutövares ansträngningar att följa upp hur det går för patienterna även att bedömas som otillåtna. Det berättigade intresset från patienter, närstående, kollegor och ledning är att kvaliteten i verksamheten ständigt följs upp och utvecklas.

It-systemen bör utvecklas

För att arbetet med att följa upp, säkra och utveckla verksamhetens kvalitet ska bli så effektiv och ändamålsenlig som möjligt, samtidigt som patienternas behov av integritetsskydd tillgodoses, behöver sannolikt även it-systemen i hälso- och sjukvården utvecklas. Det bör exempelvis i större utsträckning än i dag vara möjligt för personal att ta del av de uppgifter om patienterna som behövs för kvalitetssäkringen utan att samtidigt bli exponerad för information som inte är relevant i sammanhanget. Genom att ta fram verksam- hetsnära riktlinjer som så långt som möjligt ger vägledning kring vad som ska följas upp och hur det ska gå till borde förutsätt-

504

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

ningarna att utveckla ändamålsenliga funktioner i it-systemen bli bättre.

Mycket av den systematik som saknas i kvalitetsarbetet på den verksamhetsnära nivån finns redan på en nationell och regional nivå genom de nationella kvalitetsregistren. I de registren har hälso- och sjukvården tagit ställning till vad som ska mätas, vilka uppgifter som behövs för att göra det, hur det ska göras, vilka mätpunkter och uppföljningsintervall som ska gälla, vilka patientrapporterade utfallsmått som ska användas och vilken personal som ska ha till- gång till uppgifterna etc. Till skillnad från verksamhetens journal- system, som kan innehålla information som inte har relevans för personalens behov vid kvalitetssäkringen, har även systemstöd för respektive register byggts upp. Det gör det möjligt för personalen att endast ta del av det som behövs i det enskilda fallet. Förutom att det möjliggör en mer effektiv och kvalitetssäkrad uppföljning är det självklart även positivt för patienterna ur ett integritets- perspektiv.

17.4Våra överväganden och förslag rörande nationella kvalitetsregister

17.4.1Bestämmelser om nationella kvalitetsregister förs över till hälso- och sjukvårdsdatalagen

Vårt förslag: Stora delar av nuvarande 7 kap. patientdatalagen om nationella och regionala kvalitetsregister förs över oför- ändrade till hälso- och sjukvårdsdatalagen. Det rör inledande bestämmelser om kvalitetsregister samt bestämmelserna om den enskildes inställning till registreringen, information, kvalitets- registers ändamål, personuppgifter som får behandlas samt bevarande och gallring.

Vi bedömer att stora delar av det nuvarande regelverket i 7 kap. patientdatalagen om nationella och regionala kvalitetsregister bör föras över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär bland annat att den inledande bestämmelsen om kvalitets- registers innebörd överförs till den nya lagen.

505

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

Bestämmelsernas tillämpningsområde

Precis som i dag föreslås särskilda bestämmelser gälla för nationella och regionala kvalitetsregister, men inte för lokala register. Vi föreslår att den grundläggande bestämmelsen om tillämpnings- området för det särskilda regelverket om nationella och regionala kvalitetsregister förs över oförändrad till hälso- och sjukvårdsdata- lagen. Regeringen motiverade bestämmelsernas tillämpnings- område i förarbetena till patientdatalagen på följande sätt.8

Datoriserade register vari lagras känsliga personuppgifter som härrör från ett flertal vårdgivares patientverksamhet får anses som mer integritetskänsliga än lokala motsvarigheter. Det finns därför anled- ning att kringgärda den aktuella personuppgiftshanteringen med vissa specialbestämmelser rörande några för integritetsskyddet viktiga förhållanden. En tydligare reglering genom specialbestämmelser kan också ha den goda effekten att allmänhetens förtroende för register- verksamheten bevaras på en hög nivå. Av samma skäl kan en reglering i bästa fall motverka bortfall genom att enskilda patienter blir mindre benägna att utnyttja rätten att motsätta sig registrering i ett nationellt eller regionalt kvalitetsregister.

Vi delar regeringens bedömning och finner ingen anledning att i dagsläget förändra utgångspunkten för reglernas tillämpnings- område. Personuppgiftsbehandling i lokala kvalitetsregister inom vårdgivarnas verksamheter omfattas därmed inte av de föreslagna särbestämmelserna, utan regleras i stället av hälso- och sjukvårds- datalagens grundläggande ändamålsbestämmelse m.m. För att särskilja nationella och regionala kvalitetsregister från lokala motsvarigheter ska därför av hälso- och sjukvårdsdatalagen, som i dag, framgå att särbestämmelserna endast gäller för ett kvalitets- register till vilket personuppgifter från flera vårdgivare samlats in och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive lokal nivå.

Vidare ska förtydligas att bestämmelserna för nationella och regionala kvalitetsregister gäller oberoende av vilka kvalitetsregister som i finansiellt hänseende m.m. är etablerade som nationella kvalitetsregister.

8 Prop. 2007/08:126 s. 177.

506

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

Betydelsen av den enskildes inställning

Vi föreslår att den nuvarande bestämmelsen om att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det, förs över oförändrad till hälso- och sjukvårdsdatalagen. Vi föreslår således att patienten även fort- sättningsvis ska ha en rätt att motsätta sig registrering, men att det inte ska krävas något samtycke till registreringen.9 Bestämmelsen ger även patienten en rätt att på begäran få uppgifter utplånade ur ett nationellt eller regionalt kvalitetsregister.

Information

Vidare föreslår vi att nuvarande bestämmelse om att patienten ska få information om personuppgiftsbehandlingen i nationella och regionala kvalitetsregister ska överföras till hälso- och sjukvårds- datalagen. Bestämmelsen innebär att den som är personuppgifts- ansvarig har ett ansvar för att, innan uppgifter behandlas i registret, se till att patienten får information om rätten att när som helst få uppgifter om sig själv utplånade ur registret, i vilken utsträckning personuppgifter inhämtas från någon annan källa än patienten själv eller dennes patientjournal och vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till. Dessutom ska informationen innehålla de uppgifter som enligt den allmänna informationsbestämmelsen i nuvarande 8 kap. 6 § PDL ska lämnas.

Som huvudregel gäller att information ska lämnas innan person- uppgiftsbehandlingen börjar, men om det inte är möjligt ska informationen lämnas så snart som möjligt därefter. Detta innebär således att det i vissa fall är möjligt att inleda en personuppgifts- behandling innan informationsinsatsen har kunnat genomföras. I förarbetena till bestämmelsen anförde regeringen bland annat följande.10

Inom hälso- och sjukvården uppstår inte sällan situationer då information inte kan lämnas på ett tidigt stadium, t.ex. då patientens hälsotillstånd omöjliggör att information lämnas om en personupp- giftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Sådana situationer bör inte förhindra att personuppgiftsbehandlingen ändå påbörjas. I annat

9För förarbetsuttalanden se Prop. 2007/08:126 s. 186–189.

10Prop. 2007/08:126 s. 191.

507

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

fall torde t.ex. integrering av elektronisk journalföring och rappor- tering till kvalitetsregister i många fall försvåras eller till och med omöjliggöras. Undantag föreslås därför gälla, för nationella och regionala kvalitetsregister, i situationer då informationen inte kan lämnas på ett så tidigt stadium. I en sådan situation ska informationen i stället lämnas så snart som möjligt.

Vidare bör förtydligas att det primärt är den vårdgivare som står i begrepp att registrera uppgifter om en patient i ett nationellt kvalitetsregister som ska leva upp till informationsplikten. Informationen ska även innehålla uppgifter om den person- uppgiftsbehandling som görs av den myndighet som är person- uppgiftsansvarig för central behandling av personuppgifter för det aktuella kvalitetsregistret. Det innebär bland annat att informationen måste innehålla uppgift om vilken myndighet som har det centrala personuppgiftsansvaret och vad som gäller ifråga om den enskildes rättigheter i förhållande till myndigheten, exempelvis i frågor om registerutdrag och utplåning.

När det gäller det närmare innehållet i informationen har Datainspektionen tagit fram ett exempel som finns tillgängligt på www.kvalitetsregister.se. Där återfinns även ett antal andra exempel på hur informationen kan utformas.

Från integritetssynpunkt är det viktigt att patienten tillhanda- hålls utförlig information om den behandling av personuppgifter som registrering i ett nationellt kvalitetsregister innebär. Informationen behövs för att patienten ska bli medveten om rätten att motsätta sig medverkan och i övrigt kunna ta tillvara sina rättigheter. Det finns en mängd olika tänkbara tillvägagångssättet för att informera patienter om nationella kvalitetsregister. Det finns inget krav på att informationen ska lämnas på ett särskilt sätt, t.ex. skriftligt. Det är upp till varje vårdgivare att bestämma hur informationen ska ges. Informationen ska dock vara utformad på ett sätt som kan förstås av patienten och som uppfyller kraven på innehåll enligt lagen. Att inte tillhandahålla information skriftligt kan dels innebära risker för att all information inte lämnas, dels medföra svårigheter för vårdgivare att se till att alla patienter får samma information. Sedan är det naturligtvis svårare att vid behov bevisa vilken information som lämnas ifall det inte görs skriftligen.

Vårdgivare behöver anpassa tillvägagångssättet att informera efter verksamhetens förutsättningar och patienternas situation. Det är i allmänhet inte tillräckligt att vårdgivaren endast informerar på internet eller genom broschyr eller annat anslag i väntrum, om inte

508

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

detta kompletteras med någon form av hänvisning till patienten att ta del av informationen. Det får däremot bedömas som fullt möjligt för vårdgivare att informera genom flera typer av insatser som tillsammans gör att patienten kan få del av det fullständiga informa- tionsinnehållet. Som exempel kan nämnas att patienten i en kallelse till en vårdgivare med en kortfattad information görs uppmärksam på ett nationellt kvalitetsregister och rätten att motsätta sig samt att det vid besöket hos vårdgivaren finns fullständig information för patienten att ta del av.

Eftersom hänsyn ska tas till den enskilde patientens möjligheter att tillgodogöra sig informationen kan vårdgivaren även behöva olika informationsrutiner för olika situationer. Tillvägagångssättet för att informera patienter kan även skilja sig åt mellan olika typer av verksamheter hos en vårdgivare, bland annat beroende på hur många kvalitetsregister som är relevanta i olika verksamheter. Vårdgivarena kan därför behöva utforma rutiner som är anpassade efter förutsättningarna i respektive verksamhet.

Sammantaget finns inget krav på att patienten måste ha tagit del av informationen om ett kvalitetsregister, men vårdgivaren ska ha gjort patienten uppmärksam på att informationen finns och var den finns samt om att registrering görs för det fall patienten inte motsätter sig. Det är sedan upp till den enskilde patienten att själv avgöra om informationen ska läsas eller inte. Om patienten haft möjlighet att ta del av fullständig information och därefter inte motsatt sig medverkan i registret genom att meddela vårdgivaren det, får vårdgivaren inkludera patientens personuppgifter i det nationella kvalitetsregistret.

Vid Datainspektionens omfattande tillsyn över nationella kvalitetsregister år 2010 framkom stora brister i informationen till patienterna. Informationen var bland annat ofullständig ifråga om vem som var personuppgiftsansvarig och om patienternas rättig- heter i flera avseenden. Datainspektionen konstaterade även att det inte är tillräckligt endast med en informationsblankett i väntrum, utan att patienterna även måste uppmärksammas att ta del av informationen.11 Sedan tillsynsinsatsen har framkommit att vård- givare, företrädare för nationella kvalitetsregister, registercentra och Sveriges Kommuner och landsting drivit ett arbete för att ta fram korrekta och fullständiga patientinformationer. Även om utredningen inte med någon exakthet kan bedöma hur de ser ut

11 Bland annat Datainspektionens beslut 2010-10-11, dnr 1604-2009, 1605-2009, 1606-2009 och 1725-2009.

509

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

i dag, är vår uppfattning att medvetenheten om regelverkets krav och vilka åtgärder som är nödvändiga att vidta har ökat bland vård- givare. Vi har även i samband med konferenser och i möten med s.k. registerhållare för nationella kvalitetsregister fått information som visar på att frågorna prioriterats och att förståelsen för patientinformationen som en grundläggande och integritets- skyddande rättighet är stor.

Kvalitetsregisters ändamål

Vi föreslår att de nuvarande bestämmelserna i 7 kap. patientdata- lagen om kvalitetsregisters ändamål förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att det primära ända- målet ska vara att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet och att personuppgifter som behandlas för det ändamålet sedan får behandlas för några uttryckligen angivna sekundära ändamål, t.ex. statistikframställning och forskning. Även bestämmelsen i 7 kap. 6 § PDL som anger att personuppgifter i nationella och regionala kvalitetsregister inte får behandlas för något annat ändamål än de som framgår i 7 kap. ska överföras till hälso- och sjukvårdsdatalagen. I sammanhanget bör dock noteras att det kommer att vara möjligt att behandla personuppgifter för andra ändamål, om ett särskilt och uttryckligt samtycke till det föreligger från patienten. Det framgår även av nuvarande bestäm- melser om verkan av den enskildes samtycke i patientdatalagen.12

Personuppgifter som får behandlas

Vidare föreslår vi att nuvarande bestämmelse om vilka person- uppgifter som får behandlas i ett nationellt eller regionalt kvalitets- register förs över till hälso- och sjukvårdsdatalagen. Det innebär att endast sådana personuppgifter som behövs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet får behandlas i ett nationellt kvalitetsregister. Vidare ska utgångspunkten vara att i första hand behandla personuppgifter som endast indirekt kan hänföras till enskilda patienter. Uppgift om personnummer eller namn får således behandlas endast om det inte är tillräckligt för

12 Prop. 2007/08:126 s. 66 och 181.

510

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

ändamålet med registret att använda kodade personuppgifter eller indirekt utpekande uppgifter.

För många nationella kvalitetsregister finns behov av att behandla uppgift om patienternas personnummer. Det kan bland annat behövas för att kunna följa patientens utveckling över tid eller samköra uppgifter med andra register, t.ex. något av Social- styrelsens hälsodataregister. Det får däremot betraktas som mer sällsynt att uppgift om patienternas namn behöver finnas med i nationella kvalitetsregister. Vid Datainspektionens omfattande tillsyn över nationella kvalitetsregister år 2010 framkom att flera vårdgivare behandlade uppgift om patienternas namn i nationella kvalitetsregister utan att ha något egentligt behov av det. Utred- ningen har i sina kontakter med företrädare för nationella kvalitetsregister blivit informerad om att många vårdgivare och kvalitetsregister sett över sina rutiner för att registrera namn och att de flesta nu har upphört med att göra det.

Bevarande och gallring

Utredningen föreslår att nuvarande bestämmelse om bevarande och gallring av uppgifter i nationella och regionala kvalitetsregister förs över oförändrade till hälso- och sjukvårdsdatalagen. Som huvud- regel ska personuppgifter därmed gallras när de inte längre behövs för ändamålet att utveckla och säkra vårdens kvalitet. Vidare följer av bestämmelsen att en arkivmyndighet inom ett landsting eller en kommun får föreskriva att personuppgifter i ett kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål. I förarbetena anförde regeringen bland annat följande med avseende på huvud- regeln om att uppgifter ska gallras när de inte längre behövs för det ändamål för vilket de samlades in.13

Regeringen anser inte att detta är en tillfredsställande lösning för personuppgifter i nationella och regionala kvalitetsregister. En motsatt utgångspunkt bör enligt regeringens uppfattning i stället gälla, dvs. att personuppgifterna ska gallras då de inte längre behövs för det primära ändamålet med ifrågavarande kvalitetsregister, att systematiskt och fortlöpande säkra och utveckla hälso- och sjukvårdens kvalitet. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personupp- gifter, ska gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten. Det är regeringens mening att detta

13 Prop. 2007/08:126 s. 193.

511

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

förslag balanserar önskemålet om att skydda den enskildes integritet gent-emot behovet av att kunna genomföra långsiktig uppföljning.

Från huvudregeln finns således ett undantag som ger den för registret aktuella arkivmyndigheten en möjlighet att meddela före- skrifter om att uppgifterna ska bevaras för historiska, statistiska eller vetenskapliga syften. Det bör noteras att frågan om bevarande ankommer på arkivmyndigheten hos den myndighet som har personuppgiftsansvar för central behandling av personuppgifter, inte på respektive inrapporterande vårdgivare.

17.4.2Patientens möjlighet att bidra med uppgifter i registreringen

Vår bedömning: En patient kan, med stöd av vårdgivarens anvisningar, bidra med uppgifter till ett nationellt kvalitets- register genom att exempelvis fylla i elektroniska formulär som vårdgivaren tillhandahåller.

Under utredningens arbete har frågan väckts om det är möjligt för patienter att elektroniskt bidra med uppgifter i nationella kvalitets- register. Enligt utredningens bedömning är den vårdgivare som registrerar uppgifter i ett kvalitetsregister ansvarig för vilka upp- gifter som samlas in och har själv att bestämma formerna för detta. Om vårdgivaren anser att uppgifter som patienten bidrar med är av värde för ändamålet med det nationella kvalitetsregistret kan vård- givaren bestämma om detta och hur det ska gå till.

Att patienter med hjälp av den tekniska utvecklingen elek- troniskt kan bidra med uppgifter till ett nationellt kvalitetsregister innebär emellertid inte att patienten har någon ovillkorlig möjlighet eller rätt att på eget initiativ registrera uppgifter i ett kvalitets- register. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs för kvalitetsutvecklingen av hälso- och sjukvården, tillhandahålla definierade möjligheter för patienten att bidra med viktig information. På samma sätt som att en vårdgivare kan be en patient att fylla i en pappersenkät som sedan manuellt registreras i ett kvalitetsregister, kan en patient tillhandahållas ett elektroniskt formulär som efter vårdgivarens anvisning kan fylls i av patienten och elektroniskt överföras till det aktuella kvalitets- registret. Samtidigt ska uppmärksammas att det, både ur ett

512

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

kvalitets- och ett integritetsperspektiv, är viktigt att sådana elek- troniska formulär som patienter kan fylla i utformas på ett sådant sätt att det så långt möjligt endast är de efterfrågade uppgifterna som kan registreras.

En vårdgivare som ger patienter möjlighet att bidra med uppgifter elektroniskt behöver även vidta säkerhetsåtgärder för att skydda uppgifterna från obehörig åtkomst, t.ex. genom att se till att en överföring över internet är krypterad. Även med hänsyn till behovet av tillförlitliga uppgifter och hög datakvalitet i ett natio- nellt kvalitetsregister kan vårdgivare ha anledning att vidta särskilda åtgärder. Det kan exempelvis handla om att säkerställa att det är den avsedda patienten som bidrar med information till kvalitets- registret. Något som kan göras exempelvis genom att patienten identifierar sig med e-legitimation eller motsvarande.

17.4.3Tydligare bestämmelser om personuppgiftsansvar för nationella kvalitetsregister

Vårt förslag: Bestämmelsen om personuppgiftsansvar ska i hälso- och sjukvårdsdatalagen delas upp i två olika paragrafer för att tydliggöra personuppgiftsansvaret för inrapporterande vårdgivare och personuppgiftsansvaret för central behandling av personuppgifter. Nuvarande möjlighet för regeringen att besluta om undantag från kravet att endast myndigheter kan vara personuppgiftsansvariga för central behandling av person- uppgifter överförs till hälso- och sjukvårdsdatalagen.

Vår bedömning: Förslaget innebär inte några förändringar i sak, utan förtydligar vad som gäller i dag.

Inledning

När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens (2009:400), förkortad OSL, som i personuppgiftslagens mening, lämnas ut från den inrapporterande vårdgivaren till den mottagande aktören. Personuppgiftsansvaret för den behandling av person- uppgifter som föranleds av registrering i nationella kvalitetsregister kan därför sägas vara uppdelad på två nivåer, en lokal och en central

513

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitets- register, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta person- uppgiftsansvar ingår att personuppgifterna behandlas i enlighet med patientdatalagens och offentlighets- och sekretesslagens krav, exempelvis på att information har tillhandahållits patienten, att patienten inte motsatt sig registrering och att uppgifterna är korrekta m.m.

För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara person- uppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Det har fått till följd att det för varje nationellt kvalitetsregister har utsetts en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstings- styrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Enligt uppgifter från Sveriges Kommuner och Landsting, SKL, är personuppgiftsansvaret för central behandling av personuppgifter i dagsläget fördelat på 15 olika myndigheter inom 12 landsting och regioner. Dessa myndigheter är således ansvariga för ett eller flera nationella kvalitetsregister.

Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att felaktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstiftningen m.m. I sammanhanget kan även nämnas att regeringen har en möjlighet att besluta om undantag från kravet att endast en myndighet får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.

Sammantaget föreslår vi att det i hälso- och sjukvårdsdatalagen förs in två olika bestämmelser för att tydliggöra dessa två nivåer av personuppgiftsansvar.

Vårdgivares personuppgiftsansvar

Utredningen föreslår att det i kapitlet om nationella och regionala kvalitetsregister i hälso- och sjukvårdsdatalagen införs en bestämmelse som tydliggör att en vårdgivare är personuppgiftsansvarig för sin

514

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Att vårdgivaren är personuppgiftsansvarig följer redan av lagens grundläggande bestämmelse om personuppgifts- ansvar, men vi bedömer att det finns skäl att särskilt erinra om detta och uttrycka detta i anslutning till övriga bestämmelser om nationella kvalitetsregister. Datainspektionens tillsyn under 2010 visade att det fanns en okunskap kring vem som var person- uppgiftsansvarig för vad i kvalitetsregistersammanhang. Även mot den bakgrunden finns det skäl att tydliggöra författnings- regleringen.

Personuppgiftsansvaret omfattar, som i dag, bland annat ett ansvar för vårdgivaren att se till att patienterna får möjlighet att ta del av fullständig information om personuppgiftsbehandlingen, att det är rätt uppgifter om rätt patienter som behandlas, att person- uppgifter inte behandlas om patienten har meddelat vårdgivaren att han eller hon motsätter sig medverkan samt att patienter som på grund av sitt hälsotillstånd inte har kunnat ta emot information innan personuppgiftsbehandlingen inleddes får information så fort det är möjligt. Vidare är vårdgivaren personuppgiftsansvarig för den behandling av personuppgifter som görs när vårdgivaren genom direktåtkomst tar del av redan inrapporterade uppgifter, exempelvis för att ta fram underlag för ett lokalt kvalitetssäkrings- och förbättringsarbete. Vårdgivaren är i denna del ansvarig för att det endast är behöriga användare hos vårdgivarens om kan ta del av uppgifter i de aktuella kvalitetsregistren och att uppgifterna endast används för de ändamål som är tillåtna.

Direktåtkomst till nationella kvalitetsregister får endast användas för sådana ändamål för vilka kvalitetsregistren är tillåtna. Det innebär i praktiken att direktåtkomsten får användas för att säkra och utveckla vårdens kvalitet, framställa statistik och lämna ut uppgifter i enlighet med lag eller förordning. Det går inte att uttömmande ange i vilka situationer det är tillåtet för en med- arbetare hos en vårdgivare att ha direktåtkomst till uppgifter, men några konkreta exempel är för att:

registrera uppgifter om patienter,

för att kontrollera och validera registrerade uppgifter, t.ex. jämföra med patientjournalen,

515

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

för att arbeta med vårdgivarens kvalitetssäkringsarbete, t.ex. göra sammanställningar och beräkningar som ger underlag för att kunna följa upp och jämföra medicinsk och annan kvalitet,

för att framställa statistik, t.ex. för att informera allmänheten om vårdgivarens kvalitet och resultat, och

för att kunna administrera ett lagligt utlämnande av uppgifter.

I sammanhanget kan förtydligas att ovanstående tar sikte på direkt- åtkomst till själva personuppgifterna. Tillgång till rena statistiska uppgifter och sammanställningar som registret genererar och som presenteras utan att de registrerades identitet röjs, föranleder en annan bedömning. Sådana uppgifter kan i regel tillhandahållas öppet och exempelvis publiceras för att informera allmänheten om verksamheten.

Personuppgiftsansvar för central behandling av personuppgifter

Vi föreslår att nuvarande bestämmelse om personuppgiftsansvar för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister förs över oförändrad till hälso- och sjukvårdsdata- lagen. Det innebär även fortsättningsvis får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Vidare får regeringen besluta om undantag från detta.

I det centrala personuppgiftsansvaret ligger bland annat ett ansvar för den övergripande säkerheten kring det aktuella kvalitets- registret, för att felaktiga uppgifter rättas och för att patienters begäran om utplånande av uppgifter tillgodoses. Uppgifter i ett nationellt kvalitetsregister ska skyddas på ett flertal olika sätt och generellt gäller samma krav på sekretess och skydd för uppgifter i kvalitetsregister som för uppgifter i patientjournaler. Den myn- dighet som har personuppgiftsansvar för central behandling av personuppgifter har bland annat ett ansvar för att beakta vad som gäller ifråga om utlämnande av personuppgifter. Inte sällan före- kommer önskemål om att använda personuppgifter i kvalitets- register för forskning inom hälso- och sjukvården. Det ankommer på den centralt ansvariga myndigheten att ha rutiner och arbetssätt som gör att rättsliga frågor om utlämnanden kan bedömas och att

516

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

beslutade utlämnanden kan administreras på ett sätt som överens- stämmer med kraven på service i den offentliga förvaltningen.

Den myndighet som är personuppgiftsansvarig för central behandling av personuppgifter har även ansvar för att utlämnande genom direktåtkomst till inrapporterande vårdgivare görs på ett sätt som tillgodoser kraven på säkerhetsåtgärder för att skydda personuppgifterna. I samband med Datainspektionens tillsyn över nationella kvalitetsregister år 2010 uppmärksammades bland annat brister i tillvägagångssättet för utlämnande genom direktåtkomst. I flera nationella kvalitetsregister var det vid denna tidpunkt möjligt att ta del av uppgifter genom direktåtkomst över internet med hjälp av en inloggning med användarnamn och lösenord. Det är en otillräcklig säkerhetsnivå när det gäller åtkomst till känsliga person- uppgifter om hälsa.

Bestämmelsen i 31 § personuppgiftslagen innebär enligt praxis från Datainspektionen att känsliga personuppgifter får lämnas ut via internet eller annat öppet nät endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering, exempelvis e-legitimation, engångslösen- ord eller motsvarande. Vidare följer av 2 kap. 5 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvård bl.a. att en vårdgivare som använder öppna nät för att hantera patientuppgifter har ansvar för att det finns rutiner som säkerställer att åtkomst till patient- uppgifter föregås av stark autentisering. Innebörden av detta är att myndigheten med centralt personuppgiftsansvar måste se till att användares direktåtkomst till personuppgifter i nationella kvalitets- register föregås av stark autentisering, exempelvis inloggning med SITHS-kort eller motsvarande.

Efter patientdatalagens ikraftträdande har fråga väckts om hur bestämmelsen som anger att endast myndigheter kan vara ansvariga för central behandling av personuppgifter i ett nationellt kvalitets- register ska förhålla sig till sådana bolag där kommuner och landsting utövar ett rättsligt bestämmande inflytande. Frågan väcktes bland annat av Södersjukhuset AB i samband med ett tillsynsärende från Datainspektionen. På frågan om Södersjukhuset AB omfattas av begreppet myndighet i 7 kap. 7 § patientdatalagen anförde Datainspektionen bland annat följande.14

14 Datainspektionens beslut 2010-10-11, dnr 1606-2009.

517

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

Till ledning för bedömningen kan regeringens följande uttalande i samband med den grundläggande bestämmelsen om personuppgifts- ansvar i 2 kap. 6 § patientdatalagen tas (prop. 2007/08:126 Patient- datalag m.m. s. 230).

”Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgiftsansvarig. Istället är det den myn- dighet, nämnd, som behandlar personuppgifterna som är person- uppgiftsansvarig. Sådan myndighet omfattar också sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), d.v.s. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande.”

Den bestämmelse i sekretesslagen som regeringen hänvisar till ovan återfinns nu i 2 kap. 3 § OSL.

Mot ovanstående bakgrund gjorde Datainspektionen sedan följande bedömning i frågan.

Datainspektionen bedömer att Södersjukhuset, för det fall man är ett sådant aktiebolag som avses i 2 kap. 3 § offentlighets- och sekretess- lagen, omfattas av begreppet myndighete både i 2 kap. 6 § patient- datalagen och i 7 kap. 7 §. Såvitt Datainspektionen kan bedöma utgör därför 7 kap. 7 § patientdatalagen inget hinder för Södersjukhuset att vara personuppgiftsansvarig för central behandling av personuppgifter i Auricula.

Utredningen ansluter sig till Datainspektionens bedömning. De skäl som regeringen anför till stöd för regleringen att enskilda verksamheter inte får vara personuppgiftsansvariga för central behandling av personuppgifter i nationella kvalitetsregister, gör sig inte gällande på samma sätt med avseende på enskilda verksamheter som bl.a. i sekretesshänseende är att jämställa med myndigheter. I sammanhanget bör dock uppmärksammas att bedömningen gäller just sådana bolag som avses i 2 kap. 3 § OSL, dvs. bolag där kom- muner och landsting utövare ett rättsligt bestämmande inflytande genom att de ensamma eller tillsammans

1.äger aktier i ett aktiebolag eller andelar i en ekonomisk förening med mer än hälften av samtliga röster i bolaget eller föreningen eller på någon annat sätt förfogar över så många röster i bolaget eller föreningen,

2.har rätt att utse eller avsätta mer än hälften av ledamöterna i styrelsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller

518

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

3.utgör samtliga obegränsat ansvariga bolagsmän i ett handels- bolag.

Vidare ska, vid tillämpning av punkterna 1–3, inflytande som utövas av en juridisk person över vilken en kommun eller ett lands- ting bestämmer på det sätt som anges i de nämnda punkterna anses utövat av kommunen eller landstinget.

17.4.4Kvalitetsregister ska få användas för att följa upp vård som ges av flera olika vårdgivare

Vårt förslag: En vårdgivare ska få ha direktåtkomst till de upp- gifter om en patient som vårdgivaren lämnat och till de upp- gifter om patienten som en annan vårdgivare lämnat till samma nationella eller regionala kvalitetsregister. För att möjliggöra utlämnande genom direktåtkomst införs en sekretessbrytande bestämmelse i offentlighets- och sekretesslagen.

Vår bedömning: Förslaget syftar till att möjliggöra att kvali- teten i vården kan utvecklas och säkras även när patienternas vårdprocesser går över vårdgivargränser.

Inledning

Regelverket för nationella kvalitetsregister ger stöd för en särskild form av verksamhetsuppföljning. Samtidigt kan ifrågasättas om regelverket är utformat på ett ändamålsenligt sätt och medför tillräckliga möjligheter för att säkra och utveckla kvaliteten av patienternas vård oavsett hur den enskilde patientens resa genom hälso- och sjukvården har sett ut. Det har under utredningens arbete framkommit tydliga behov av att analysera om regelverket stödjer kvalitetssäkring av vårdprocesser som stäcker sig över vårdgivargränser.

Om en patient får vård av flera vårdgivare för samma hälso- problem kommer uppgifter om patienten att rapporteras in till kvalitetsregistret från flera olika vårdgivare. Detta är särskilt vanligt vid sådan vård som utförs inom region- eller rikssjukvård, vilket bl.a. omfattar stora sjukdomsgrupper som t.ex. hjärtsjukvård och cancer. I dessa fall genomförs ofta utredningen och eftervården hos

519

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

en vårdgivare och det operativa ingreppet hos en annan vårdgivare. I dessa situationer finns behov av ett effektivt informationsutbyte för att kvalitetssäkra och kvalitetsutveckla såväl den enskilde patientens vårdprocess som den generella vårdprocessen för denna typ av patienter.

Det finns många ytterligare exempel på situationer när patient- ernas process går genom olika vårdgivares verksamheter. I kommuner och landsting med stor mångfald av vårdgivare, privata och offentliga, är det snarare regel än undantag. Även den hälso- och sjukvård som bedrivs i samverkan mellan kommuner och landsting, t.ex. rörande äldre, inom psykiatrin eller i missbruks- och beroendevården, visar av naturliga skäl också upp dessa för- hållanden.

Regelverket för nationella kvalitetsregister medför dock begränsade möjligheter för de inblandade vårdgivarna att kvalitets- säkra hela patientens process. Bestämmelsen i nuvarande 7 kap. 9 § PDL ger vårdgivare möjlighet att ta del av de uppgifter vårdgivaren själv registrerat om en patient, men inte sådana uppgifter som andra vårdgivare registrerat om samma patient. Resultatet av bestämmelsen blir i praktiken att ingen inblandad vårdgivare har ansvar eller möjlighet att använda nationella kvalitetsregister för att säkra och utveckla resultatet av den sammantagna vård som patienten har fått. Detta är ett exempel på när nuvarande lag- stiftning inte utgår ifrån individens perspektiv utan från de organisatoriska förutsättningarna. Begränsningarna har även påverkan på möjligheterna att bidra till jämlik vård över landet eftersom de organisatoriska förutsättningarna skiljer sig åt mellan olika landsting och kommuner (se exempel i avsnitt 13.3).

Att inrapporterande vårdgivare har direktåtkomst till uppgifter i kvalitetsregister är en avgörande förutsättning både för att kunna göra en kvalitetssäker registrering och för att i ett senare skede kunna använda uppgifterna och lägga dem till grund för kvalitets- utveckling och förbättringsarbeten. Vårdgivare behöver kunna använda kvalitetsregister för att följa upp sina egna insatser och utvärdera det sammantagna resultatet av vården, inklusive komplikationer m.m., för såväl enskilda patienter som för patient- gruppen i stort. Vi kan även utgå ifrån att det ligger i patienternas intresse att de vårdgivare som tillsammans samverkar för att ge patienterna en god och säker vård har ändamålsenliga förutsätt- ningar att kvalitetssäkra verksamheten.

520

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

Det innebär en osäkerhet för en vårdgivare att rapportera in uppgifter om en patient utan att veta vilka data som tidigare har rapporterats in om patienten. Utan att kunna se vad som redan registrerats finns uppenbara risker för felaktig registrering, t.ex. genom att samma uppgifter registreras flera gånger, genom att registreringen inte går att hänföra till redan registrerade uppgifter, eller att genom att uppgifter inte alls registreras.

Nedan följer några praktiska exempel som visar på behovet av en ändrad lagstiftning.

Stentrelaterade kranskärlsingrepp – exempel på problem med dagens lagstiftning

Ett praktiskt exempel på behovet av att, för ändamålet kvalitets- säkring, ha direktåtkomst till uppgifter som registrerats om patienten av andra vårdgivare finns rörande hjärtpatienter som har fått en eller flera stentar inopererade i kranskärlen. Genom att samtliga vårdgivare deltar i kvalitetsregistret kan vi i Sverige få en i det närmaste hundraprocentig uppföljning av alla stentrelaterade kranskärlsingrepp och därigenom t.ex. utvärdera olika fabrikat och typer av stent.

Ett ingrepp med insättning av stentar kan utföras på ett läns- sjukhus under kontorstid, t.ex. Västmanlands sjukhus i Västerås. I sådant fall registreras viktiga uppgifter om stentens placering, dimensioner, tillverkare m.m. i det nationella kvalitetsregistret Swedeheart. Om patienten vid ett senare skede får en blodpropp eller annat akut problem relaterat till hjärtat eller stentarna under jourtid kommer patienten att transporteras akut till sjukhus i angränsande län. I detta fall ofta till Akademiska sjukhuset i Uppsala. Motsvarande aktualiseras även i alla situationer där patienten, efter att stenten inopererats, flyttat till ett annat län.

När patienten kommer till denne nye vårdgivare behöver vårdgivaren veta hur patientens stentar har registrerats i registret för att informationen om den akuta komplikationen ska kunna hänföras till rätt stent. Denna detaljerade information finns inte att tillgå inom ramen för vårddokumentationen och läkare kan inte heller enbart genom undersökning av patienten veta vilken typ av stent som är inopererad och hur den har placerats i hjärtat (ett stent kan vara osynligt vid kranskärlsröntgen). Risken finns då att läkaren inte får uppgift om stentens lokalisation. Uppgifterna om

521

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

den aktuella komplikationen kan då komma att registreras på fel stent, eller ingen stent alls. Detta innebär även uppenbara svårig- heter att bedöma patientens komplikationer och följa upp behandlingsresultaten av specifika stentar. I förlängningen kan det leda till att man inte i tid upptäcker om och i sådant fall vilka stentar som ger upphov till så allvarliga komplikationer att det föranleder omedelbara vårdinsatser, nya riktlinjer m.m. samt vilka stentar som inte ger komplikationer.

Höftproteser – exempel på problem med dagens lagstiftning

Ytterligare exempel på en liknande problematik återfinns i samband med uppföljning av komplikationer, t.ex. vad gäller höftproteser. Både vårdvalet och vårdgarantin har ökat patienternas rörelse över vårdgivargränser inom höftproteskirurgin. Årligen görs omkring 2 200 reoperationer på grund av komplikationer, varav knappt 20 procent beräknas vara utförda av annan vårdgivare än den som gjorde primäroperationen.

För att kunna bedriva ett kvalitetssäkringsarbete måste vård- givaren som gjort primäroperationen få information om de reoperationer som genomförts hos andra vårdgivare. Genom att direktåtkomst till uppgifterna inte är tillåtet är informationsutbytet i dag omständligt och görs enligt uppgift en gång årligen genom utlämnande av kopior efter sekretessprövning/patientsamtycke. Någon möjlighet för den primäropererande vårdgivaren att själv identifiera reoperationer, t.ex. genom direktåtkomst till vissa uppgifter som andra vårdgivare registrerat, för att löpande kunna följa upp sina komplikationer finns därmed inte. Det motverkar möjligheterna till en effektiv och ständigt pågående förbättrings- process i situationer när patienten har blivit opererad av flera vårdgivare.

Barnhjärtkirurgi – exempel på problem med dagens lagstiftning

Ett annat exempel utgörs av barnhjärtkirurgin och dess nationella kvalitetsregister Swedcon. Barnhjärtkirurgin är en del av rikssjuk- vården och får därmed bara finnas på två orter, Lund och Göteborg. Det betyder att majoriteten av barn med medfödda hjärtfel kommer att få vård i ett annat landsting än det där barnet

522

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

diagnosticeras och utreds. Den barnkardiologiska kompetensen för utredning finns dessutom i huvudsak på regionsjukhusen. Nedan illustreras ett exempel på patientfall inom barnhjärtkirurgin.

Ett barn föds på Västerås BB och uppvisar tecken på hjärtmissbildning. En första ultraljudsundersökning visar på ett eventuellt behov av operation, varför barnet skickas till Akademiska sjukhuset i Uppsala för kompletterande utredning. Registrering av patientuppgifter påbörjas av Landstinget Västmanland i Swedcon. Utredningen i Uppsala visar att barnet behöver opereras och barnet skickas vidare till Sahlgrenska Universitetssjukhuset i Göteborg. Registrering av patient- uppgifter i Swedcon görs av Landstinget i Uppsala län. Patienten opereras och eftervårdas i Göteborg. Registrering av operation och eftervård i Swedcon görs av Västra Götalandsregionen. Patienten följs inledningsvis upp med återbesök i Uppsala (registrering i Swedcon sker). Till och med vuxen ålder följs sedan patienten upp i Västerås. Uppgifter från återbesöken registreras i Swedcon.

I ovanstående exempel inom barnhjärtkirurgin har patienten, p.g.a. hur hälso- och sjukvården är organiserad, varit föremål för åtminstone tre olika vårdgivares åtgärder i en och samma vård- process. För att kunna göra en korrekt registrering i kvalitets- registret och bedriva ändamålsenlig uppföljning av de olika vård- givarnas insatser krävs tillgång till respektive vårdgivares inrapporterade uppgifter om just denna patient. Västerås behöver t.ex. tillgång till de uppgifter som registrerats av Uppsala och Västra Götalandsregionen dels för att kunna utvärdera det initiala omhändertagandet och utredningen, dels för att kunna se om deras uppföljning av barn som opererats görs på ett adekvat sätt. Den opererande enheten i Göteborg har i sin tur behov av tillgång till de uppgifter i registret som rör den preoperativa utredningen i Västerås och Uppsala. För att Västra Götalandsregionen ska kunna utreda om de väljer att operera rätt patienter och om deras operationer håller god kvalitet måste de ha tillgång till den information i registret rörande kort- och långtidsresultat som registrerats vid uppföljningarna i Uppsala och Västerås. Att göra detta genom utlämnanden efter sekretessprövning eller samtycke i varje enskilt fall är mycket tidskrävande och främjar inte ett effektivt och säkert kvalitetsarbete.

De negativa konsekvenserna som t.ex. dubbelinmatning (ibland t.o.m. trippelinmatning), felinmatning, avsaknad av information och en ökad administration är påtagliga. Ur integritetsperspektiv är det inte heller lätt att se om något har vunnits. Sannolikt kan

523

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

i stället risken för integritetsintrång öka i och med att en utlämnande- process kan behöva involvera fler personer än just de som är inblandade i patientens vård och det kontinuerliga förbättrings- arbetet. Vidare innehåller en utlämnandeprocess alltid ett mått av osäkerhet. Om den enskildes samtycke av någon anledning inte kan inhämtas är det i dagsläget oklart om uppgifter över huvud taget kan lämnas ut.

Om den nye vårdgivaren snabbt kan få åtkomst till den information som en tidigare vårdgivare lämnat ut till det nationella kvalitetsregistret ökar möjligheterna till en säker hälso- och sjuk- vård, både för den enskilde patienten och för patientgruppen som helhet.

När det t.ex. gäller Swedeheart innebär åtkomst till de detaljerade uppgifterna i kvalitetsregistret att behandlande läkare redan i samband med det akuta patientbesöket får reda på var stenten är inopererad och vilken typ av stent det är fråga om (till- verkare, dimension m.m.). Genom tillgång till uppgifterna kan läkaren notera nya förträngningar eller stopp i det tidigare åtgärdade kärlsegmentet och registrera komplikationen. Förutom att läkaren får väsentligt bättre förutsättningar att vidta kvalitetssäkrade åtgärder för den enskilde patienten kan läkaren således redan vid patientmötet hänföra och registrera den akuta komplikationen till rätt stent. Det innebär att säkerheten och kvaliteten i registreringen av uppgifter ökar. Registret är också utformat så att det tvingar fram ett ställningstagande på varje tidigare insatt stent (komplikation; ja eller nej m.m.). Det innebär även att det är möjligt att få en komplett uppföljning av patienter, och stentar, oavsett om patienten varit föremål för ingrepp hos olika vårdgivare.

Närmare om vårt förslag

Som redovisats ovan är det inte tillåtet för vårdgivare att ha direkt- åtkomst till personuppgifter som andra vårdgivare lämnat ut till ett nationellt kvalitetsregister. Genom att utlämnanden av person- uppgifter genom direktåtkomst endast är tillåten i den utsträckning som anges i lag eller förordning kan patienten inte heller genom samtycke förfoga över sättet för informationsutbytet. Ett samtycke från patienten möjliggör dock att den myndighet som är person- uppgiftsansvarig för central behandling av personuppgifter i

524

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

kvalitetsregistret kan fatta beslut om att lämna ut personuppgift- erna till den efterfrågande vårdgivaren. Ett sådant utlämnande kan ske elektroniskt. Det är dock en tidskrävande process att inhämta samtycke, fatta beslut om utlämnande och sedan lämna ut upp- gifterna. En sådan handläggning främjar inte en effektiv informationshantering för patientens och verksamhetens bästa.

En annan aspekt i sammanhanget är att den som ska pröva en sådan utlämnandefråga, dvs. myndigheten med centralt person- uppgiftsansvar, sällan har någon relation till den enskilde patienten. Dessa relationer har i stället de inrapporterande vårdgivarna. Även detta förhållande riskerar att leda till en utdragen och osäker utlämnandeprocess. Registreringen av uppgifter kan då sällan göras i samband eller i nära anslutning till patientbesöket. I en tids- pressad situation är det dessutom inte alltid möjligt att inhämta samtycke. Om patienten inte kan kommunicera försämras dess- utom möjligheterna att över huvud taget få reda på om det tidigare registrerats uppgifter om patienten och vilken vårdgivare som i sådant fall gjort det. Kan samtycke av någon anledning inte inhämtas är det även osäkert om uppgifterna, efter menprövning, kan lämnas ut över huvud taget.

Vi anser, bl.a. mot bakgrund av regelverkets organisatoriska fokus, att konsekvenserna av dagens reglering är olyckliga och inte främjar utvecklingen av hälso- och sjukvården. Regelverket bör i större utsträckning stödja en informationshantering som utgår ifrån patientens process – inte ifrån vilken vårdgivare som har varit inblandad i patientens vård och behandling. Enligt utredningens bedömning är det inte ändamålsenligt att begränsa möjligheten till direktåtkomst till de uppgifter om patienten som vårdgivaren själv registrerat. Möjligheterna att på ett effektivt sätt ta del av relevanta uppgifter för att göra en ändamålsenlig verksamhetsuppföljning beror i dagsläget i allt för hög grad på hur hälso- och sjukvården är organiserad.

För att kunna följa patientens väg genom vården och i nationella kvalitetsregister kunna registrera och hänföra uppgifter till den enskilde patienten krävs således ökade möjligheter till direkt- åtkomst till uppgifter som andra vårdgivare lämnat ut till kvalitetsregistret. Vi föreslår därför att en vårdgivare inte endast ska få ha direktåtkomst till sådana uppgifter om en patient som vårdgivaren själv registrerat i ett kvalitetsregister utan även till upp- gifter om samma patient som andra vårdgivare registrerat i samma register. Förslaget gör det alltså möjligt att ta ansvar för och

525

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

kvalitetssäkra patienternas processer oavsett hur den enskilde patientens resa genom hälso- och sjukvården ser ut.

Det kan innebära risker för den personliga integriteten att ge ökade möjligheter till direktåtkomst. Vår bedömning är emellertid att riskerna i detta fall är små, medan den potentiella nyttan är väldigt stor. Ur ett integritetsperspektiv är det viktigt att erinra om att direktåtkomsten och behovet av denna alltid är beroende av om patienten har eller har haft en relation till en viss vårdgivare i just denna vårdprocess.

Vi föreslår alltså inte någon generell möjlighet för ett okontrollerbart antal vårdgivare att ta del av uppgifter om patienten. Det blir inte frågan om någon egentlig spridning av uppgifter till verksamheter eller användare som inte redan äger kännedom om patienten och dennes aktuella hälsotillstånd. Det handlar enbart om att öka möjligheterna för direktåtkomst till de situationer då patientens väg genom vården gör det påkallat. Även med beaktande av patientens grundläggande rätt till självbestäm- mande genom möjlighet att motsätta sig medverkan i nationella kvalitetsregister samt till övriga integritetsskyddande bestämmelser om t.ex. behörighetsstyrning och åtkomstkontroll, kan potentiella integritetsförluster betraktas som små.

Vidare vill vi förtydliga att de ökade möjligheterna till direkt- åtkomst inte innebär att uppgifter i kvalitetsregister får användas på något annat sätt än vad som är fallet i dag. Direktåtkomsten ska endast få ske för sådana ändamål för vilket kvalitetsregistret är tillåtet. Det innebär exempelvis att hälso- och sjukvårdspersonal inte får ta del av uppgifter i ett kvalitetsregister för ändamål som rör den enskilda patientens vård och behandling. För att ta del av och utbyta uppgifter som behövs i och för vården av patienter gäller de grundläggande bestämmelserna och de i det föregående redovisade förslagen om direktåtkomst genom sammanhållen journalföring samt direktåtkomst mellan vårdgivare som bedriver hälso- och sjukvård som samma huvudman ansvarar för.

Sekretessbrytande bestämmelse

I offentlighets- och sekretesslagen finns i dag en sekretessbrytande bestämmelse som möjliggör själva kvalitetsregisterrapporteringen. Enligt bestämmelsen hindrar inte hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL att uppgifter lämnas till ett nationellt eller

526

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

regionalt kvalitetsregister. Bestämmelsen tar därmed sikte det informationsutbyte som görs när en vårdgivare lämnar ut uppgifter till ett nationellt eller regionalt kvalitetsregister.

För att möjliggöra det utlämnande genom direktåtkomst som här föreslås behövs en motsvarande bestämmelse som gör att upp- gifterna kan lämnas från ett nationellt eller regionalt kvalitets- register. I rättslig mening görs utlämnandet från den myndighet som har personuppgiftsansvar för central behandling av person- uppgifter för ett visst nationellt kvalitetsregister, till de vårdgivare som använder registret. Eftersom bestämmelser om direktåtkomst inte i sig har sekretessbrytande verkan, måste vårt förslag om direktåtkomst därför kombineras med en sekretessbrytande bestäm- melse.

I sammanhanget kan noteras att utlämnande genom direkt- åtkomst från kvalitetsregister till inrapporterande vårdgivare redan i dag äger rum. Någon sekretessbrytande regel härom finns däremot inte. I förarbetena till patientdatalagen lämnas, såvitt vi kunnat avgöra, däremot ingen vägledning kring detta. Möjligen gjorde regeringen bedömningen att det för vårdgivares direkt- åtkomst inte behövdes någon sekretessbrytande bestämmelse, eftersom direktåtkomsten i dag bara får avse just de uppgifter som vårdgivaren själv lämnat till kvalitetsregistret. Formellt sett är det dock även i dag fråga om ett utlämnande när myndigheten som har det centrala ansvaret gör det möjligt för inrapporterande vårdgivare att ta del av uppgifter genom direktåtkomst. Regeringen uttalade bland annat följande i förarbetena.15

Det kan här påpekas att personuppgifterna som finns lagrade i ett kvalitetsregister enligt såväl sekretesslagens som personuppgiftslagens synsätt är utlämnade från den inrapporterande vårdenheten och att ett nytt utlämnande äger rum då vårdenheten ges tillgång till ”sina” patientuppgifter i registret.

Vårt förslag om utökade möjligheter till direktåtkomst innebär, som tidigare redovisats, att vårdgivare under vissa förutsättningar även får ta del av uppgifter som har lämnats till registret av andra vårdgivare. I samband med att vi lägger det förslaget är det viktigt att tydliggöra regleringen i offentlighets- och sekretesslagen, så att vårt förslag om direktåtkomst kan genomföras i praktiken. Vi föreslår således att det i offentlighets- och sekretesslagen tas in en bestämmelse som innebär att hälso- och sjukvårdssekretess enligt

15 Prop. 2007/08:126 s. 192.

527

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

26 kap. 1 § OSL inte hindrar att uppgifter lämnas från ett nationellt eller regionalt kvalitetsregister enligt vad som föreskrivs om direktåtkomst i 10 kap. hälso- och sjukvårdsdatalagen.

17.4.5Kvalitetsregister ska kunna användas för patienter med nedsatt beslutsförmåga

Vårt förslag: Det ska vara möjligt för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till personuppgiftsbehandlingen. Villkoren för sådan personuppgiftsbehandling ska vara att den enskildes inställning till personuppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan personuppgiftsbehandling.

Inledning

Som redovisats ovan har patienter en rätt att motsätta sig registrering i ett nationellt kvalitetsregister. Personuppgifter rörande patienter som, efter att ha fått information om person- uppgiftsbehandlingen, väljer att motsätta sig en medverkan får således inte behandlas i nationella och regionala kvalitetsregister. Omvänt innebär detta att vårdgivare får behandla personuppgifter rörande patienter som valt att inte motsätta sig. Som tidigare nämnts har Datainspektionen tolkat patientdatalagen på ett sådant sätt att en person som saknar beslutsförmåga inte kan inkluderas i ett nationellt kvalitetsregister med mindre än att en legal ställ- företrädare fått information om registret och därefter inte motsatt sig registreringen. En sådan bedömning leder i praktiken till att den patient som saknar förmåga att ta del av informationen om registret och sedan ta ställning till sin medverkan inte kan inkluderas i kvalitetsregistret. Detta eftersom det i normala fall saknas legala ställföreträdare som i dessa avseenden anses kunna företräda individen.

Sammantaget får det enligt gällande rätt anses oklart om det över huvud taget är möjligt att inkludera vuxna personer som inte endast tillfälligt har nedsatt beslutsförmåga i nationella eller regionala kvalitetsregister. För att kunna tillgodose alla patienters

528

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

behov av en säker och ständigt förbättrad hälso- och sjukvård finns därför skäl av att lägga förslag som gör detta möjligt.

Utredningens delbetänkande SOU 2013:45

Utredningen har i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga, SOU 2013:45, föreslagit ändringar av patientdatalagen som gör det möjligt för vårdgivare att behandla personuppgifter i nationella kvalitetsregister även för personer med nedsatt beslutsförmåga. Vi föreslår nu att det förslaget i stället tas in i den hälso- och sjuk- vårdsdatalag som vi föreslår.

I det följande återges centrala delar av vårt förslag, i linje med vad utredningen anförde i det ovan nämnda delbetänkandet. För ytterligare bakgrundsbeskrivning och vägledning hänvisas till delbetänkandet, se särskilt s. 103 f. och 131 f.

Närmare om vårt förslag

Det är enligt utredningen angeläget att det förbättringsarbete som genomförs med hjälp av nationella kvalitetsregister fortsättningsvis kan göras för alla patienter oavsett graden av beslutsförmåga. Det övergripande syftet med de nationella kvalitetsregistren är att säkra och utveckla kvaliteten inom olika områden i den svenska hälso- och sjukvården. Det allmänna intresset av sådan verksamhet kan knappast ifrågasättas. Det kan därför inte råda någon tvekan om att det är av stort allmänt intresse att kvaliteten i vården för de som inte själva kan ge uttryck för sin vilja eller ta ställning till olika alternativ ständigt utvecklas och säkras. Det handlar om bärande värden i samhället och om att tillgodose alla människors behov av trygghet och rätt till bästa möjliga vård och omhändertagande. De professionsdrivna initiativen som kvalitetsregister ofta är måste mot den bakgrunden även fortsättningsvis kunna skapa nytta och bidra till ett bättre resultat både för de som har och de som saknar beslutsförmåga. Det gör det också möjligt att utveckla själva kvalitetsregistren så att de blir ännu bättre verktyg och bidrar till ännu mer kunskap och kunskapsåterföring.

Vi anser att lagstiftaren har ett särskilt ansvar för den grupp som inte själva kan utöva sitt självbestämmande. Enligt vår mening

529

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

handlar ansvaret i detta fall om att göra det möjligt att använda nationella kvalitetsregister även för utvecklingen av vården för personer med nedsatt beslutsförmåga. Det står samtidigt klart att en sådan möjlighet även kan innebära ökade risker för intrång i enskildas personliga integritet.

Vår sammantagna bedömning är att det behov som finns av att utveckla vården och omhändertagandet av personer med nedsatt beslutsförmåga och den nytta som nationella kvalitetsregister kan bidra med, väger tyngre än den ökade risken för integritetsintrång som vårt förslag skulle kunna innebära.

Vidare innebär inte en registrering i ett kvalitetsregister att individens personuppgifter blir exponerade för en ansenlig mängd andra personer. En registrering i ett kvalitetsregister innebär rent formellt att uppgifterna lämnas ut till en myndighet i hälso- och sjukvården, dvs. i princip en myndighet inom ett landsting, där normalt sett endast ett fåtal personer har tillgång till det nationella kvalitetsregistret som helhet. Den mottagande myndigheten är på central nivå personuppgiftsansvarig för den behandling av person- uppgifter som görs. I personuppgiftsansvaret ligger bl.a. ett ansvar för de tekniska och organisatoriska åtgärder som krävs för att skydda uppgifterna. Hos myndigheten gäller dessutom sekretess för uppgifterna. Vid en jämförelse med vårddokumentationen, dvs. uppgifter i en patientjournal, innehåller ett kvalitetsregister dess- utom ett begränsat antal uppgifter om individen och dennes hälsa. Det är till stor del de verksamheter som själva registrerar uppgifter i ett register – enheter och kliniker på sjukhus, äldreboenden, vårdcentraler, m.fl. – som också sedan använder sina egna registrerade uppgifter för att förbättra sin egen verksamhet och resultatet för nuvarande och kommande patienter.

Mot den bakgrunden föreslår vi att det ska vara möjligt för vård- givare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att tillgodogöra sig den information som lämnas och ta ställning till registreringen. Även patienter med nedsatt besluts- förmåga ska därmed få dra nytta av och bidra till den kvalitets- utveckling av hälso- och sjukvården som kan ske genom nationella kvalitetsregister.

Av hänsyn till behovet av skydd för den enskildes personliga integritet föreslår vi för det första att personuppgiftsbehandling rörande en person som inte endast tillfälligt saknar förmåga att ta ställning till registreringen endast får ske under förutsättning att

530

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

den enskildes inställning till personuppgiftsbehandlingen så långt möjligt klarlagts. Personuppgiftsbehandlingen får för det andra endast ske om det inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.

För att den föreslagna bestämmelsen över huvud taget ska vara tillämplig krävs således att

1.den enskilde bedöms inte endast tillfälligt sakna förmåga att ta ställning till personuppgiftsbehandlingen,

2.den enskildes inställning till personuppgiftsbehandlingen så långt möjligt klarlagts, och

3.det inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.

Patienter som registrerats tidigare och inte motsatt sig

En särskild fråga är hur vårdgivare ska agera i förhållande till en patient som registrerats vid en tidpunkt när förmåga att ta ställning till personuppgiftsbehandlingen fanns, men som i ett senare skede utvecklar en sjukdom som påverkar beslutsförmågan negativt. Särskilt i vissa kvalitetsregister där uppgifter om patienten registreras över en längre tid, t.ex. register för kroniska sjukdomar och register med särskilt fokus på äldre, torde detta aktualiseras.

I sammanhanget bör därför tydliggöras att en vårdgivare, i relation till en patient som när denne inkluderades i ett kvalitets- register för första gången fick information och hade förmåga att ta ställning till sin medverkan, kan fortsätta registrera och i övrigt behandla uppgifter om patienten även om denne vid ett senare skede drabbas av nedsatt beslutsförmåga. Det bör därmed inte krävas någon omprövning av patientens inställning ifall denne, när beslutsförmåga i detta avseende fanns, fått information och valt att inte motsätta sig registreringen. För en sådan patient, där laglig grund för registrering förelegat, kan således fortsatt registrering över tid ske.

531

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

Närmare om bedömningen av beslutsförmåga och den enskildes inställning till personuppgiftsbehandlingen

I ett första skede ska en bedömning göras av den enskildes förmåga att själv ta ställning till medverkan i ett kvalitetsregister. Sedan har hälso- och sjukvårdspersonalen i ett andra skede att så lång möjligt försöka klarlägga vad den enskilde skulle ha kunnat ha för inställning till en sådan medverkan och den personuppgiftsbehand- ling det skulle innebära. Om det framstår som uppenbart att den enskilde skulle ha motsatt sig, får en registrering i ett nationellt kvalitetsregister inte ske.

Det är alltså yrkesutövare hos den vårdgivare som vill inkludera en individ och använda ett nationellt kvalitetsregister som också har att bedöma om patienten har beslutsförmåga i det enskilda fallet. Hur denna process för bedömning närmare bör se ut lämnas till vårdgivarna att avgöra. En förutsättning är dock att vårdgivarna tar fram rutiner och riktlinjer som ger hälso- och sjukvårds- personalen stöd dels i hur en bedömning av beslutsförmågan bör göras, dels i frågor om hur personalen i olika situationer kan försöka klarlägga den enskildes inställning.

Utredningen anser inte att det i lagstiftning bör ställas upp något krav på vem som ska göra bedömningen och hur det ska ske. Sannolikt kommer rutinerna för detta skilja sig åt beroende på i vilken situation och i vilken typ av verksamhet patienten befinner sig i. I den kommunala hälso- och sjukvården bör det exempelvis finnas goda möjligheter att göra bedömningen antingen i samband med vårdplanering vid utskrivning från slutenvården eller vid en ny individuell vårdplanering i hemsjukvården eller i ett särskilt boende. Även ett informationsmöte inför en flytt till särskilt boende kan vara ett bra tillfälle, inte minst om närstående medverkar och kan ge vägledning för bedömningen. På samma sätt borde primärvården ha tillfälle att göra motsvarande bedömning vid en vårdplanering, men annars i samband med sina reguljära kontakter med patienterna. För de register som syftar till att utveckla och säkra kvaliteten i de delar av hälso- och sjukvården som bedrivs i mer akuta situationer borde, som ovan berörts, bedömningen av patientens förmåga att ta ställning till medverkan i kvalitetsregister kunna göras i samband med ett återbesök eller annan uppföljande kontakt.

En annan fråga är hur ofta en bedömning av patientens beslutsförmåga ska göras när det gäller registrering i nationella eller

532

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

regionala kvalitetsregister. Utredningens uppfattning är att vård- givaren som sådan har en skyldighet att göra denna bedömning i anslutning till att vårdgivaren för första gången inkluderar en patient i ett kvalitetsregister. Det överensstämmer även med vad som redan i dag gäller. Bedömningen behöver därmed inte ske varje gång en och samma vårdgivare registrerar uppgifter i det aktuella kvalitetsregistret. Om patientens beslutsförmåga varierar över tiden är det dock viktigt att hälso- och sjukvårdspersonalen försöker nå fram till patienten vid ett tillfälle när man bedömer att förmågan att ta ställning finns.

Vidare behöver det inte vara den yrkesutövare som gör själva registreringen som även har bedömt den enskildes beslutsförmåga och försökt ta reda på den enskildes inställning enligt nedan. Arbetsuppgiften att registrera uppgifter i ett kvalitetsregister kan därmed vara åtskild från den bedömning som vårt förslag ställer krav på. Inte minst i den kommunala hälso- och sjukvården kan dessa två moment göras vid olika tillfällen och av olika kategorier av yrkesutövare. Själva bedömningen beslutsförmågan och utred- ningen om den enskildes inställning kanske t.ex. görs av en sjuk- sköterska vid dennes kontakter med den enskilde och dennes närstående, medan själva registreringen sedan kommer att utföras av undersköterskor, arbetsterapeuter, sjukgymnaster m.fl. som arbetar i verksamheten.

Den som står i begrepp att inkludera en patient som bedömts ha nedsatt beslutsförmåga i detta avseende ska självfallet respektera patientens inställning om det är känt att denne tidigare motsatt sig registrering i nationella kvalitetsregister. Hälso- och sjukvårds- personalen ska beakta vad en patient tidigare i livet kan ha uttalat i frågan. Även vetskap om att patienten tidigare medverkat i andra kvalitetsregister kan vara sådan information som ger personalen stöd i sitt agerande. En förutsättning för registrering i ett kvalitets- register ska därför vara att den enskildes inställning så långt möjligt klarlagts och beaktats. Det innebär även att närstående, i före- kommande fall, bör tillfrågas om vad de vet om patientens inställning. Välgrundade uppfattningar från närstående ska tas om hand och vara vägledande för hälso- och sjukvårdspersonalens beslut om registrering ska ske eller inte. För flera av de kvalitets- register som används i vården av de mest sjuka äldre borde möjlig- heterna att göra närstående delaktiga vara goda. Det kan exempelvis handla om att personalen i samband med att den enskilde får plats i ett särskilt boende även informerar närstående om hur man arbetar

533

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

med kvalitetsutveckling i allmänhet och om de för verksamheten aktuella kvalitetsregistren i synnerhet. Sådan information borde även kunna lämnas inför andra planerade åtgärder, som exempelvis operationer.

Även om närstående tillfrågas bör dock själva beslutet att registrera eller inte registrera uppgifterna alltid fattas av hälso- och sjukvårdspersonalen. Närstående har således ingen formell rätt att bestämma i den enskildes ställe. Registrering i ett kvalitetsregister ska därmed enligt vårt förslag inte heller vara otillåtet om när- stående av någon anledning inte kan höras i saken. Ett sådant förbud skulle föra med sig att kvalitetsregister endast skulle kunna användas för de patienter som har en eller flera närstående som kan uttala sig i frågan. Lagstiftaren har redan i dag, genom att inte ställa krav på samtycke, utgått ifrån att de allra flesta personer skulle vilja bidra till den utvecklingen av hälso- och sjukvården som en medverkan i kvalitetsregister kan leda till om de blir tillfrågade. Det vore därför enligt vår uppfattning en olycklig utveckling att utesluta någon från deltagande i ett nationellt kvalitetsregister på grundval av faktorer som egentligen inte är bärande på frågan om vad den enskilde kan tänkas ha för inställning i saken.

Sammantaget bedömer vi att våra förslag gör det möjligt att bedriva ett effektivt arbete för att utveckla och säkra kvaliteten i vården för alla patienter, samtidigt som hänsyn tas till behovet av skydd för den personliga integriteten för dem som själva inte kan ge uttryck för sin inställning. Genom vårt förslag tar lagstiftaren ett särskilt ansvar för att tillhandahålla nödvändiga förutsättningar för att förbättra vården för en svag patientgrupp med ett särskilt behov av skydd. Våra förslag när det gäller personuppgiftsbehandling i nationella kvalitetsregister ökar möjligheterna till en jämlik hälso- och sjukvård av hög kvalitet.

Förslagets förhållande till personuppgiftsbehandling i mer akuta situationer

Redan i dag är det möjligt att inleda en personuppgiftsbehandling i ett nationellt kvalitetsregister innan den enskilde har fått informa- tion om registret och haft en möjlighet att ta ställning till sin medverkan. En förutsättning är dock att information ska lämnas så snart som möjligt och att redan registrerade personuppgifter ska tas bort ifall patienten i detta skede motsätter sig registrering. Som

534

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

redovisats ovan föreslår vi att denna möjlighet förs över oförändrad till hälso- och sjukvårdsdatalagen.

I en situation som det här är frågan om och som inte sällan är av mer akut karaktär kan det saknas möjlighet att bedöma om den enskilde endast högst tillfälligt eller mer varaktigt har nedsatt förmåga att ta emot information och ta ställning till medverkan i ett kvalitetsregister. De skäl som ligger bakom den nuvarande regleringen gör sig även lika starkt gällande alldeles oavsett eventuella variationer i patientens beslutsförmåga. Vårt förslag om personuppgiftsbehandling i kvalitetsregister för personer som inte endast tillfälligt saknar beslutsförmåga ska därför inte inskränka de nuvarande möjligheterna att i en mer brådskande situation företa en personuppgiftsbehandling för att i ett senare skede fullgöra informationsplikten m.m. Hälso- och sjukvårdspersonalen ska därför, precis som i dag, i dessa mer brådskande situationer inte behöva bedöma patienternas besluts- förmåga utan i stället kunna göra en registrering med stöd av de i dag befintliga bestämmelserna. Det innebär att personuppgifterna kan registreras i en sådan situation och att verksamheten sedan när patientens hälsotillstånd så medger ska lämna information och ge patienten en möjlighet att ta ställning till sin medverkan. Om det vid denna tidpunkt däremot visar sig att patienten sannolikt inte har återfått, eller inte tidigare haft, förmågan att ta ställning till saken ska vår föreslagna bestämmelse tillämpas. I ett sådant fall får fortsatt registrering således ske om det efter att man försökt klarlägga den enskildes inställning inte är uppenbart att den enskilde skulle ha motsatt sig personuppgiftsbehandlingen.

Detta förfarande kan bli särskilt aktuellt exempelvis i stroke- vården och i intensivvården. I dessa fall kan därmed bedömningen av patientens beslutsförmåga behöva göras i samband med en uppföljning efter t.ex. en eller tre månader.

17.4.6Att utvidga ett nationellt kvalitetsregister

Vår bedömning: Nationella kvalitetsregister kan i enlighet med gällande regelverk utvidgas genom en rad olika tillvägagångssätt, t.ex. genom hopslagning av två eller flera befintliga kvalitets- register eller att nya variabler tillförs kvalitetsregistret. Beroende på omständigheterna i det enskilda fallet väcks ett antal frågor om sekretess och personuppgiftsbehandling. Några särskilda regler härom bör inte införas i hälso- och sjukvårdsdatalagen.

535

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

Inledning

De nationella kvalitetsregistren har byggts upp under lång tid och successivt etablerats för avgränsade diagnoser, verksamheter eller medicinska specialiteter. I takt med att ny kunskap genereras utvecklas även de enskilda kvalitetsregistren. Det kan exempelvis handla om att nya variabler tillförs registret eller att redan insamlade uppgifter börjar användas för delvis nya ändamål. Efter en tid med många små kvalitetsregister har det, enligt vad utred- ningen fått veta, även identifierats fördelar med att under vissa förutsättningar slå ihop kvalitetsregister med varandra. Det handlar i dessa fall om två eller fler nationella kvalitetsregister, som om de hade startats i dag sannolikt hade utgjort ett samlat kvalitets- register.

Gemensamt för de kvalitetsregister som överväger hopslagning är att det finns något centralt som förenar dem och att detta är större eller fler saker än vad som skiljer registren åt. Det kan exempelvis handla om att de följer och utvecklar vården för patienter i samma vårdkedja eller att de följer två patientgrupper där verksamhetens kvalitet bör säkras och utvecklas genom ett gemensamt arbetssätt. Frågor om hopslagning av nationella kvalitetsregister handlar därför inte, enligt utredningens bedöm- ning, om en utveckling mot ett enda gigantiskt kvalitetsregister innehållande personuppgifter om större delen av den svenska befolkningen eller en utveckling mot kvalitetsregister som inne- håller uppgifter som inte har något samband med varandra med avseende på frågan om att säkra och utveckla kvaliteten i hälso- och sjukvården.

Utredningen har förståelse för att nationella kvalitetsregister är under ständig utveckling och påverkas såväl av nya landvinningar som av organisatoriska och andra förutsättningar. Exempelvis kan ny kunskap ge anledning att ifrågasätta om befintliga strukturer för kvalitetsutveckling är ändamålsenliga eller om det finns anledning att vidta åtgärder för att åstadkomma ännu bättre förutsättningar för kvalitetssäkring och kvalitetsutveckling. Sådana överväganden kan mycket väl ha beröringspunkter med nationella kvalitets- register och ge upphov till frågor om hopslagningar eller andra förändringar av befintliga kvalitetsregister. Även organisatoriska förändringar som exempelvis växling av ansvaret för hemsjukvård från landsting till kommuner kan också ge upphov till behov av att se över och eventuellt förändra kvalitetsregisters innehåll, bredd

536

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

och samverkan. I detta kan sannolikt uppstå situationer när två eller fler nationella kvalitetsregister, för att förbättra möjligheterna till kvalitetsutveckling, identifierar ett behov av att genom hop- slagning skapa ett gemensamt nationellt kvalitetsregister.

Det är inte möjligt att uttömmande redovisa för samtliga tänk- bara alternativa scenarion vid utvidgning av ett nationellt kvalitets- register. På en övergripande nivå kan en utvidgning antingen ske genom att ett kvalitetsregister helt enkelt tillförs nya variabler som ska registreras eller att två eller fler befintliga kvalitetsregister slås ihop. Hopslagning av två kvalitetsregister torde därmed i rättslig mening betraktas som en utvidgning av ett av de befintliga registren.

En utvidgning av ett nationellt kvalitetsregister behöver, oavsett om det görs genom en hopslagning av befintliga register eller på andra sätt, dock föregås av en analys av de rättsliga förutsätt- ningarna för utvidgningen. Enligt utredningens bedömning kan omständigheterna i det enskilda fallet skilja sig åt på en mängd olika sätt, vilket kan ge upphov till olika rättsliga frågeställningar. Gemensamt är dock att frågor om sekretess och personuppgifts- behandling särskilt kan behöva analyseras.

Alldeles oavsett hur ett nationellt kvalitetsregister utvidgas ska regelverket för nationella kvalitetsregister följas. Det innebär att personuppgifter som avses inkluderas efter utvidgningen ska behandlas i enlighet med de grundläggande förutsättningarna i lagstiftningen. Det betyder bland annat att kraven på information om registret ska vara uppfyllt, att en myndighet har person- uppgiftsansvar för central behandling av personuppgifter samt att patienterna inte har motsatt sig.

Personuppgifter som redan innan utvidgningen behandlades i det nationella kvalitetsregistret får naturligtvis även fortsättningsvis behandlas i registret. Beroende på omständigheterna i det enskilda fallet kan det dock inte uteslutas att en utvidgning medför att de redan inkluderade uppgifterna kommer att behandlas delvis för ett nytt ändamål. Om så är fallet beror på hur utvidgningen förhåller sig till registrets ursprungliga ändamål. I de flesta fall, t.ex. när nya variabler tillförs ett register, torde det emellertid inte innebära någon förändring i ändamålet med registret. I andra fall kan det emellertid vara fråga om en sådan väsentlig utvidgning att det handlar om att ändamålet med registret förändras. I ett sådant fall ska tydlig information om det nya ändamålet lämnas t.ex. på en

537

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

webbplats eller i tidningsannonser. I förarbetena till patientdata- lagen anförde regeringen följande i sammanhanget.16

Om ett kvalitetsregister först i ett senare skede avses användas för ett nytt ändamål eller planeras att samköras utan att registrerade patienter blivit informerade om detta vid registreringen är det tillräckligt att tydlig information om det nya ändamålet eller samkörningen lämnas t.ex. på en webbplats eller i tidningsannonser.

Sammantaget anser utredningen att de frågeställningar om behandling av personuppgifter som uppstår, kan hanteras inom ramen för gällande rätt. Vi bedömer således att det inte finns behov av att i hälso- och sjukvårdsdatalagen särskilt reglera frågor om hur nationella kvalitetsregister kan och får utvidgas.

Kan uppgifter från ett annat kvalitetsregister inkluderas?

Om en utvidgning görs genom hopslagning av två eller fler nationella kvalitetsregister uppstår delvis andra frågor. Enligt utredningens synsätt innebär en hopslagning av två kvalitetsregister att ett av dessa register utvidgas, dvs. i den meningen att nya variabler kommer att registreras fortsättningsvis. De person- uppgifter som redan finns i kvalitetsregistret får fortsatt behandlas i registret under förutsättningarna som redovisats ovan om nya ändamål m.m.

En central fråga är dock hur uppgifterna i det andra kvalitets- registret får behandlas, dvs. i registret som i praktiken upphör eller som åtminstone inte kommer att vara föremål för nyregistreringar. Under utredningens arbete har frågan väckts om det är möjligt att till det utvidgade kvalitetsregistret överföra och fortsättningsvis behandla sådana personuppgifter som tidigare behandlades i det kvalitetsregister som nu upphör. Det handlar alltså i praktiken om möjligheterna att överföra historiska uppgifter från detta kvalitets- register till det utvidgade, delvis nya, kvalitetsregistret.

Inledningsvis kan utredningen konstatera att frågan varken berördes av regeringen eller av patientdatautredningen i samband med förarbetena till patientdatalagen. Det finns därför ringa vägledning att hämta för en bedömning av saken. Samtidigt anser utredningen att det är viktigt att frågan får en närmare granskning. Inte minst eftersom den pågående utvecklingen av nationella

16 Prop. 2007/08:126.

538

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

kvalitetsregister är stor. Vidare kan hopslagning av strukturer för kvalitetsutveckling även ha betydelse för ambitionerna att minska onödig administration i vården och åstadkomma ett effektivare resursutnyttjande. Vid en hopslagning av två befintliga kvalitets- register är det, såvitt utredningen fått veta, inte heller ovanligt att det i registren finns till stor del samma kategorier av uppgifter om samma patienter. En sådan sammanslagning kan därmed möjligen underlätta för patienten att tillvarata sina rättigheter genom att det blir en myndighet och ett kvalitetsregister som patienten har att förhålla sig till, i stället för två.

Nedan redogörs för våra överväganden i två olika situationer. Det handlar om förutsättningarna dels när samma myndighet ansvarar för de två registren, dels när ansvaret för central person- uppgiftsbehandling ligger på olika myndigheter.

Om samma myndighet har ansvar för registren

Förutsättningarna för att i den här aktuella situationen överföra redan registrerade uppgifter till ett annat nationellt kvalitetsregister kan skilja sig åt beroende på omständigheter i det enskilda fallet. Det kan exempelvis i handla om överföring av uppgifter från och till ett register som har samma myndighet som personuppgifts- ansvarig för central behandling av personuppgifter. I ett sådant fall görs överföringen utan att en sekretessgräns passeras, vilket inne- bär att det inte är fråga om utlämnande av uppgifter till en aktör utanför den utlämnande aktörens organisation.

En sådan överföring av uppgifter mellan register som samma myndighet ansvarar för torde därför inte väcka några särskilda frågor kring tillämpningen av offentlighets- och sekretesslagstift- ningen. Däremot kan det finnas behov av att analysera frågan ur ett personuppgiftslagsperspektiv.

En överföring av redan registrerade uppgifter, torde exempelvis kunna jämföras med en bestående samkörning av uppgifter. Enligt utredningens bedömning är det därför, på motsvarande sätt som redovisats ovan, viktigt att vid en eventuell inkludering av historiska uppgifter analysera om det kommer att innebära att personuppgifter behandlas för ett nytt ändamål i förhållande till det ursprungliga. Även om det övergripande ändamålet med ett kvalitets- register är att säkra och utveckla kvaliteten i hälso- och sjukvården har varje nationellt kvalitetsregister mer precisa ändamål just för sin

539

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

personuppgiftsbehandling. Ändamålet med registret är även något som ska framgå i den information som de registrerade ska tillhandahållas innan vårdgivaren registrerar uppgifter i ett natio- nellt kvalitetsregister. När det gäller situationen att person- uppgiftsbehandling i efterhand görs för andra ändamål än de som de registrerade har blivit informerade om, krävs som ovan nämnts att tydlig information om detta lämnas t.ex. på internet eller i tidningsannonser.

Enligt vår bedömning torde således samma resonemang som förs ovan kunna göra sig gällande om redan registrerade uppgifter ska överföras till ett utvidgat (nytt) kvalitetsregister hos samma centralt ansvariga myndighet. Såtillvida att registren inte haft i princip identiska ändamål torde det därmed krävas en informa- tionsinsats från myndighetens sida för att personuppgifterna ska få inkluderas i det utvidgade registret och där fortsättningsvis behandlas för eventuellt nya ändamål.

Ur de registrerades perspektiv är en sådan informationsinsats även viktig för deras kännedom om den eventuella förändring av registrens namn m.m., som denna form av hopslagning kan föra med sig.

Om olika myndigheter ansvarar för registren

I en annan situation kan det aktualiseras ett behov av att överföra uppgifter från ett register med en viss myndighet som centralt personuppgiftsansvarig till det utvidgade registret med en annan myndighet som centralt ansvarig. Samma frågor som redovisas ovan, om eventuella förändringar i ändamålet, gör sig förstås även gällande i dessa situationer. Därutöver aktualiseras frågan om själva utlämnandet är tillåtet i sekretesshänseende.

Det handlar i dessa fall om att uppgifter som omfattas av hälso- och sjukvårdssekretess lämnas ut från en myndighet till en annan. En avgörande fråga är under vilka förutsättningar ett sådant utlämnande får göras. Uppgifter i hälso- och sjukvårdens nationella kvalitetsregister omfattas nämligen av sekretess enligt 25 kap. 1 § OSL, vilket innebär att uppgifterna inte får lämnas ut om det inte står klart att den enskilde eller någon närstående inte lider men av utlämnandet. Ett sådant utlämnande behöver som regel ha stöd antingen i en sekretessbrytande regel eller i patientens samtycke eller i en menprövning.

540

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

Utredningen konstaterar att det kan vara fråga om en omfatt- ande överföring av personuppgifter och att personuppgifterna till viss del kan ha inkluderats i registret för flera år sedan. Att i en sådan situation inhämta de registrerades samtycke, låter sig svårligen göras. Inte heller finns det någon sekretessbrytande bestämmelse som är tillämplig i detta fall. För att uppgifterna ska kunna lämnas ut måste det alltså stå klart att uppgifterna kan röjas utan att berörda enskilda, eller närstående till dem, lider men. Huruvida någon individuell menprövning är möjlig torde bero på omständigheterna i det enskilda fallet och bland annat avgöras av antalet patienter som omfattas av registret. Enligt vår bedömning torde det mest sannolika emellertid vara att någon form av generell prövning av sekretessfrågan skulle behöva göras.

Huruvida det är möjligt att göra massutlämnanden baserade på generella sekretessprövningar har varit föremål för diskussion och viss prövning genom åren. Frågan har särskilt aktualiserats i forskningssammanhang. I rättspraxis finns exempel på när ett utlämnande av ett stort antal uppgifter om ett stort antal personer har godtagits om det typiskt sett anses stå klart att uppgifterna kan lämnas ut utan att enskilda eller närstående lider men.17 Hänsyn har då bland annat tagits till vilket slags uppgifter det handlar om, vem som är mottagare och till syftet med utlämnandet och den fortsatta hanteringen av uppgifterna.

Den fråga om utlämnande av uppgifter som det här är fråga om har såvitt utredningen kunnat ta reda på inte varit föremål för rättslig prövning. Även om utredningen inte heller kan lämna något entydigt besked i denna fråga och som tar sikte på alla tänkbara olika situationer som kan uppkomma i dessa sammanhang, anser vi att det finns omständigheter som kan tala för att sådana utläm- nanden i vissa fall kan ske i enlighet med gällande rätt och med bibehållet integritetsskydd för de registrerade. Dessa omständig- heter utgörs bland annat av att det är samma sekretessbestämmelser som gäller för uppgifterna hos utlämnande och mottagande myndighet, att båda myndigheterna är sådana myndigheter inom hälso- och sjukvården som avses i patientdatalagen, att det även efter utlämnandet handlar om behandling av personuppgifter i nationella kvalitetsregister, att utlämnandet i egentlig mening inte innebär någon ökad spridning av uppgifter och att de registrerades rättigheter inte förändras av ett utlämnande. Vidare kan antas att

17 RÅ 1988 ref. 103, RÅ 1994 not 732 och RÅ 1996 not 124.

541

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

frågan om vilken myndighet som har personuppgiftsansvar för central behandling av personuppgifter i nationella kvalitetsregister inte är en avgörande omständighet för patientens val att medverka eller inte medverka i ett nationellt kvalitetsregister.

Sådana omständigheter kan, åtminstone ur ett mer pragmatiskt perspektiv, anses tala för att det bör vara möjligt att lämna ut personuppgifterna från en myndighet till en annan i kvalitets- registersammanhang. Ytterst är det emellertid upp till de inblandade myndigheterna att göra en bedömning av de rättsliga förutsätt- ningarna.

Om ett sådant utlämnande görs kan det, enligt utredningens bedömning, finnas skäl för den utlämnande myndigheten att tydligt informera om det. Därutöver behöver den utlämnande myndigheten ha rutiner som säkerställer att patienter som inte nåtts av sådan information och vänder sig till myndigheten med begäran om registerutdrag eller önskemål om att få person- uppgifterna utplånade ur registret, blir hänvisade till den myndig- het som har övertagit personuppgiftsansvaret för central behand- ling av personuppgifter.

17.4.7Förändringar av personuppgiftsansvaret för central behandling av personuppgifter

Vår bedömning: Det bör enligt utredningens bedömning vara möjligt att inom ramen för gällande rätt förändra fördelningen av personuppgiftsansvar för central behandling av person- uppgifter i nationella kvalitetsregister, t.ex. genom att det centrala personuppgiftsansvaret övergår från en myndighet inom hälso- och sjukvården till en annan sådan myndighet.

Inledning

En frågeställning som rent rättsligt väcker till stor del samma frågor som redogjorts för ovan är förutsättningarna för att förändra personuppgiftsansvaret för central behandling av personuppgifter i ett nationellt kvalitetsregister, dvs. att i praktiken flytta person- uppgiftsansvaret till en ny myndighet. Även om de bakomliggande orsakerna och effekterna av en sådan åtgärd får anses skilja sig väsentligt åt jämfört med vad som anförts ovan om utvidgning av

542

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

register, finns beröringspunkter vad gäller de grundläggande frågeställningarna.

Enligt utredningens uppfattning har frågan om vem som är personuppgiftsansvarig för central behandling av personuppgifter i nationella kvalitetsregister länge präglats av otydlighet. Den genom- gång som gjordes av patientdatautredningen visade att det inte fanns någon entydig bild.18 Därutöver har Datainspektionens tillsyn visat på en utbredd osäkerhet och otydlighet i frågan om vilken myndighet som ansvarar för vilket kvalitetsregister. Patient- datalagens bestämmelser om kvalitetsregister har tillsammans med Datainspektionens tillsyn satt ljuset på behovet av att tydliggöra personuppgiftsansvaret för central behandling av personuppgifter. Utredningens erfarenhet är även att hälso- och sjukvårdens aktörer, i kölvattnet av Datainspektionens tillsyn, nu har identifierat och tydliggjort det centrala personuppgiftsansvaret för respektive nationellt kvalitetsregister. Utredningen har bland annat fått information från SKL om att 15 olika myndigheter fördelade på 12 landsting och regioner har personuppgiftsansvar för central behandling av personuppgifter för ett eller flera nationella kvalitets- register.

Nationella kvalitetsregister är emellertid en nationell ange- lägenhet som inte endast påverkas och styrs av den myndighet som är personuppgiftsansvarig för central behandling. Det innebär att det inte kan uteslutas att det i framtiden uppstår situationer när det, av olika anledningar, finns behov av att förändra fördelningen av personuppgiftsansvaret på ett sådant sätt att det i praktiken flyttas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet. En möjlig orsak som kan föranleda ett sådant behov av att flytta personuppgiftsansvaret är exempelvis att den befintliga myndighetens verksamhet övergår i privat ägo. Eftersom endast myndigheter får ha personuppgiftansvar för central behand- ling av personuppgifter saknas därmed förutsättningar för organisa- tionen att i en sådan situation fortsätta ansvara för kvalitets- registret. Andra tänkbara skäl skulle kunna vara relaterade till praktiska, personella, organisatoriska eller IT-relaterade aspekter av betydelse för möjligheterna att säkra och utveckla kvaliteten i hälso- och sjukvården.

Det saknas i dag uttrycklig vägledning om hur sådana situa- tioner ska hanteras och om vilka rättsliga överväganden som är

18 SOU 2006:82 s. 446–449.

543

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

SOU 2014:23

påkallade. Med hänsyn till att uppgifterna omfattas av sekretess enligt offentlighets- och sekretesslagen samt att det saknas en sekretessbrytande bestämmelse för denna situation, har det såvitt utredningen förstår ansetts osäkert om och i sådant fall hur en sådan omfördelning av personuppgiftsansvaret kan ske. Eftersom kvalitetsregister är en viktig nationell angelägenhet finns samtidigt behov av att belysa frågan och om möjligt tydliggöra förutsätt- ningar som möjliggör för kvalitetsregister att fortleva i situationer där myndigheten med centralt personuppgiftsansvar inte längre kan ta fortsatt ansvar för registret.

Utredningen anser att viss vägledning kan hämtas från regeringens uttalanden i förarbetena till patientdatalagen. Regeringen uttalade att personuppgiftsansvar för behandling av personuppgifter i olika nationella kvalitetsregister är en komplex fråga och att det vid den tidpunkten inte fanns någon entydig bild. Vidare anförde regeringen följande av intresse i sammanhanget.19

Ansvaret för den stora mängden nationella och regionala kvalitets- register är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom organiserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller ska ingå i registren. En detaljreglering av personuppgiftsansvaret ter sig mot den bakgrunden knappast möjlig. En reglering skulle dessutom riskera att låsa fast registerföringen i oflexibla organisationslösningar, som kanske inte passar för alla typer av kvalitetsregister eller som inte visar sig vara ändamålsenliga över tiden.

Mot den bakgrunden föreslog regeringen ingen detaljreglering av personuppgiftsansvaret, utan i stället att personuppgiftsansvaret för den centrala hanteringen av inrapporterade uppgifter skulle vara samlat hos en eller flera myndigheter inom hälso- och sjukvården. Enligt utredningens bedömning visar regeringens uttalanden på en medvetenhet om den komplexa situation och de föränderliga organisatoriska strukturer som kännetecknar nationella kvalitets- register. En uttalad avsikt med regeringens förslag var därför att inte låsa fast kvalitetsregisterföringen i organisationslösningar som inte är flexibla eller lösningar som inte visar sig vara ändmålsenliga över tiden. Det kan, enligt vår mening, anses tala för att det ska vara möjligt att vid behov överlåta personuppgiftsansvar för central behandling av personuppgifter från en myndighet till en annan.

19 Prop. 2007/08:126 s. 183.

544

SOU 2014:23

Kvalitetsutveckling och förbättringsarbete i hälso- och sjukvården

Vidare kan uppmärksammas det faktum att regelverket tillåter flera myndigheter att tillsammans vara personuppgiftsansvariga för central behandling av personuppgifter i nationella kvalitetsregister.

Eftersom uppgifter i ett nationellt kvalitetsregister omfattas av sekretess blir frågor om offentlighets- och sekretesslagens tillämp- ning aktuella även här. Det innebär att det måste finnas lagligt stöd för ett sådant utlämnande av sekretessbelagda uppgifter som en omfördelning av personuppgiftsansvar för central behandling av personuppgifter innebär. Ur ett rättsligt perspektiv är det i dessa fall fråga om ett utlämnande av uppgifter från en myndighet inom hälso- och sjukvården till en annan sådan myndighet. På mot- svarande sätt som redovisats i föregående avsnitt anser utredningen att det finns mycket som talar för att ett sådant utlämnande kan göras utan att enskilda eller närstående lider men. Uppgifterna kommer även efter utlämnandet att omfattas av samma bestäm- melser om hälso- och sjukvårdssekretess och även behandlas för samma ändamål som gällde innan utlämnandet. I övrigt är patientens integritetsskyddande rättigheter oförändrade. Det talar tillsammans för att det ur ett integritetsskyddsperspektiv svårligen kan sägas att den enskilde lider men av ett sådant utlämnande som en övergång av personuppgiftsansvaret innebär.

Vidare kan en övergång av personuppgiftsansvar för central behandling av personuppgifter även jämföras med en traditionell verksamhetsövergång där en ny aktör övertar en befintlig verk- samhet. Ett kvalitetsregister som är föremål för byte av person- uppgiftsansvarig myndighet kan liknas vid en vårdcentral där hela vårdgivarens verksamhet köps upp av en ny aktör. En sådan verk- samhetsövergång, där de personuppgifter som behandlas ingår i själva överlåtelsen, har sedan länge bedömts kunna göras utan hinder av bestämmelser om sekretess. Det saknas enligt vår upp- fattning anledning att bedöma den här aktuella frågan om kvalitetsregister annorlunda.

Sammantaget anser vi att en tillämpning av gällande rätt ger stöd för en sådan förändrad fördelning av personuppgiftsansvar för central behandling av personuppgifter som har beskrivits i detta avsnitt. Vi bedömer inte att några uttryckliga regler härom bör införas i lagstiftning.

545

18 En socialtjänst i utveckling

18.1Vad är socialtjänst?

Socialtjänsten har ett mycket brett uppdrag med många olika upp- gifter, exempelvis att ge stöd och hjälp till utsatta barn och deras familjer, vård och behandling till missbrukare, daglig vård och omsorg om äldre, stöd och service till personer med psykisk ohälsa och funktionshinder, ekonomiskt bistånd till personer med svårig- heter att försörja sig och mottagandet av flyktingar. Med social- tjänst jämställs även verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS.

Av 1 kap. 1 § socialtjänstlagen (2001:453), förkortad SoL, följer att socialtjänsten ska främja människornas

-ekonomiska och sociala trygghet,

-jämlikhet i levnadsvillkor,

-aktiva deltagande i arbetslivet.

Socialtjänsten ska under hänsynstagande till människans ansvar för sin och andras sociala situation inriktas på att frigöra och utveckla enskilda och gruppers egna resurser. Verksamheten ska bygga på respekt för människornas självbestämmande och integritet.

I detta avsnitt ges en redovisning av socialtjänstens uppdrag, verksamhet och organisatoriska förutsättningar. En närmare beskriv- ning av den ökande samverkan mellan socialtjänst och hälso- och sjukvård återfinns i det avsnitt som handlar om informations- hantering rörande personer som har behov av insatser både från socialtjänsten och från hälso- och sjukvården. Se vidare avsnitt 31 och 32.

547

En socialtjänst i utveckling

SOU 2014:23

Definition av socialtjänst

Det finns i dag ingen enhetlig definition för vad som närmare ska räknas som socialtjänst utan det finns en rad olika uppräkningar i olika lagstiftning. Som vägledning bör dock definitionen i 26 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, kunna tjäna. Av bestämmelsen följer att med socialtjänst förstås

1.verksamhet enligt lagstiftningen om socialtjänst,

2.verksamhet enligt den särskilda lagstiftningen om vård av unga och missbrukare utan samtycke, och

3.verksamhet som i annat fall enligt lag bedrivs av socialnämnd eller av Statens institutionsstyrelse.

Till socialtjänst räknas också

1.verksamhet hos annan myndighet som innefattar omprövning av socialnämnds beslut eller särskild tillsyn över nämndens verk- samhet, och

2.verksamhet hos kommunal invandrarbyrå.

Med socialtjänst jämställs

1.ärenden om bistånd åt asylsökande och andra utlänningar,

2.ärenden om tillstånd till parkering för rörelsehindrade

3.ärenden om allmän omvårdnad hos nämnd med uppgift att bedriva patientnämndsverksamhet, och

4.verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade.

18.2Kommunernas ansvar för socialtjänsten

Av 2 kap. 1 § SoL följer att varje kommun svarar för socialtjänsten inom sitt område, och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Det handlar exempelvis om försörjningsstöd, vård av barn och unga, vård av personer med missbruksproblem och åtgärder för andra utsatta grupper i sam- hället. Det innebär dock ingen inskränkning i det ansvar som vilar på andra huvudmän.

548

SOU 2014:23

En socialtjänst i utveckling

Genom bestämmelser i SoL har kommunerna fått möjlighet att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Genom ett sådant avtal får en kommun även till- handahålla tjänster åt en annan kommun. Däremot får uppgifter som innefattar myndighetsutövning inte överlämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ.

För äldre finns en värdegrund som gäller för äldreomsorgen i såväl offentlig som privat regi.1 Socialtjänstens omsorg om äldre ska inriktas på att äldre personer får leva ett värdigt liv och känna välbefinnande (värdegrund). Värdegrunden omfattar både hand- läggning av ärenden och utförandet av själva insatsen.

I det följande redogörs kort för ett antal olika områden inom kommunernas socialtjänst. Det bör i sammanhanget noteras att de antalsuppgifter m.m. som presenteras i allmänhet endast innefattar sådana insatser som har föregåtts av en individuell behovsprövning, dvs. att ett biståndsbeslut har fattats. Som utredningen kommer att uppmärksamma i det fortgående har utvecklingen dock kommit att medföra att allt mer av socialtjänstens verksamhet utförs utan att sådana biståndsbeslut fattas, dvs. inom ramen för vad som ofta kallas råd och stöd. För en mer rättvisande bild av socialtjänstens innehåll och omfattning skulle därför även dessa insatser behöva tas med. Någon kvalificerad statistik över det som ges inom ramen för råd och stöd har vi inte funnit.

Hemtjänst

Av 5 kap. 5 § SoL följer att kommunen ska tillhandahålla stöd och hjälp i hemmet till enskilda som behöver detta. Någon enhetlig definition av begreppet hemtjänst finns inte, utan kommunerna benämner det på lite olika sätt och delar ofta även upp begreppet i servicetjänster och personlig omvårdnad. Som servicetjänster räknas vanligtvis sådant som hjälp med inköp, uträtta ärenden, sköta bostaden och att laga eller tillhandahålla mat. Personlig omvårdnad kan sedan beskrivas som de insatser som utöver servicetjänster behövs för att den enskildes behov ska tillgodoses. Det kan handla om hjälp med att sköta den personliga hygienen, hjälp med att förflytta sig, ledsagning och hjälp med att äta och dricka. Även trygghetslarm ingår i hemtjänsten.

1 5 kap. 4 § första stycket SoL.

549

En socialtjänst i utveckling

SOU 2014:23

I sammanhanget kan noteras att den 1 oktober 2012 uppgick antalet äldre med hemtjänst i det egna hemmet, s.k. ordinärt boende, till 220 000 personer.2

Stöd och service till vissa funktionshindrade

Ansvaret för individuella stödinsatser när det gäller olika former av funktionshinder ligger framför allt på kommuner och landsting. Det gäller insatser både enligt socialtjänstlagen och enligt lagen om stöd och service till vissa funktionshindrade. Exempelvis har lands- tingen ansvaret för insatsen rådgivning och annat personligt stöd enligt LSS. Som exempel på särskilda insatser som kan begäras enligt LSS kan följande nämnas.

Råd och stöd – rådgivning och annat personligt stöd som ställer krav på särskild kunskap om förutsättningarna för människor med stora och varaktiga funktionshinder.

Personlig assistans – biträde av personlig assistent eller ekono- miskt stöd till sådan assistans som exempelvis rör hjälp med personlig hygien, måltider, påklädning eller kommunikation med andra.

Ledsagarservice – service för att underlätta möjligheterna att delta i samhällslivet m.m.

Kontaktperson – biträde av kontaktperson för att utgöra ett personligt stöd och underlätta ett självständigt liv.

Andra insatser är exempelvis avlösarservice, korttidsvistelse och korttidstillsyn.

För människor med funktionshinder ska kommunen även med- verka till att den enskilde får en meningsfull sysselsättning. Enligt 9 § 10 punkten LSS ska kommunen erbjuda daglig verksamhet för personer i yrkesverksam ålder som saknar arbete och som inte utbildar sig. Sådan daglig verksamhet bör innehålla både aktiviteter med habilitering och mer produktionsinriktade uppgifter. Det senare innebär dock inte att det är fråga om något avlönat arbete där syftet är att tillhandahålla tjänster eller producera varor. I sammanhanget kan nämnas att företag som vill erbjuda daglig

2 Äldre och personer med funktionsnedsättning – regiform år 2012, Socialstyrelsen (2013).

550

SOU 2014:23

En socialtjänst i utveckling

verksamhet behöver tillstånd från Inspektionen för vård och omsorg.

Kommunen har även ansvaret för att personer med funktions- hinder får bo på ett sätt som är anpassat efter den enskildes behov av särskilt stöd. Kommunen ska även inrätta bostäder med särskild service för dem som till följd av funktionshinder behöver ett sådant boende. Ett av de grundläggande syften med LSS är just att till- försäkra personer med funktionshinder goda levnadsvillkor och rätten till en bostad som är särskilt anpassad efter en enskildes behov. Boendet kan vara ett gruppboende, serviceboende eller annat särskilt anpassat boende. Betydelsen av ett eget boende med allt vad det innebär i form av trygghet och trivsel har av regeringen i förarbetena till LSS uttryckts enligt följande.3

Ingen annan enskild faktor kan sägas ha så stor betydelse för känslan av den egna identiteten som den egna bostaden. Det är i bostaden man normalt tillgodoser sina mest elementära behov och bostaden är för de flesta människor tillsammans med arbetet den plattform från vilken man skapar relationer med andra människor och deltar i samhällslivet. Många personer med omfattande funktionshinder tillbringar en stor del av sin dag i det egna hemmet. Därför är bostaden många gånger ännu mer betydelsefull för personer med funktionshinder än den är för icke funktionshindrade personer.

Den 1 oktober 2012 hade, enligt en rapport från Socialstyrelsen, 64 200 personer en eller flera insatser enligt LSS (exklusive insatsen råd och stöd).4 Det är en ökning med ungefär 15 procent under en sexårsperiod, dvs. sedan år 2006. Av samma rapport följer att 24 400 av dessa personer hade insatsen bostad med särskild service för vuxna eller annan särskilt anpassad bostad för vuxna.

Vidare följer av SoL att kommunen ska ingå en överens- kommelse med landstinget om ett samarbete i fråga om personer med psykisk funktionsnedsättning.

Personer med funktionsnedsättning kan, precis som andra, även ha behov av kommunal hälso- och sjukvård. I statistik från Social- styrelsen anges att det i oktober 2012 fanns 29 400 personer med funktionsnedsättning under 65 år som fick insatser från den kommunala hälso- och sjukvården. 78 procent av dessa bodde i

3Prop. 1992/93:159 s. 83.

4Personer med funktionsnedsättning – insatser enligt LSS år 2012, Socialstyrelsen (2013).

551

En socialtjänst i utveckling

SOU 2014:23

kommuner som helt eller delvis hade övertagit ansvaret för hem- sjukvården i ordinärt boende från landstinget.5

Äldreomsorg i särskilt boende

Kommunen har även ansvaret när det gäller äldreomsorg enligt socialtjänstlagen. Det handlar exempelvis om att kommunen ska verka för att äldre människor får goda bostäder och det stöd och hjälp i hemmet som de behöver. För äldre människor som behöver särskilt stöd ska kommunen inrätta särskilda boendeformer, s.k. särskilt boende, för service och omvårdnad.6

Den 1 oktober 2012 bodde omkring 86 800 personer över 65 år permanent i särskilda boendeformer.7 Av dessa var ca 70 300 eller 4 av 5 fyllda 80 år. Enligt rapporten från Socialstyrelsen fanns det 2011 omkring 2 700 särskilda boenden, varav 900 korttidsboenden och 325 servicehus. På ett särskilt boende bor i genomsnitt ungefär 40 personer.

I sammanhanget kan även nämnas att det av den ovan nämnda rapporten från Socialstyrelsen framgår att 161 000 personer över 65 år fick insatser från den kommunala hälso- och sjukvården någon gång under oktober 2012.

Barn och unga

Kommunen har ett omfattande ansvar för barn och ungas levnads- situation. Det handlar både om ett ansvar för förebyggande åtgärder, t.ex. att motverka missbruk och verka för att barn växer upp under trygga förhållanden, och ett ansvar för det särskilda stöd som föranleds när barnet riskerar att utvecklas ogynnsamt.

När det gäller insatser till barn och unga enligt SoL eller lagen (1990:52) om särskilda bestämmelser om vård av unga, förkortad LVU, framgår bland annat följande av statistik från Social- styrelsen.8 Noteras kan att insatser till barn och unga på grund av funktionsnedsättning eller insatser som ges utan biståndsbeslut inte ingår i statistiken.

5Personer md funktionsnedsättning – vård och omsorg 1 oktober 2012, Socialstyrelsen (2013).

65 kap. 5 § andra stycket SoL.

7Äldre- vård och omsorg den 1 oktober 2012, Socialstyrelsen (2013).

8Barn och unga – insatser år 2012, Vissa insatser enligt SoL och LVU, Socialstyrelsen (2013).

552

SOU 2014:23

En socialtjänst i utveckling

Nästan 29 600 barn och unga hade heldygnsinsats någon gång under år 2012. Med heldygnsinsats avses vård med placering enligt SoL eller LVU eller omedelbart omhändertagande enligt LVU.

Bland pojkar i åldrarna 13–17 år har andelen som placerats på Hem för vård eller boende (HVB) femdubblats under en åtta- årsperiod, dvs. mellan 2004 och 2012.

Ungefär 28 200 barn och unga hade en eller flera öppenvårds- insatser den 1 november 2012. Med öppenvårdsinsatser avses strukturerade öppenvårdsprogram enligt SoL, behovsprövat personligt stöd enligt SoL samt kontaktperson eller kontakt- familj enligt SoL.

Personer med missbruk och beroende

För personer med missbruksproblem ska kommunen aktivt sörja för att den enskilde får den hjälp och vård som han eller hon behöver för att komma ifrån missbruket. Kommunerna fullgör detta i dag både genom individuellt behovsprövade insatser och sådana insatser som ges utan biståndsbeslut, s.k. råd och stöd.

Av statistik från Socialstyrelsen vad gäller socialtjänstens insatser för vuxna med missbruks- och beroendeproblem år 2012 framgår bland annat följande.9 De insatser som kommunerna ger utan biståndsbeslut ingår inte i statistiken.

Den 1 november 2012 hade drygt 6 200 personer med miss- bruks- och beroendeproblem bistånd som avser boende. Bistånd som avser boende omfattade totalt omkring två miljoner boendedygn under 2012. Biståndet fördelades på 15 000 inskriv- ningar under året, vilket innebär att det genomsnittliga antalet boendedygn per inskrivningar var 133 dygn.

Vid samma tidpunkt hade cirka 11 200 personer någon typ av individuellt behovsprövad öppen insats, t.ex. rådgivning, moti- vation och behandling för sitt missbruk och beroende. Under hela året beviljades omkring 27 500 sådana insatser.

9 Insatser år 2012 för vuxna personer med missbruks- och beroendeproblem och för övriga vuxna, Socialstyrelsen (2013).

553

En socialtjänst i utveckling

SOU 2014:23

Under hela 2012 vårdades omkring 7 400 personer med miss- bruks- och beroendeproblem i frivillig institutionsvård enligt socialtjänstlagen.

Familjerådgivning

Av 5 kap. 3 § SoL följer att kommunerna ska se till att familjeråd- givning erbjuds de som begär det. Syftet med familjerådgivningen kan sägas vara att genom samtal medverka till bearbetning av sam- levnadsproblem och konflikter m.m. i par- och familjerelationer. Det kan uppmärksammas att familjerådgivningen utgör en i sekre- tesshänseende självständig verksamhet i socialtjänsten. Antalet ärenden i kommunernas familjerådgivning uppgick till omkring 33 000 under år 2012.10

18.3Ansvar för Statens institutionsstyrelse (SiS)

Statens institutionsstyrelse (SiS) ansvarar för den statligt bedrivna ungdoms- och missbrukarvården som bedrivs utan individens eget samtycke enligt lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, lagen med särskilda bestämmelser om vård av unga samt lagen (1998:603) om verkställighet av sluten ungdoms- vård, förkortad LSU.

SiS ansvarar för själva utförandet och verkställigheten, även om planeringen görs i nära samverkan med den enskildes hemkommun.

18.4Ansvar för landstingen

Även landstingen har ett ansvar för att avhjälpa sociala problem eller påverka förhållanden som orsakar eller förstärker problemen. Av hälso- och sjukvårdslagen (1982:763), förkortad HSL, följer att landstingen exempelvis har ansvar för habilitering och rehabilite- ring rörande personer med missbruk och psykiska problem. Vidare har landstinget ett ansvar för funktionshindrades behov av hjälp- medel. Landstingens ansvar omfattar dock inte sådana insatser som en kommun har ansvar för, exempelvis rehabilitering och habilite- ring för personer i särskilda boenden.

10 Kommunal familjerådgivning under 2012, Socialstyrelsen (2013).

554

SOU 2014:23

En socialtjänst i utveckling

18.5Samverkan med andra huvudmän

Förutom kommunerna, som har huvudansvaret för den sociala omsorgen, finns det några aktörer med olika uppdrag vad gäller att påverka människors livssituation i en positiv riktning. Ett exempel på en sådan aktör är arbetsförmedlingen och dess ansvar för att underlätta ny- och återinträde på arbetsmarknaden. Detta gäller inte minst bland personer med psykisk ohälsa eller missbruks- problematik. Ytterligare en aktör med en viktig roll i detta sam- manhang är Försäkringskassan.

Även skolan har ett ansvar för elever i behov av särskilt stöd och kan ofta behöva samverka med kommunens socialtjänst i olika frågor för att hjälpa barn och unga med sociala utmaningar.

Över huvud taget förekommer mycket samverkan mellan olika aktörer för att stötta de personer som är i behov av insatser av olika karaktär för att kunna förbättra sin livsföring eller öka sina förutsättningar att t.ex. få en sysselsättning. Lagstiftaren har även tagit initiativ för att öka förutsättningarna för samverkan. Av 3 § HSL följer att landstinget får träffa överenskommelse med kom- mun, Försäkringskassa och Arbetsförmedlingen om att inom ramen för landstingets uppgifter samverka i syfte att uppnå en effektivare användning av tillgängliga resurser. Landstinget ska bidra till finansiering av sådan verksamhet som bedrivs i samverkan. Enligt bestämmelser i lagen (2003:1210) om finansiell samordning av rehabiliteringsinsatser får landstinget delta i finansiell samord- ning inom rehabiliteringsområdet. Motsvarande bestämmelser finns för kommunens del i 2 kap. 6 § SoL.

För att sådan finansiell samordning ska komma till stånd krävs att Försäkringskassa, Arbetsförmedling, landsting och kommun deltar som samverkande parter. Den finansiella samordningen ska bedrivas genom ett fristående samordningsförbund där parterna är representerade. Målgruppen består av personer som är i behov av samordnade rehabiliteringsinsatser från flera av de samverkande parterna med det primära syftet att uppnå eller förbättra sin förmåga till förvärvsarbete. Ett annat viktigt syfte är att förhindra att människor hamnar mellan stolarna eller blir föremål för en rundgång mellan olika aktörer.

Samordningsförbundet ska, inom ramen för den finansiella sam- ordningen, finansiera samordnade rehabiliteringsinsatser och andra aktiva åtgärder inom de samverkande parternas ansvarsområde. Förbundet ansvarar också för lokal uppföljning och utvärdering.

555

En socialtjänst i utveckling

SOU 2014:23

Däremot får samordningsförbundet inte ägna sig åt myndighets- utövning gentemot enskilda personer. Det ansvarar alltså inte får själva rehabiliteringsinsatserna eller andra aktiva åtgärder i enskilda fall. De samverkande parterna behåller sitt nuvarande ansvar för rehabilitering och annat stöd till enskilda personer. Rehabiliterings- insatser och andra aktiva åtgärder beviljas i de enskilda fallen av respektive samverkande part.

Ett resultat av den finansiella samordningen kan exempelvis vara att parterna finansierar särskilda projekt som syftar till effektiv samverkan för att uppnå målen. Det kan bl.a. handla om att för- bundet stöder en integrerad verksamhet med representanter från de olika aktörerna som alla tillsammans arbetar för att öka den enskildes möjligheter till förvärvsarbete. Som ett av flera exempel på detta kan nämnas projektet Columbus i Göteborg. Det är ett initiativ som integrerar personal från landstinget (psykiater), kom- munen (psykologer och coacher), Försäkringskassan (coach) och Arbetsförmedlingen (coach). Personalen arbetar i samma lokaler och tar ett gemensamt ansvar för unga vuxna mellan 18–29 år med psykisk ohälsa och svårigheter att komma ut i arbetslivet. Även om personalen har sina grundanställningar hos respektive aktör bedrivs själva verksamheten helt integrerat för att kunna stötta den unge på ett optimalt sätt. Ingen myndighetsutövning förekommer utan det är i stället fråga om att gemensamt och utifrån varje profession utföra de vård-, omsorgs- och stödinsatser som behövs för att öka förutsättningarna för den unge vuxne att få ett arbete.

18.6Privata utförare i socialtjänsten

Kommunerna har möjligheter att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Det finns i dag ett antal tänkbara sätt att göra detta. Ett är att genom ett avtal anlita en extern leverantör som åtar sig att för kommunens räkning varaktigt och självständigt utföra en eller flera tjänster på social- tjänstens område. Ett sådant avtal innebär dock inte att kommunen kan frånhända sig till övergripande ansvar som huvudman för verksamheten. Det innebär exempelvis att kommunen alltid har ett ansvar för den utförda verksamhetens inriktning och kvalitet. Ansvaret omfattar även uppföljning och utvärdering.

En kommun kan även köpa enstaka platser eller tjänster på privata anläggningar. I sådana fall har kommunen inget ansvar för

556

SOU 2014:23

En socialtjänst i utveckling

verksamhetens inriktning, men alltjämt för att de insatser den enskilde får håller god kvalitet.

18.6.1Valfrihetssystem i socialtjänsten

Många kommuner har även valt att införa valfrihetssystem enligt lagen (2008:962) om valfrihetssystem, förkortad LOV, på social- tjänstens område, vilket innebär att antalet privata utförare har ökat de senast åren. LOV har gjort det möjligt för kommuner som vill konkurrenspröva verksamheter att överlåta valet av utförare av stöd, vård- och omsorgstjänster på socialtjänstområdet till individen. Precis som för hälso- och sjukvården anger kommunen i ett förfrågningsunderlag de villkor som leverantören ska uppfylla för att bli godkänd. LOV förändrar inte det faktum att kommunen är huvudman för verksamheten och har därmed ansvar för att tjänsterna tillhandahålls individen enligt lagstiftningen och att de motsvarar uppställda kvalitetskrav.

Fram till 2011 hade 248 av landets 290 kommuner sökt och beviljats stimulansmedel för att förbereda eller utveckla valfrihets- system enligt LOV inom äldreomsorg och när det gäller stöd- insatser för personer med funktionsnedsättning. Det är vanligast att valfrihetssystemen omfattar en kombination av service och omvårdnadsinsatser inom hemtjänsten, enligt Socialstyrelsens del- rapport Stimulansbidrag LOV (2012).

Enligt Sveriges Kommuner och Landsting, SKL, fanns i oktober 2013 valfrihetssystem infört i sammanlagt 144 kommuner. Ytter- ligare 37 kommuner hade vid detta tillfälle beslutat om att införa valfrihetssystem enligt LOV medan 42 kommuner beslutat att inte göra detta. I 38 av de 67 kommuner som ännu inte tagit ställning utreds frågan om ett införande.

Kommunernas möjligheter att genom upphandling eller in- förande av valfrihetssystem överlåta utförandet av socialtjänst till privata aktörer har gjort att mångfalden av utförare i dag är betydligt större än vad det har varit tidigare. Under 2010 fanns det t.ex. 687 externa utförare inom kommunernas valfrihetssystem, enligt Konkurrensverkets delrapport Kommunernas valfrihets- system – så fungerar konkurrensen. Utredningen om framtida valfrihetssystem inom socialtjänsten presenterar i sitt betänkande att siffran i juli 2013 var uppe i 846 unika utförare anslutna till

557

En socialtjänst i utveckling

SOU 2014:23

kommunernas valfrihetssystem.11 I betänkandet uppmärksammas även att det totalt finns 618 privata utförare anslutna till kom- muneras valfrihetssystem rörande hemtjänst. Det kan jämföras med Konkurrensverkets undersökning som visar 499 privata utförare beträffande hemtjänst i slutet av 2011.12 Under perioden, drygt 18 månader, har således 119 privat utförare tillkommit, en ökning med

24procent.

När det gäller äldreomsorgen framgår av Socialstyrelsens Äldre-

guide att det 2011 fanns omkring 2700 särskilda boenden i Sverige. Av dessa var 900 kortidsboenden och 325 servicehus. Vidare fram- går att 84 procent av dessa drivs i kommunal regi och 16 procent i privat regi. De privata utförarna har i genomsnitt fler äldre personer per enhet, 44 personer jämfört med 33 för kommunala utförare. Det gör att det vid denna tidpunkt var ungefär 20 procent av de äldre som vistades på ett särskilt boende som drivs i privat regi jämfört med 80 procent i kommunala boenden. Variationerna bland landets kommuner är dock väldigt stora.

För att få en ännu mer rättvis bild över andelen privata utförare i socialtjänsten skulle man även behöva ta reda på hur många privata utförare som kommunerna har upphandlat genom lagen (2007:1091) om offentlig upphandling, förkortad LOU. Vi har dock inte fått fram några sådana siffror som vi kan presentera. Konstateras kan dock att mångfalden av utförare har ökat i betydande omfattning i socialtjänsten de senaste åren.

Olika varianter av valfrihetssystem

Bland kommunerna förekommer ett antal olika varianter för valfri- hetssystemet. Förutom skillnader i ersättningssystem m.m. finns skillnader i vilka tjänster man väljer ska ingå i valfrihetssystemet, dvs. för vilka tjänster individen själv kan välja utförare. Enligt SKL är det i oktober 2013 156 kommuner som har valfrihet inom hem- tjänsten. Av dessa har 127 kommuner valfrihet både för omvård- nads- och servicetjänster, medan 29 kommuner har valfrihet endast för servicetjänster. Noteras kan även att 53 kommuner för hem- sjukvården. Endast 10 kommuner har valfrihetssystem för särskilt boende för äldre.

11SOU 2014:2, Framtidens valfrihetssystem – inom socialtjänsten, s. 73.

12Kommunernas valfrihetssystem, Konkurrensverket, Rapport 2013:1.

558

SOU 2014:23

En socialtjänst i utveckling

När det gäller de kommuner som har infört valfrihetssystem i hemsjukvården föreligger även stora skillnader i utbudet för den enskilde. I 8 av de 53 kommunerna har valfrihetssystem införts i hela hemsjukvården, dvs. för alla insatser som ges med stöd av HSL. I resterande 45 kommuner har valfrihetssystemet endast införts för de hälso- och sjukvårdsinsatser som utförs av personal utan legitimation. I dessa kommuner har alltså ansvaret för insatser av sjuksköterskor, arbetsterapeuter och sjukgymnaster behållits av kommunen själv, medan insatser gjorda av omsorgspersonal utförs av de organisationer som ingår i valfrihetssystemet. Det benämns ibland som delegerad hemsjukvård.

En sådan lösning kräver en tät och tydlig samverkan mellan den kommunala delen av hemsjukvården och den aktör som den enskilde valt för utförandet av omvårdnads- och delegerade insatser. Även med landstinget förekommer en viktig samverkan eftersom landstinget ansvarar för läkarinsatserna inom ramen för hemsjuk- vården. Insatser som även de kan utföras av privata vårdgivare.

Utredningen om framtida valfrihetssystem inom socialtjänsten

Utredningen om framtida valfrihetssystem inom socialtjänsten har i sitt nyligen överlämnade delbetänkande bland annat beskrivit hur valfrihetssystemen har utvecklats och vilken betydelse de har haft för enskilda.13 Utredningen har gjort en kartläggning av befintliga utförare och jämfört kvalitet, kostnader och effektivitet mellan kommuner som tillämpar respektive inte tillämpar lagen om valfri- hetssystem. Utredningen belyser även sambandet mellan vinst- utdelning, ersättningssystem och kvalitet samt frågor om kvalitet- säkring och ekonomisk uppföljning.

Utredningens bedömning är att en enskild uppskattar möjlig- heten att välja utförare av hemtjänst och att möjligheten att välja bör inte vara beroende av i vilken kommun man bor. Mot den bak- grunden föreslås att en ändring i socialtjänstlagen görs som innebär att kommunerna ska vara skyldiga att skapa förutsättningar för enskilda att välja mellan olika utförare inom hemtjänsten. Det ska vara upp till en kommun att själv bestämma i vilken omfattning som ska omfattas av valfrihetslösningen.

För att det ska vara möjligt för en enskild att tillgodogöra sig fördelarna med valfrihet är att de har tillräckliga underlag för att

13 SOU 2014:2.

559

En socialtjänst i utveckling

SOU 2014:23

göra ett val. Utredningen föreslår därför att Socialstyrelsen får i uppdrag att ta fram en vägledning till stöd för personal i deras arbete med att informera en enskild vid valet av utförare. I upp- draget bör även ingå att Socialstyrelsen ska ta fram en vägledning för hur informationen kan förmedlas och göras tillgänglig för en enskild med nedsatt beslutsförmåga.

I betänkandet uppmärksammas även hur valfrihetssystemet har bidragit till att sätta fokus på frågor om kvalitet och kvalitets- säkring. Följande faktorer lyfts fram som särskilt viktiga för att få till stånd en fungerande uppföljning av kvaliteten i socialtjänsten.14

Riktlinjer och stöd för hur kommunerna kan genomföra en ändamålsenlig uppföljning.

Förtydligande av kommunernas ansvar för kvaliteten i upp- handlad verksamhet.

Offentliggörande av resultaten av uppföljningen

18.7Sammanfattande reflektioner

Socialtjänsten har, i likhet med hälso- och sjukvården, genomgått en omfattande strukturförändring under senare år. Mångfalden av utförare har ökat liksom specialiseringen mellan utförarna. Med- borgarna kan i större utsträckning själv välja utförare för hela eller delar av de insatser som beviljats. Samarbetet med andra aktörer har utvecklats och ställs inför nya utmaningar.

Utredningen om framtida valfrihetssystem anför exempelvis följande, som enligt vår uppfattning sammanfattar situationen på ett bra sätt.15

Detta får till följd att antalet aktörer som är delaktiga i vård och omsorg ökar. Valfrihetssystem ställer krav på samarbete i nya former eftersom de aktörer som utför omsorgen av en brukare kan komma att vara fler och variera över tid. Samarbete mellan aktörer och organisa- tioner bygger på relationer mellan människor och ju fler sådana rela- tioner som finns kring en brukare desto högre blir kraven på fungerande rutiner för samverkan.

14SOU 2014:2 s. 128.

15SOU 2014:2 s. 57.

560

SOU 2014:23

En socialtjänst i utveckling

Vi delar denna beskrivning och kan konstatera att såväl kraven på som behoven av samverkan inom och utom socialtjänsten sannolikt är större än någonsin tidigare. Till skillnad mot tidigare när de stora samverkansbehoven framför allt ansågs finnas mellan kommuner och landsting finns dagens behov av samverkan även inom en och samma kommun och ett och samma landsting, dvs. mellan det stora antal utförare av socialtjänst och vårdgivare i hälso- och sjukvården som har etablerats med offentlig finansiering under de senaste åren.

Enskilda i socialtjänsten och patienter i hälso- och sjukvården rör sig därmed i dag i ett helt annat landskap än förut, när det i princip uteslutande talades om gränsen mellan kommuner och landsting. De gränserna har blivit allt fler i dag. På en övergripande nivå blir det även tydligt att nya samverkansformer utvecklas mellan det offentligas och det privatas intresse- och samarbets- organisationer.

Sammantaget är bilden i dag mer komplex än tidigare, vilket även innebär att det behöver finnas goda förutsättningar för att samverka på ett ändamålsenligt sätt för att individer ska få bästa möjliga socialtjänst och hälso- och sjukvård. Det är inte minst viktigt att de legala kraven på samverkan backas upp av legala förut- sättningar för en sådan samverkan.

Vidare kan konstateras att huvudmännens lagstadgade ansvar för socialtjänst, och för den delen även hälso- och sjukvård, är bestående och påverkas i sig inte av valfrihetsreformernas införande. Däremot är det tydligt att formerna för och kraven på samverkan mellan kommuner och landsting påverkas av att valfrihetssystem blivit obligatoriska inom primärvården och ökat i omfattning inom socialtjänsten. Detta medför bl.a. ökade och delvis nya behov av en samlad kvalitetssäkring och kvalitetsutveckling av socialtjänstens verksamhet. För huvudmannen behöver det därför finnas goda förutsättningar att säkra kvaliteten i den socialtjänst som invånarna får, alldeles oavsett om socialtjänsten drivs av kommunen själv eller av en privat aktör.

Sedan vill vi återigen understryka att socialtjänsten har ett viktigt och diversifierat uppdrag som rör en mängd olika situ- ationer i människors liv. I olika delar av landet och ibland i olika delar av samma kommun föreligger även skillnader i omfattning och förutsättningar för verksamheten. Det kan därför vara något vanskligt att prata om socialtjänst som något allt igenom homogent och enhetligt. Samtidigt är de grundläggande värderingarna och övergripande målen som uttrycks genom socialtjänstlagen samma

561

En socialtjänst i utveckling

SOU 2014:23

för all socialtjänst som bedrivs. De grundförutsättningar som lag- stiftningen om informationshantering tillhandahåller bör därför så långt möjligt vara såväl robusta, för att exempelvis bidra till en bibehållen rättssäkerhet, som flexibla för att möta de skillnader som finns i organisationsformer, mångfald och andra faktorer.

562

19Informationshantering inom socialtjänsten

19.1Bakgrund

Socialtjänstens uppdrag spänner över ett väldigt brett område som innehåller många olika uppgifter och ansvarsområden. Det handlar exempelvis om att ge stöd och hjälp till utsatta barn och deras familjer, att ge vård och behandling till personer med missbruks- problematik, att ge daglig vård och omsorg om äldre samt ge stöd och service till personer med psykisk ohälsa eller funktionshinder. I socialtjänstens uppdrag ingår även att ge ekonomiskt bistånd till personer med svårigheter att försörja sig och att ta emot flyktingar och invandrare på ett ändamålsenligt sätt.

Socialtjänstens breda verksamhetsområde medför att informations- hanteringen är mångfacetterad i den meningen att information hanteras för många olika ändamål, i flera olika processer, under olika långa tidsperioder och utbyts av ett antal olika aktörer beroende på vad saken rör.

Som redovisas närmare i avsnitt 18 har kommunen det yttersta ansvaret för socialtjänsten inom sitt område, men i praktiken finns som visats många andra aktörer som tillsammans med och vid sidan av kommunen bidrar till att enskilda får det stöd som lagstiftningen om socialtjänst föreskriver. Informationshanteringen förekommer inte sällan i olika skeden av processen, exempelvis initialt av kommunen i samband med en individuell behovsbedömning (biståndsbedömning) och därefter av en kommunal eller privat utförare i samband med genomförandet av beslutade insatser. Dokumentation kan även ske i sådan verksamhet som erbjuds som råd och service, dvs. verksamhet som enskilda kan vända sig till utan att först ha ansökt och fått insatsen beviljad genom ett biståndsbeslut.

563

Informationshantering inom socialtjänsten

SOU 2014:23

19.2Dokumentation och handläggning för rättssäkerhet, kvalitet och insyn

Både i socialtjänstlagen (2001:453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, finns bestämmelser om krav på dokumentation. I lagarna uttrycks som en utgångspunkt att handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärenden samt faktiska omständigheter och händelser av betydelse.

Vidare anges att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Genom hänvisningar till förvaltningslagens (1986:223) bestämmelser tydliggörs även att socialtjänsten bland annat har att tillämpa reglerna om remiss, en parts rätt att meddela sig munt- ligen, en parts rätt att få del av uppgifter, motivering av beslut, underrättelse av beslut m.m.

Ett grundläggande syfte med dokumentationen är att tillgodoses den enskildes rättsäkerhet, dvs. att den enskilde ska få sin sak prövad och avgjord på ett sakligt och opartiskt sätt. Allt som har kommit fram i en utredning om den enskilde och som har avgörande betydelse för en myndighets ställningstagande i ett ärende ska dokumenteras. Dokumentation och den enskildes rätt till insyn i ärenden som rör myndighetsutövning stärker den enskildes skydd mot felaktig eller bristfällig myndighetsutövning. 1 Dokumentationen är därför viktig för att den enskilde sak kunna klaga eller begära rättelse och för att förvaltningsdomstolar ska få det underlag som beslutsfattaren har haft för att kunna pröva ett överklagande.

Det individuella tjänstemannaansvaret i socialtjänsten medför att det är den enskilde tjänstemannen som är ansvarig för innehållet i den anteckning som han eller hon gör om varje enskild person. Det är viktigt för personalens rättsliga ställning och ansvar att dokumentera uppgifter som rör det enskilda ärendet och ärendets

1 Myndighetsutövning är beslut eller andra åtgärder som ytterst är ett uttryck för samhällets maktbefogenheter i förhållande till medborgarna. Det behöver inte vara frågan om åtgärder som innebär förpliktelser för enskilda utan kan även vara gynnande beslut t.ex. bistånd. Ärenden som avgörs genom att myndigheten träffar avtal eller överenskommelser i saken med enskild faller utanför tillämpningsområdet för förvaltningslagens särskilda bestäm- melser om myndighetsutövning.

564

SOU 2014:23

Informationshantering inom socialtjänsten

handläggning. Dokumentation ska säkerställa god kvalitet i såväl beslutsfattande som genomförande av en insats.

En korrekt och fullständig dokumentation underlättar även en individuell uppföljning av om den enskilde får den insats som han eller hon är berättigad till enligt beslut samt om insatserna ges i enlighet med fastställda kvalitetskriterier och normer. Det är också viktigt för att den enskilde ska få kontinuitet när det gäller beslutade och överenskomna insatser. Det är en skyldighet för ansvarig tjänsteman att dokumentera och detta gäller oberoende av den enskildes inställning till dokumentationen som sådan. (11 kap. 5 § SoL och 21 a § LSS). Den enskilde kan således inte motsätta sig sådan dokumentation som enligt lag ska göras i socialtjänsten.

Ett annat viktigt syfte med dokumentationen är att möjliggöra för kommunen som huvudman att kunna följa upp och utvärdera sin verksamhet samt att planera olika insatser och aktiviteter. En god dokumentation underlättar också för ett systematiskt och fortlöpande arbete med att utveckla och säkra verksamheter så att man kan upprätthålla en god kvalitet.

19.3Informationshantering i olika skeden

Även om informationshantering inom socialtjänsten förekommer kontinuerligt kan det urskiljas tre eller fyra olika skeden som vart och ett ligger till grund för att uppgifter om enskilda dokumenteras och används. Det första skedet kan utgöras av den förhandsbedöm- ning en socialnämnd gör angående skälen att inleda en utredning enligt 11 kap. SoL. Det kan exempelvis handla om en bedömning om det finns skäl att inleda en utredning för att ta reda på om ett barn är i behov av särskilt skydd.

En stor del av informationshanteringen görs sedan i nästa skede när en individuell behovsbedömning görs. I det skedet dokumen- teras och inhämtas uppgifter för att en biståndshandläggare ska kunna fatta beslut om socialtjänstinsatser som den enskilde har ansökt om, t.ex. hemtjänst. När sedan insatserna är beslutade och genomförs av personal inom hemtjänsten görs nästa steg i dokumentationsprocessen. Under genomförandefasen kan såväl kommunala som privata eller idéburna utförare står för insatserna och dokumentationen, i många fall beroende på vilken utförare den enskilde själv har valt. För att de beslutade insatserna ska kunna genomföras på ett ändamålsenligt sätt görs ett informationsutbyte

565

Informationshantering inom socialtjänsten

SOU 2014:23

mellan den kommunala verksamhet som fattat beslut om insatsen och den utförare som ska genomföra beslutet.

Som ett fjärde steg i processen hanteras ofta uppgifter om enskilda för att följa upp de insatser som har genomförts. Det kan exempelvis handla om att kommunen som huvudman följer upp att den enskilde får den beviljade insatsen utförd enligt nämndens beslut och gällande författningar.

Under den myndighetsutövande processen socialtjänsten utreder och fattar beslut i ärenden hanteras information i första hand av kommunen som huvudman. I detta skede inhämtas vanligtvis även information från andra källor som bedöms nödvändiga för att driva utredningen framåt och fatta ett beslut på goda grunder. Förutom från den enskilde som omfattas av utredningen förekommer att kommunen inhämtar information exempelvis från anhöriga, hälso- och sjukvården, skolan, polisen m.fl.

I vissa ärenden förekommer även en omfattande informations- inhämtning från andra myndigheter eller andra aktörer som Centrala studiestödsnämnden (CSN), Försäkringskassan, Skatte- verket, Arbetsförmedlingen, Pensionsmyndigheten samt arbets- löshetskassorna. Dessa har en uppgiftsskyldighet i förhållande till kommunernas socialnämnder, vilken ger socialnämnden rätt att inhämta omfattande uppgifter om enskilda för sin egen hand- läggning av exempelvis ärenden om ekonomiskt bistånd. I ett antal olika författningar medges även att socialnämnden har direkt- åtkomst till de uppgifter som dessa myndigheter ska lämna ut till socialnämnden.2 Det innebär att socialnämnden i stor utsträckning på eget initiativ kan bereda sig åtkomst till de uppgifterhos t.ex. CSN som behövs för att socialnämnden ska kunna fatta beslut i ett enskilt ärende. I dagsläget görs socialnämndens informations- inhämtning i viss mån elektroniskt, men till stor del förekommer även en manuell hantering genom brev, fax eller telefon. På uppdrag av E-delegationen driver CSN i samverkan med bl.a. Sveriges Kommuner och Landsting, Försäkringskassan och Arbets- förmedlingen projektet Effektiv informationsförsörjning (EIF). Syftet att minska den manuella hanteringen genom att bygga en tjänst som möjliggör för kommunen att via sitt verksamhetssystem elektroniskt inhämta information från flera myndigheter samt a- kassornas samorganisation. Förhoppningen är att projektet ska leda

2 Se bl.a. studiestödsdataförordning (2009:321), förordning (2003:766) om behandling av personuppgifter inom socialförsäkringens administration och lag (2002:546) om behandling av personuppgifter i den arbetsmarknadspolitiska verksamheten.

566

SOU 2014:23

Informationshantering inom socialtjänsten

till en förenklad och mer säker hantering av informationen samt frigöra arbetstid i kommunens handläggningsprocess.

19.4Den rättsliga regleringen av dokumentation och personuppgiftsbehandling

Generellt kan sägas att den rättsliga regleringen för informations- hantering inom socialtjänsten inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentations- frågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författnings- bestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i socialtjänsten återfinns framför allt i förvaltningslagen, socialtjänstlagen och de särskilda lagarna om vård av unga, vård av missbrukare samt stöd och service till vissa funktionshindrade. Socialstyrelsen har även utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt socialtjänstlagen, lag med särskilda bestämmelser om vård av unga, lag om vård av missbrukare i vissa fall och lag om stöd och service till vissa funktionshindrade.

Socialtjänstens hantering av personuppgifter regleras sedan genom närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Dessutom tillämpas bestäm- melserna i personuppgiftslagen (1998:204), förkortad PUL.

Av de grundläggande bestämmelserna i SoL och LSS följer krav på att handläggningen av ärenden som rör enskilda samt genom- förande av beslut om stödinsatser, vård och behandling ska doku- menteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse. Handlingar som rör enskildas personliga förhållanden skall förvaras så att obehöriga inte får tillgång till dem.

Vidare anges att dokumentationen ska utformas med respekt för den enskildes integritet och att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne. Om den enskilde anser att någon uppgift i dokumentationen är oriktig ska detta antecknas

567

Informationshantering inom socialtjänsten

SOU 2014:23

19.4.1Socialstyrelsens föreskrifter SOSFS 2006:5

Socialstyrelsen har bland annat för att komplettera de förhållande- vis få bestämmelser i lagstiftningen som rör dokumentation vid själva utförandet av insatser inom socialtjänsten utfärdat före- skrifter och allmänna råd på området3. Genom föreskrifterna tydliggörs kraven på dokumentationens innehåll och utformning, bland annat att handlingar som rör enskilda ska innehålla tillräck- liga, väsentliga och ändamålsenliga uppgifter. När det gäller barn finns i vissa fall krav på genomförandeplan (jfr 11 kap. 3 § andra stycket SoL).

När det gäller dokumentationen i samband med genomförande av insatser bör det i en genomförandeplan framgå hur en beslutad insats praktiskt ska genomföras. I allmänna råd framgår att genom- förandeplanen bör

i regel upprättas inom den verksamhet som svarar för det praktiska genomförandet, och

med utgångspunkt i ett beslut om en insats och målet för insatsen beskriva hur den praktiskt ska genomföras.

Av planen, som bör höra till den enskildes personakt, ska vidare framgå

om det ingår flera delar i insatsen och i sådant fall vilka,

vilka mål som gäller för insatsen eller delar av den,

när och hur insatsen eller delar av den ska genomföras,

på vilket sätt den enskilde har utövat inflytande över planeringen,

vilka personer som har deltagit i planeringen,

när planen har fastställts, och

när och hur planen ska följas upp.

Vidare följer av föreskrifterna att genomförandet av ett beslut om en insats ska dokumenteras fortlöpande. Om en beslutad insats genomförs av den beslutande nämnden, bör dokumentationen som rör handläggningen av ärendet och genomförandet av insatsen hållas samman i en och samma personakt.

3 SOSFS 2006:5 Socialstyrelsens föreskrifter och allmänna råd om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS.

568

SOU 2014:23

Informationshantering inom socialtjänsten

Om en beslutad insats däremot genomförs i privat verksamhet bör dokumentationen under genomförandet hållas samman i en personakt hos den som genomför insatsen.

Av journalen som förs regelbundet bör det bland annat framgå när insatsen har påbörjats, om det inträffat omständigheter som gjort att insatsen inte har kunnat genomföras som planerat, vad som har kommit fram av betydelse i kontakt med den enskilde, hur de enskildes behov har förändrats, när och av vilka skäl insatsen har avslutats m.m.

19.4.2Lagen om behandling av personuppgifter inom socialtjänsten

Lagen tillämpas vid personuppgiftsbehandling inom socialtjänsten om behandlingen är helt eller delvis automatiserad eller om uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt ett eller flera särskilda kriterier. Lagen omfattar både myndigheter och privata verksamheter som hanterar person- uppgifter inom socialtjänstens område

Med socialtjänst avses enligt lagen

1.verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård utan samtycke av unga eller missbrukare,

2.verksamhet som i annat fall enligt lag handhas av socialnämnd,

3.verksamhet som i övrigt bedrivs av Statens institutionsstyrelse,

4.verksamhet hos kommunal invandrarbyrå,

5.verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade

6.handläggning av ärenden om bistånd som lämnas av socialnämnd enligt lagstiftningen om mottagande av asylsökande m.fl.,

7.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

8.handläggning av ärenden om tillstånd till parkering för rörelse- hindrade, samt

9.verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall.

569

Informationshantering inom socialtjänsten

SOU 2014:23

Med socialtjänst avses även tillsyn, uppföljning, utvärdering, kvalitets- säkring och administration av verksamhet som avses i punkterna 1– 9 ovan.

Enligt 6 § SoLPUL får personuppgifter bara behandlas om behandlingen är nödvändig för att arbetsuppgifter inom social- tjänsten ska kunna utföras. Någon reglering, likt den i patient- datalagen (2008:355), av för vilka ändamål personuppgifter ska få behandlas innehåller lagen därmed inte.

Lagen ger socialtjänsten stöd för att behandla person- och samordningsnummer, känsliga personuppgifter som avses i 13 § PUL samt även uppgifter om lagöverträdelser, om uppgifterna har lämnats in i ett ärende eller är nödvändiga för verksamheten (7 §). Det sista kan sägas vara ett uttryck för den försiktighetsprincip som socialtjänsten ska iaktta vid behandlingen av personuppgifter4.

Förutom personakter som upprättas i socialtjänstverksamheten görs även olika typer av sammanställningar av uppgifter om individerna. Sammanställningarna kan vara både automatiserade och manuella och sökbara på ett eller flera kriterier. I sådana sammanställningar av personuppgifter i socialtjänsten får det som huvudregel inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (7 a §). Från huvud- regeln finns emellertid undantag för

1.uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelse som ett sådant beslut grundar sig på,

2.uppföljning, utvärdering och kvalitetssäkring,

3.tillsynsverksamhet som bedrivs av Socialstyrelsen,

4.administration som bedrivs av Statens institutionsstyrelse centralt

5.verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall.

I fråga om utlämnande av uppgifter innehåller lagen inga särskilda bestämmelser utan endast hänvisningar till vad som följer av offentlighets- och sekretesslagen (2009:400), förkortad OSL, socialtjänstlagen och lagen om stöd och service till vissa funktions- hindrade. Det innebär bl.a. att uppgifter som får lämnas ut kan lämnas ut på medium för automatiserad behandling om person-

4 Jfr prop. 2000/01:80 s. 176.

570

SOU 2014:23

Informationshantering inom socialtjänsten

uppgiftsbehandlingen som sådan är tillåten enligt personuppgifts- lagen.

Närmare om sammanställningsregister

Hos socialtjänsten finns personuppgifter om enskilda framförallt i en personakt. En personakt är en akt med handlingar som rör en eller flera enskilda personer. Det blir allt vanligare att en personakt för med hjälp av ADB, så kallad elektronisk akt.5 Hur en personakt förs varierar mellan olika kommuner men som regler läggs en akt upp på den person som ärendet gäller eller på en person som har valts till så kallad registerledare. Akterna innehåller en mängd uppgifter om den enskilde och hans eller hennes anhöriga. En akt kan även innehålla löpande anteckningar från samtal som förs med den enskilde i samband med planering och genomförande av insatser. Även tidigare utredningar och läkarintyg m.m. kan finnas i en personakt. En personakt innehåller således handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats hos socialnämnden.6 Den del av en personakt där anteck- ningar av betydelse för handläggning av ett ärende och genom- förande av en insats görs kontinuerligt och i kronologisk ordningen kallas journal. 7Förutom de personakter som upprättas görs även olika typer av sammanställningar av uppgifter om enskilda inom socialtjänsten. I dag används begreppet sammanställning av person- uppgifter.

Begreppet sammanställning av uppgifter i personakt har funnits med sedan införandet av personuppgiftslagen. Med begreppet avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Med dessa sammanställningar avses sådant som upprättas inom socialtjänsten för bland annat att under- lätta administrationen och vilka utgör ett slags register i mer inskränkt betydelse. Sammanställningarna, eller sammanställningsregister som de ibland kallas, används främst som stöd för handläggning, beslut och i samband med verkställigheten av besluten. När det gäller verk- ställighet av beslut kan de användas för genomförande av olika insatser eller utbetalningar m.m.

5Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 334 f.

6Socialstyrelsens handledning Dokumentation inom socialtjänsten LVU, LVM, LSS och m.m.

7Socialstyrelsens handledning Dokumentation inom SoL, LVU, LVM och LSS m.m.

571

Informationshantering inom socialtjänsten

SOU 2014:23

Registren används i första hand som stöd för handläggningen av de ärenden där socialtjänsten har en utredningsskyldighet och som stöd för de beslut som utredningen utmynnar i 8. Den används även som administrativt stöd vid handläggningen av arbetsplaner och utbetalningar av ekonomiskt bistånd. Till viss del används de även som underlag för tillsyn, uppföljning och utvärdering av social- tjänstens verksamhet. Registren underlättar också rapporteringen av uppgifter till Socialstyrelsen som under för den offentliga stati- stiken.

Sammanställningsregister skiljer sig från personakterna på det viset att det är tillgängliga på ett mer omedelbart sätt än som är fallet med personakter. Alltsedan socialtjänstlagens tillkomst har det funnits ett förbud för socialnämnderna att ta in uppgifter om ömtåliga personliga förhållanden i olika typer av sammanställningar av personuppgifter. Om sådana anteckningar behöver göras så är det nödvändigt att lägga upp en personakt och sedan får en hänvis- ning till personakten göras i sammanställningsregistret.

I sammanställningar av personuppgifter får i dag inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (jfr 7 a § SoLPUL). Med uppgifter om ömtåliga personliga förhållanden avses förutom känsliga person- uppgifter enligt personuppgiftslagen utan även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och som vars behandling kan anses vara kränkande för den personliga integriteten. Från detta förbud finns undantag för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och om den bestämmelsen som ett sådant beslut grundar sig på, uppföljning, utvärdering och kvalitets- säkring samt tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg. Undantaget gäller även för administration och tillsynsverksamhet som bedrivs av Statens institutionsstyrelse centralt. Uppgift som avslöjar medlemskap i fackförening får aldrig tas in i sammanställningarna.

8 Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 335.

572

SOU 2014:23

Informationshantering inom socialtjänsten

19.4.3Förordningen om behandling av personuppgifter inom socialtjänsten

Förordningen9 reglerar behandlingen av personuppgifter inom socialtjänsten för Statens institutionsstyrelse, kommunala myndig- heter, privat verksamhet och Socialstyrelsen enligt lagen om behandling av personuppgifter inom socialtjänsten.

Förordningen innehåller bland annat bestämmelser om person- uppgiftsansvar, tillåtna ändamål för personuppgiftsbehandlingen, direktåtkomst, sökbegrepp och samkörning.

Med privat verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd av Socialstyrelsen och sådan privat verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen (5 §).

Statens institutionsstyrelse

I 6 § förordningen anges att Statens institutionsstyrelse (SiS) är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som görs i dess verksamhet. Enligt 7 § får SiS bland annat behandla personuppgifter för platsanvisning och institutions- placering inom deras verksamhetsområde, dokumentation av vård, behandling och behandlingsresultat samt tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten.

Möjligheterna för SiS att göra samkörningar är begränsade i förordningen. Ett hem som drivs av SiS får inte hämta person- uppgifter från ett annat hem som drivs av SiS för samkörning (10 §).

Kommunal myndighet

Av förordningens 11 § framgår att en kommunal myndighet är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Om behandlingen görs gemensamt för flera myndigheter inom kommunen är varje myndighet personuppgiftsansvarig för sin egen behandling.

Vad avser ändamålen för behandling av personuppgifter (12 §) får en kommunal myndighet behandla personuppgifter för

9 Förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten.

573

Informationshantering inom socialtjänsten

SOU 2014:23

1.handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen och lagen om vissa kommunala befogenheter,

2.faderskapsutredningar, utredning om vårdnad av barn, adoptionsärenden samt annan verkställighet inom familjerätten,

3.handläggning av ärenden och annan verksamhet som följer av bestämmelserna i lagen med särskilda bestämmelser om vård av unga och lagen om vård av missbrukare i vissa fall,

4.handläggning av ärenden om insatser och för särskilda uppgifter som följer av bestämmelserna i lagen om stöd och service till vissa funktionshindrade,

5.handläggning av ärenden om tillstånd till parkering för rörelse- hindrade,

6.handläggning av ärenden om bistånd som lämnas av social- nämnd enligt lagstiftning om mottagande av asylsökande m.fl.,

7.handläggning av ärenden om introduktionsersättning för flyktingar och vissa andra utlänningar,

8.handläggning av ärenden och annan verksamhet inom social- tjänsten som utförs vid kommunal invandrarbyrå,

9.handläggning av ärenden som följer av bestämmelserna i lagen med särskilda bestämmelser om unga lagöverträdare och kör- kortsförordningen, samt

10.tillsyn, uppföljning, utvärdering, kvalitetssäkring och administra- tion av verksamheten.

Vid handläggning av ärenden och i verksamhet som avses i punkterna 1–9 får en kommunal myndighet endast använda upp- gifter om namn eller uppgift om person-, samordnings- eller ärendenummer som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar.

574

SOU 2014:23

Informationshantering inom socialtjänsten

Privat verksamhet

Privata utförare av socialtjänst är enligt 17 § i förordningen person- uppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet.

I privat verksamhet får personuppgifter behandlas för dokumen- tation av sådan vård, behandling eller omsorg av enskilda som ges inom verksamheten. Även de personuppgifter som behövs för administrationen av verksamheten får hanteras.

När det gäller samkörning av personuppgifter får ett boende, en öppen verksamhet eller en annan enhet i privat verksamhet inte hämta personuppgifter från annat boende, annan öppen verksamhet eller annan enhet inom privat verksamhet för behandling av uppgifter genom samkörning.

19.4.4Direktåtkomst och utlämnande på medium för automatiserad behandling

Ifråga om utlämnande av uppgifter i socialtjänsten gäller de begränsningar som finns i offentlighets- och sekretesslagen, social- tjänstlagen samt lagen om stöd och service till vissa funktions- hindrade. Dessa författningar tar i detta avseende framför allt sikte på frågan om huruvida uppgifter får lämnas ut, inte hur de i sådant fall får lämnas ut.

Avsaknaden av bestämmelser innebär inte att det är omöjligt att elektroniskt lämna ut uppgifter i socialtjänsten. Utlämnande av uppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § PUL, som är tillåten om utlämnandet görs i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på informations- säkerhetsåtgärder iakttas. Dessutom måste utlämnandet ske med beaktande av bestämmelser om sekretess och tystnadsplikt.

Sammanfattningsvis gäller således att uppgifter kan lämnas ut elektroniskt mellan olika verksamheter inom socialtjänsten om personuppgiftsbehandlingen som sådan är tillåten samt sekretessen för uppgifterna bryts, t.ex. genom den enskildes samtycke.

Däremot är direktåtkomst mellan olika verksamheter med sekretessgränser mellan sig inte möjligt i socialtjänsten. Det saknas exempelvis bestämmelser som motsvarar hälso- och sjukvårdens möjligheter att i system för sammanhållen journalföring hålla

575

Informationshantering inom socialtjänsten

SOU 2014:23

uppgifter från flera olika vårdgivare tillgängliga för varandra genom direktåtkomst. Olika privata utförare av socialtjänst kan således inte ta del av varandras uppgifter om individen genom direkt- åtkomst. Inte heller kan en kommunal utförare av socialtjänst med direktåtkomst få tillgång till en privat utförares dokumentation om den enskilde.

19.5Sekretess på socialtjänstens område

När det gäller den offentligt utförda socialtjänsten finns relevanta bestämmelser i 26 kap. offentlighets- och sekretesslagen. Sekretess gäller inom socialtjänsten för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller närstående lider men (26 kap. 1 §). Med social- tjänst förstås enligt samma bestämmelse huvudsakligen verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstift- ningen om våra av unga och missbrukare utan samtycke samt verksamhet som i annat fall enligt lag bedrivs av socialnämnd eller av Statens institutionsstyrelse.

Sekretess gäller dessutom även i kommunal familjerådgivning för uppgift som en enskild har lämnat i förtroende eller som har inhämtats i samband med rådgivningen.

För privat verksamhet inom socialtjänsten, t.ex. utförare av hemtjänst, finns bestämmelser om tystnadsplikt i 15 kap. 1 § SoL. Den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen får inte obehörigen röja vad han eller hon i det sammanhanget har fått veta om enskildas personliga förhållanden. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i sekretesslagens regler.10 Den bakomliggande tanken är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon är föremål för insatser från en privat eller offentlig verksamhet.

I OSL finns några sekretessbrytande bestämmelser på social- tjänstens område. Av 26 kap. 9 § framgår att sekretess inte hindrar att uppgift om en enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller

10 Bl.a. prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.

576

SOU 2014:23

Informationshantering inom socialtjänsten

annat stöd och denne (1) inte har fyllt arton år, (2) fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller (3) vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid kvinna eller någon närstående till henne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet.

Inte heller hindrar sekretess att uppgift i verksamhet som avses i 7 kap. 5 § SoL lämnas till en socialnämnd och uppgift i verksamhet som avses i 23 d § LSS lämnas till en nämnd som avses i 22 § samma lag, om uppgiften behövs för handläggning av ärende eller verkställighet av beslut om stödinsatser, vård eller behandling och det är av synnerlig vikt att uppgiften lämnas. (26 kap. 10 § OSL).

Det saknas dock sekretessbrytande bestämmelser motsvarande de som för hälso- och sjukvården gäller enligt 25 kap. 13 § OSL. Av den bestämmelsen följer att hälso- och sjukvårdssekretess inte hindrar att uppgift om en enskild, som p.g.a. sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet, lämnas ut för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd. Under de förutsättningarna får en myndighet inom hälso- och sjukvården lämna ut uppgifterna till en annan sådan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare på socialtjänstens område. Bestämmelsen möjliggör således ett uppgiftsutlämnande både inom sjukvården och mellan sjukvården och socialtjänsten. En sådan motsvarande bestämmelse saknas dock på socialtjänstens område, dvs. en myndighet inom socialtjänsten kan inte med motsvarande förutsättningar lämna ut uppgifter till andra myndigheter eller privata utförare inom socialtjänsten eller motsvarande aktörer i hälso- och sjukvården.

Det kan också nämnas att det i dokumentationen kan finnas uppgifter om enskildas hälso- tillstånd eller andra personliga förhållanden som lämnats i anmälan eller annan utsaga från annan person än den enskilde. Även sådana uppgifter kan enligt 26 kap. 5 § OSL omfattas av sekretess i förhållande till den enskilde om det kan antas att fara uppkommer för att den som har lämnat upp- gifterna eller dennes närstående utsätts för våld eller allvarligt men om uppgifterna röjs. Bestämmelsen skyddar den som lämnar upp- gifter till socialtjänsten om andras förhållanden.

577

Informationshantering inom socialtjänsten

SOU 2014:23

19.5.1Sekretess mellan myndigheter och självständiga verksamhetsgrenar

Av offentlighets- och sekretessregleringen följer att sekretess även gäller mellan myndigheter. Kommuner har en stor frihet att organisera sina olika nämnder som de själva önskar och efter lokala behov och förutsättningar. Det är bl.a. möjligt att dela upp social- tjänstens uppgifter på flera nämnder. Det förekommer exempelvis en geografisk uppdelning på kommundelsnämnder, men det kan även vara en uppdelning på olika kompetensområden eller utifrån ett beställar- och utförarperspektiv. Varje nämnd i en sådan social- tjänstorganisation är att anse som egna myndigheter i offentlighets- och sekretesslagens mening och sekretess gäller då som huvudregel mellan dessa olika nämnder inom samma kommun.

Sekretess kan utöver detta i vissa fall även gälla inom en och samma nämnd, nämligen om det inom nämnden finns verksam- hetsgrenar som är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Vad som avses med självständiga verk- samhetsgrenar inom en myndighet har inte definierats av lag- stiftaren och tolkningen av begreppet har vållat svårigheter för den praktiska tillämpningen. Ett vanligt sätt att beskriva det är dock att en självständig verksamhetsgren i förhållande till en annan verk- samhet inom en myndighet uppstår om det är fråga om olika verksamhetsgrenar och dessa är självständiga i förhållande till varandra.

Om olika delar av myndighetens verksamhet ska tillämpa helt olika uppsättningar av sekretessbestämmelser kan det vara fråga om olika verksamhetsgrenar. Ifall verksamheterna bedöms vara olika verksamhetsgrenar måste man också bedöma om de har organi- serats på ett sådant sätt att de förhåller sig självständiga till varandra. Om dessa både kriterier är uppfyllda finns en sekretess- gräns inom myndigheten. Omständigheter av betydelse för bedöm- ningen av självständigheten kan vara att organet självständigt förvaltar viss egendom, har viss handlingsfrihet inom en angiven ekonomisk ram eller i övrigt kan vidta vissa faktiska åtgärder själv- ständigt och på eget ansvar. Andra omständigheter som påverkar bedömningen kan vara att man i vissa frågor beslutar självständigt och i eget namn.

578

SOU 2014:23

Informationshantering inom socialtjänsten

Ett undantag från ovanstående huvudregel har emellertid gjorts genom Ädelreformen11. I de verksamheter som omfattas av Ädel- reformen bedöms den kommunala hälso- och sjukvården och socialtjänsten, om de bedrivs inom en och samma nämnd, i sekretesshänseende tillhöra samma verksamhetsområde och inte vara självständiga i förhållande till varandra.

Även när det gäller sekretessen mellan myndigheter inom samma kommun skiljer det sig åt mellan hälso- och sjukvården och socialtjänsten. För hälso- och sjukvårdens del gäller enligt 25 kap. 11 § punkten 1 OSL att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande sekretessbrytande bestämmelse finns således inte på socialtjänstens område.

19.5.2Sekretess i förhållande till privata utförare av socialtjänst

Som tidigare nämnts utförs mycket av socialtjänstinsatserna i dag av privata aktörer som har avtal med kommunen. En sådan utveckling för även med sig konsekvenser i sekretesshänseende. Sekretessregleringen i offentlighets- och sekretesslagen innebär som ovan beskrivits att det finns en sekretessgräns runt en myndighet. Denna gräns gäller i förhållande till alla som är utanför men normalt inte i förhållande till den som uppgiften handlar om. Detta innebär att sekretessgränsen runt en myndighet även gäller i förhållande till en enskild verksamhet (privat driven) inom social- tjänsten. Sekretessgränsen innebär att uppgifter som är omfattas av sekretess hos myndigheten inte får lämnas ut till den privata utföraren om inte den enskilde samtycker till utlämnandet eller en sekretessbrytande bestämmelse eller en menprövning tillåter det. Utredningens bedömning är vidare att motsvarande måste anses gälla för ett uppgiftsutlämnande från en privat utförare till en kommunal myndighet inom socialtjänsten eller till en annan privat utförare av socialtjänst. Eftersom innebörden av bestämmelserna om tystnadsplikt i socialtjänstlagen ska tolkas och tillämpas med ledning av bestämmelserna i offentlighets- och sekretesslagen saknas grund för att göra en annan bedömning än att det finns

11 Ädelreformen 1992, innebar att kommuner fick ett samlat ansvar för vård och omsorg för bland annat äldre.

579

Informationshantering inom socialtjänsten

SOU 2014:23

motsvarande tystnadspliktsgräns runt en privat driven socialtjänst- verksamhet som det i sekretesshänseende finns runt en myndighet.

I Socialtjänstdatautredningen, SOU 2009:32, gjorde visserligen utredaren bedömningen att tystnadsplikt enligt 15 kap. 1 SoL inte utgör hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten. Som grund för bedömningen anfördes bl.a. att det yttersta ansvaret för en kommuns uppgifter inom socialtjänsten inte kan överlåtas på annan och att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp.

Att det inte skulle finnas någon tystnadspliktsgräns mellan en privat utförd socialtjänst och en kommunal myndighet inom social- tjänsten saknar emellertid enligt vår bedömning stöd i nuvarande sekretessreglering. Vidare kan inte kommunens övergripande ansvar exempelvis för kontroll av utförd verksamhet, med dagens reg- lering, innebära oinskränkta möjligheter för kommunala myndig- heter att ta del av individuppgifter som under genomförandefasen dokumenteras av olika utförare. Det kan dock inte uteslutas att ett utlämnande i enskilda fall, exempelvis från en privat utförare till en kommunal myndighet, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i 15 kap. 1 § SoL.

Frågan om kommunens skyldigheter att följa upp verksamhet som drivs av annan än kommunen och vilka möjligheter kommunen har att ta del av personuppgifter över sekretessgränser för detta ändamål är komplex. Utredningen om en ny kommunallag för framtiden överlämnade 2013 delbetänkandet Privata utförare – kontroll och insyn (SOU 2013:53). I betänkandet gör utredningen ett försök att i någon mån precisera det kommunala huvud- mannaskapet för vissa verksamheter och vilka krav på uppföljning som bör ställas på verksamheter som ingår i huvudmannens ansvarsområde. Någon egentlig analys av vilka uppgifter huvud- mannen har rätt att ta del av och hur det kan ske gjordes däremot inte. Det kan därför finnas behov av att ytterligare analysera och överväga behovet av en ökad tydlighet rörande kommunens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata utförare av socialtjänst.

580

20En ändamålsenlig informationshantering – iakttagelser och reflektioner

20.1Bakgrund

Vi har inledningsvis i betänkandet redogjort för våra generella iakt- tagelser och utgångspunkter kring nödvändiga förutsättningar för en ändamålsenlig informationshantering inom hälso- och sjukvården och socialtjänsten. Det inbegriper exempelvis lagstiftning, teknik, informatik, ledarskap, kulturer, arbetssätt m.m. Vi har då kunnat konstatera att alla dessa faktorer måste samspela och tillsammans stödja en utveckling mot en mer sammanhållen och ändamålsenlig informationshantering med individen i centrum. I detta avsnitt redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten. Frågor om informationshantering i integrerade verksamheter mellan socialtjänst och hälso- och sjukvård m.m. berörs primärt inte här utan i avsnitt 31 och 32.

20.2Informatik och it

Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och imple- mentera ett nationellt fackspråk och en mer strukturerad doku- mentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik socialtjänst för alla, alldeles oavsett vilken kommun medborgaren bor i eller vilken utförare medborgaren väljer för sina beviljade

581

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

insatser. Eftersom en strukturerad dokumentation enligt ett natio- nellt fackspråk blir kunskapsstyrande och direkt kan påverka arbets- sätt och arbetsflöden i socialtjänsten, kan det även med fog hävdas vara en demokrati- och rättvisefråga.

Under arbetet har utredningen kunnat konstatera att den tek- niska utvecklingen inte nått lika långt inom socialtjänsten som inom hälso- och sjukvården. Det förekommer exempelvis fort- farande en del manuell informationshantering inom socialtjänsten. Samtidigt är det viktigt att komma ihåg att det inom vissa delar av socialtjänsten inte finns samma behov av att dokumentera som det gör inom andra delar. För genomförandet av vissa insatser kan det handla om att dokumentera att insatsen är utförd eller orsaken till att insatsen inte är utförd. För genomförandet av andra insatser kan det dock finnas behov av att tydligare dokumentera utförandet av insatser för att hela tiden ställa det mot uppställda mål som rör den enskildes utveckling och förmåga att själv vidta hela eller delar av en insats.

Ett positivt exempel som förtjänar att lyftas fram är den utveck- ling som har skett i Motala kommun. Som en av tre s.k. pilot- kommuner har Motala bedrivit ett arbete mot ett mer behovs- och processinriktat arbetssätt med stöd av en strukturerad doku- mentation med fastställda klassifikationer (ICF). Både utredning, planering av genomförande och uppföljningen av resultaten görs utifrån den enskilde i centrum samt med hjälp av ett särskilt framtaget it-stöd. Genom utveckla verksamhetens arbetssätt och kombinera det med ett it-system som stödjer det nya arbetssättet och den enskildes process genom socialtjänsten blir informations- hanteringen mer ändamålsenlig och arbetet mer kunskapsstyrt.

Utredningens bild är att det finns mycket som generellt fungerar bra i socialtjänsten och att det pågår en hel del utveck- lingsarbeten för att förbättra kvaliteten i socialtjänstens olika delar. I sammanhanget kan exempelvis arbetet med evidensbaserad praktik för god kvalitet inom socialtjänsten nämnas. Med stöd av en överenskommelse mellan regeringen och Sveriges Kommuner och Landsting har ett antal utvecklingsarbeten startats runt om i landet. Arbetet mot en evidensbaserad praktik handlar bland annat om involvera brukarna i arbetet, ta tillvara kunskap från pro- fessionen och forskningen och att analysera resultatet av sitt arbete. Enligt utredningens mening finns mycket att vinna på att inom ramen för det arbete som nu görs även inkludera frågor om hur informationshanteringen och it-stöden bör utformas för att

582

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

stödja den önskade utvecklingen. En evidensbaserad praktik som bygger på ett systematiskt arbetssätt och uppföljning av resultat kräver bland annat en enhetlig och strukturerad dokumentation samt it-stöd som möjliggör framtagandet av underlag för olika typer av uppföljningar och förbättringsarbeten. Den arena som erbjuds genom de olika satsningarna inom ramen för arbetet med evidensbaserad praktik har förutsättningar att låta verksamhets- utveckling och it-utveckling att gå hand i hand.

20.3Samtycke till insatser – en utgångspunkt för informationshanteringen

I huvudsak aktualiseras en enskild individ inom socialtjänsten genom en kontakt som kan gälla exempelvis en ansökan eller en anmälan. I sådan verksamhet som drivs som serviceinsatser ser processen av naturliga skäl annorlunda ut eftersom det i dessa verksamheter varken görs sådana utredningar som avses i socialtjänstlagen (2001:453), förkortad SoL, eller fattas några biståndsbeslut. Alldeles oavsett bygger socialtjänstens verksamhet i huvudsak på frivillighet och delaktighet från den enskildes sida. Socialtjänstens arbete ska så långt möjligt utformas och genomföras tillsammans med den enskilde.

Vid en ansökan finns en ständig dialog med den sökande. Det görs exempelvis genom kompletterande information, ställnings- taganden till utredningsplanen, dialogen kring inhämtande av infor- mation, medverkan i behovsbedömningen och ställningstagande till det beslutsunderlag som kommunicerats. Är beslutet gynnande ska den sökande vara delaktig i valet av utförare och delaktig i en uppdragsdialog där individen är med och utvärderar mot mål och uppdrag. I de flesta fall förekommer informationshantering därför primärt i två olika steg, först i och med behovs- och bistånds- bedömningen och sedan i och med verkställigheten av bistånds- beslutet. Utöver detta hanteras information även för ändamål som uppföljning, administration, kontroll, tillsyn etc.

Handläggningsprocessen gör att kommunikation, delaktighet och den enskildes samtycke sedan länge är bärande beståndsdelar inom socialtjänsten. Den enskildes samtycke till insatser i social- tjänsten kan många gånger sägas utgöra själva utgångspunkten för informationshanteringen. Något särskilt samtycke för själva informa- tionshanteringen behöver däremot inte inhämtas. Åtminstone inte

583

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

om det är fråga om sådan verksamhet inom socialtjänsten där det föreligger en dokumentationsskyldighet. I sådant fall kan den enskilde inte heller motsätta sig dokumentation och behandling av personuppgifter.

Även om samtycke inte behöver inhämtas särskilt för att behandla personuppgifter, behövs det ofta för att möjliggöra att uppgifter om den enskilde utbyts mellan olika aktörer inom eller utanför socialtjänstens verksamhet. Vid utredningens kontakter med företrädare för socialtjänsten har framkommit att arbetet med att inhämta samtycke för informationsutbyte är en naturlig del av verksamheten, inte minst eftersom det många gånger förekommer ett samarbete med andra aktörer. Det kan exempelvis handla om samarbete med andra delar av en kommuns socialtjänstverksamhet, skola, hälso- och sjukvård eller centrala myndigheter som Försäk- ringskassan och Arbetsförmedlingen.

Mycket av den hantering och utbyte av information som i dag förekommer mellan olika verksamheter inom socialtjänsten görs därför med stöd av den enskildes samtycke. Det finns verksam- heter och processer i socialtjänsten där det är ändamålsenligt att arbeta med samtycke och utifrån det utforma en informations- hantering och ett informationsutbyte. Utredningens erfarenhet är att det fungerar särskilt väl i sådana situationer där informations- utbytet görs förhållandevis enstaka gånger och där det finns tid att invänta samtycket innan information utbyts. I sådana situationer torde även behovet av informationsutbyte kunna tillgodoses genom en manuell hantering, t.ex. att uppgifter lämnas ut muntligt eller på papper.

Under utredningens gång har det framkommit att det samtidigt finns situationer när samtycke inte upplevs ändamålsenligt. Vår erfarenhet är att det framför allt gäller när samtycket ändå inte möjliggör ett effektivt användande av moderna tekniska lösningar, t.ex. direktåtkomst till uppgifter om enskilda mellan olika utförare av socialtjänst. En sådan direktåtkomst till uppgifter över sekretess- gränser som efterfrågas är nämligen inte möjlig endast med stöd av ett den enskildes samtycke. Det torde även krävas att sekretessen för uppgifterna bryts genom en särskild sekretessbrytande regel i offentlighets- och sekretesslagen (2009:400).

Att inte kunna utbyta uppgifter genom direktåtkomst fastän den enskilde lämnat sitt samtycke till ett visst informationsutbyte upplevs, enligt utredningens erfarenhet, många gånger som hind- rande för en ändamålsenlig verksamhet. Inte minst kommuner som

584

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

organiserat sin egen socialtjänst under olika myndigheter påverkas av detta. Utredningen delar verksamheternas tveksamhet inför regel- verkets begränsningar och konstaterar att det sannolikt bidrar till att förhindra en utveckling mot införandet av tekniska lösningar för ett snabbt, säkert och ändamålsenligt informationsutbyte.

20.4Övergripande nämndstruktur påverkar informationshanteringen

Utvecklingen inom många kommuner innebär att det inte längre bara finns en kommunal nämnd för varje verksamhetsområde. In- förandet av den fria kommunala nämndorganisationen har inne- burit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatorisk hör till olika nämnder. Det kan exempelvis handla om att kommunen delar upp verksamheten enligt en beställar- och utförarmodell, där det som tidigare var en socialnämnd splittras och blir en eller flera beställar- och utförar- nämnder. Ett annat exempel är att dela upp nämndstrukturen efter ett geografiskt perspektiv, t.ex. i kommundels- eller stadsdels- nämnder. Det förekommer även att den organisatoriska uppdel- ningen är uppbyggd efter olika ämnesområden inom socialtjänsten, t.ex. ekonomiskt bistånd och missbruk.

Den fria kommunala nämndorganisationen har tillsammans med offentlighets- och sekretessregleringen dock medfört att nya sekre- tessgränser kan uppstå beroende på hur en kommun väljer att organisera sin verksamhet. Att en organisatorisk utveckling medför att sekretessgränser uppstår i verksamheter som tidigare kunnat utgöra ett enda sekretessområde kan leda till tillämpningsproblem för kommunerna och de individer de har att ansvara för. Sekretess- gränserna upplevs sällan som adekvata och bidrar till en tröghet i systemet som kan motverka nya sätt att samverka och samarbeta mellan de olika kommunala nämnderna. Vidare uttrycks en oförstå- else för regelverkets konsekvenser eftersom det i de kommuner där man valt att enbart ha en nämnd för verksamheten på social- tjänstens område inte finns någon motvarande sekretessgräns.

585

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

20.5Valfrihet och mångfald påverkar informationshanteringen

Inte endast den fria kommunala nämndorganisationen, utan även valfrihetsreformer och ökat antal privata utförare i socialtjänsten har bland annat medfört att allt fler aktörer är inblandade i verk- ställigheten av de insatser som beviljas den enskilde. En individ kan exempelvis få hemtjänstinsatser utförda av flera olika utförare. Det kan röra sig om städning, tvättning, inköp, personlig omvårdnad, matlagning, promenadsällskap, ledsagning m.m. Det kan även vara så att en individ får en eller flera hemtjänstinsatser utförda av olika aktörer beroende på vilken tid på dygnet det är.

Dagens regelverk medger inte att olika utförare har direkt till- gång till varandras dokumentation och dokumentationssystem. Ett sätt att lösa behovet av informationsöverföring har därför under lång tid varit att, med stöd av individens samtycke eller åtminstone med individens kännedom, anteckna det viktigaste i en pärm eller dagbok som förvaras hos individen och som de olika utförarna kan läsa och dokumentera i. Ett sådant sätt att överföra information kan visserligen fungera i vissa situationer och för vissa ändamål. Men för att få till stånd en mer kvalitetssäker informationsöver- föring skulle ett användande av modern teknik vara ändamålsenligt och effektivt. Ibland kan det även handla om att information om individen behöver nå en utförare redan innan denne exempelvis kommer hem till den enskilde för att utföra en hemtjänstinsats. Att redan innan ett besök kunna ta del av information som kan vara relevant gör att personalen kan förbereda sitt besök och ytterligare anpassa verksamheten efter individens aktuella behov.

Det konstateras att rådande regelverk innebär att möjligheterna till en effektiv och säker informationshantering är mycket bero- ende av hur kommunen organiserar sig. En kommun med få kom- munala nämnder inom socialtjänsten och få privata aktörer bland utförarna har i dag väsentligt bättre förutsättningar till en ända- målsenlig informationshantering än kommuner med många nämnder och privata utförare i den offentligt finansierade verksamheten. De organisatoriska förändringarna påverkar såväl den individinriktade informationshanteringen i samband med beslut och genomförande av insatser i socialtjänsten som den hantering av information som behöver göras i form av uppföljning, kvalitetssäkring, verksamhets- utveckling m.m. Kommunen har som huvudman alltid det yttersta

586

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

ansvaret för att invånarna får det stöd och den hjälp de behöver, oavsett om t.ex. omsorg bedrivs i offentlig eller i privat regi.

20.6Informationshantering i samband med rådgivning och annat stöd

Inom socialtjänsten har det i dag kommit att bli allt mer vanligt att kontakter förekommer och insatser utförs utan att den enskilde har ansökt om insatsen och sedan fått den biståndsbedömd. Det kan exempelvis handla om olika former av förebyggande insatser vid kontakter med enskilda. Inte sällan utförs rådgivning och andra stödinsatser inom ramen för missbruksvården eller i samband med familjerådgivning utan att ett biståndsbeslut har meddelats.

I förarbeten till ändringar av socialtjänstlagen anförde rege- ringen att de insatser som ska dokumenteras under genomförande är de individuellt behovsprövade stöd-, vård- och behandlings- insatserna. Verksamheter som rådgivning och information samt vissa öppna verksamheter bedömdes, som tidigare, inte omfattas av dokumentationsskyldigheten1.

Enligt socialtjänstlagen följer därmed ingen skyldighet att doku- mentera rådgivning t.ex. vid alkohol- eller narkotikamottagning samt familjerådgivning. I de fall sådan rådgivning övergår till någon form av behandling som är individuellt anpassad ska dock bistånds- beslut fattas och dokumentation göras. Ett av de främsta skälen till att rådgivnings- och stödverksamheter ligger utanför dokumenta- tionsskyldigheten är att det annars skulle kunna vara avskräckande för personer att kontakta socialtjänsten och få stöd och råd i utsatta situationer. En ytterligare effekt är att socialtjänsten blir mer lättillgänglig eftersom verksamheten genomförs utan att en biståndsbedömning aktualiseras. Den enskilde kan då snabbare få en tid för exempelvis samtal vid en ungdomsmottagning, miss- bruksenhet eller hos familjerådgivningen.

Under utredningens gång har det visat sig att den verksamhet som bedrivs inom ramen för råd och stöd kan skilja sig väsentligt åt mellan olika kommuner. I en del kommuner erbjuds enskilda ett fåtal besök utan biståndsbeslut medan individer i andra kommuner kan ha väldigt många kontakter med socialtjänsten utan att behovet om bistånd bedöms. I de senare situationerna kan verksamheten

1 Prop. 1996/97:124 s. 152.

587

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

komma att bedrivas på ett sådant sätt att det i praktiken är svårt att skilja ifrån vad som hade varit fallet om saken blivit individuellt behovsprövad och beslutad.

Behovet av att dokumentera insatser inom socialtjänstens öppna verksamheter är naturligtvis större om verksamheten bedrivs under längre tid och utifrån de sökandes individuella behov. Frågan är hur enskildas behov av rättssäkerhet och god kvalitet ska säkras om verksamheten inte dokumenterar insatserna. Ur ett uppföljnings- perspektiv är det även önskvärt att kunna följa utvecklingen av verksamheten i stort, men även utifrån enskilda personers vård- och omsorgskedja.

Vid utredningens kontakter med verksamheter bl.a. inom ung- domshälsa och missbruksvård framkommer en tydlig bild av att verksamheterna själva bedömer att det finns ett behov av att doku- mentera, både för det individinriktade arbetet och för verksamhets- uppföljning och kvalitetssäkring. Det förekommer ett antal olika lösningar för att tillgodose dessa behov. Exempelvis görs doku- mentation med stöd av den enskildes samtycke under den tid den enskilde är föremål för rådgivning eller annat stöd.

Någon möjlighet att dokumentera och behandla personuppgifter utan samtycke finns troligen inte eftersom verksamheten inte om- fattas av de tillåtna ändamålen för personuppgiftsbehandling som anges i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, (jfr 12 §). Det är även osäkert ifall en personuppgiftsbehandling som inte är tillåten enligt lagen (2001:454) om behandling av personuppgifter inom social- tjänsten, förkortad SoLPUL, och SoLPULF över huvud taget kan grunda sig på den enskilde samtycke. Eftersom SoLPULF anger de ändamål för vilka personuppgiftsbehandling får genomföras i socialtjänsten är det oklart om de grundläggande bestämmelserna om samtycke i personuppgiftslagen (1998:204) kan tillämpas. Denna osäkerhet är otillfredsställande såväl för den enskilde som för verksamheterna. Utredningens erfarenhet är nämligen, som nämnts tidigare, att verksamheter inom råd och stöd i dagsläget inhämtar den enskildes samtycke för att behandla personuppgifter och doku- mentera det som förekommer vid kontakter med den enskilde. Samtycke för att efter avslutad kontakt behandla personuppgifter för ändamål som uppföljning och kvalitetssäkring verkar, såvitt utredningen kan bedöma, inte förekomma i någon större utsträck- ning. Däremot uppger några kommuner att de på olika sätt avlägs- nar de direkt utpekande personuppgifterna för att sedan låta upp-

588

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

gifterna ligga till grund för verksamhetsuppföljning, statistikfram- ställning m.m.

Våra iakttagelser visar att socialnämnderna har behov av att ytterligare analysera och ta ställning till hur verksamheter inom ramen för råd och stöd ska bedrivas. Det handlar bl.a. om att över- väga hur många och hur ingående kontakter med den enskilde som ska kunna förekomma utan att saken ska behovsprövas och beslutas. En annan fråga är var gränsen går för när en insats blir anpassad efter individens behov och när en insats är så generell att den kan sägas rikta sig till hela befolkningen i kommunen. Oavsett var man landar i sådana överväganden är frågan om dokumentation och informationshantering nära sammankopplad med karaktären på verksamheten. Frågor om informationshantering bör därför i första hand vara kopplade till vilka behov för den enskilde och för verk- samheten som rent faktiskt föreligger. Situationen blir dessutom än mer komplex i de integrerade verksamheter som finns mellan socialtjänst och hälso- och sjukvård. Här kan verksamhetens karak- tär och de olika dokumentationsbestämmelserna göra att en insats blir dokumenterad om individen möter en yrkesverksam inom hälso- och sjukvården, medan samma insats inte alls dokumenteras om den enskilde i stället har kontakt med en yrkesverksam inom socialtjänsten. Exempel på detta finns både i ungdomshälsan, i psykiatrin och i missbruksvården m.m.

20.7Verksamhetsuppföljning och kvalitetssäkring

Av grundläggande bestämmelser i socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade (1993:387), förkortad LSS, följer att insatser inom socialtjänsten ska vara av god kvalitet och att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras.

Regelverket för verksamhetsuppföljning och kvalitetssäkring är dock inte helt tydligt på socialtjänstens område. Till skillnad från hälso-och sjukvården som har bestämmelser som uttryckligen tillåter samtliga vårdgivare att dels hantera personuppgifter i sin egen verksamhet för kvalitetssäkring m.m., dels registrera uppgifter i nationella kvalitetsregister, saknas i princip motsvarande bestäm- melser för socialtjänsten.

Av förordningen om behandling av personuppgifter inom social- tjänsten följer dock att en kommun får behandla personuppgifter

589

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

för tillsyn, uppföljning, utvärdering, kvalitetssäkring och admini- stration av verksamheten. Sådana bestämmelser saknas däremot för juridiska eller fysiska personer som ansvarar för privat verksamhet inom socialtjänsten. Det är därmed otydligt i vilken utsträckning en privat utförare får hantera personuppgifter för att utveckla verksamheten.

Vidare kan noteras att den nationella uppföljningen av social- tjänstens insatser visar upp betydande skillnader jämfört med hälso- och sjukvården. Medan det i hälso- och sjukvården finns omkring ett 100-tal nationella kvalitetsregister som vårdgivarna själv har huvudansvaret för samt därutöver ett antal centrala hälsodata- register där Socialstyrelsen följer utvecklingen på ett antal områden, kan konstateras att motsvarande till stora delar saknas i socialtjänsten. Visserligen samlar Socialstyrelsen in vissa uppgifter från kommunernas socialtjänst inom ramen för lagen (2001:99) om den officiella statistiken och förordningen (2001:100) om den officiella statistiken. Några verktyg för förbättringsarbete som liknar hälso- och sjukvårdens nationella kvalitetsregister finns däremot inte. Under utredningens gång har väckts frågan om det bör finnas liknande möjligheter till kvalitetsutveckling inom social- tjänsten som regelverket om nationella kvalitetsregister ger för hälso- och sjukvården.

Även om det kan finnas anledning att ifrågasätta regelverkets ändamålsenlighet vad gäller möjligheterna att hantera person- uppgifter för att säkra och utveckla kvaliteten i verksamheten, har vi under vårt arbete även mött olika attityder och kulturer inom socialtjänsten. Medan det i vissa verksamheter finns ett stort driv mot kvalitetssäkring och förbättringsarbete har vi även erfarenhet av verksamheter som inte bedriver, eller till och med säger sig behöva bedriva, något systematiskt kvalitetsarbete av detta slag. De senare exemplen har vi i allmänhet mött i verksamheter som bedrivs som råd och service, dvs. inte biståndsbedömda insatser. Särskilt med tanke på utvecklingen inom råd och service i dag, där det många gånger i praktiken torde handla om en sådan kvalificerad och individuellt anpassad insats som traditionellt sett hade blivit biståndsbedömd, är detta bekymmersamt. Även om det självklart i många verksamheter är naturligt att systematiskt arbeta för att förbättra resultatet för individerna bedömer vi att de erfarenheter vi fått av det motsatta inte bör ignoreras. Det är viktigt att all verksamhet som syftar till att förbättra hälsa och livskvalitet för människor i behov av stöd har ett sätt att systematiskt ta reda på

590

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

vad som görs i verksamheten och vilka resultat det medför för individerna.

20.8SoLPUL och SoLPULF – ett svårtillgängligt regelverk

Lagen om behandling av personuppgifter i socialtjänsten har länge kritiserats för att vara otydlig och svår att tillämpa. Inte minst har relationen till personuppgiftslagen och till förordningen om behand- ling av personuppgifter i socialtjänsten lyfts fram och sagts vara komplicerad. Bestämmelserna som reglerar för vilka ändamål person- uppgifter får behandlas är exempelvis samlade i olika författningar och i nuvarande lag om behandling av personuppgifter inom socialtjänsten finns ingen uppräkning över vilka ändamål som är tillåtna. Dessutom är de ändamålsbestämmelser som trots allt finns i SoLPULF olika utformade beroende på vilken aktör som ska behandla personuppgifterna. Det bidrar till att regelverket blir svår- tillgängligt, men kan även påverka förutsättningarna för en jämlik socialtjänst oavsett om en offentlig eller en privat utförare står för insatsernas genomförande.

Sedan patientdatalagen (2008:355) trädde ikraft har det även blivit än mer tydligt att regleringen på socialtjänstens område inte är lika uppdaterad och att de två författningarna har helt olika systematik och struktur. Särskilt med tanke på att hälso- och sjuk- vård och socialtjänst ligger mycket nära varandra har det framförts behov av att harmonisera lagstiftningen så att de i större utsträck- ning liknar varandra.

Exempelvis saknas för socialtjänstens del i dag en lagstiftning om behandling av personuppgifter som tydliggör vad syftet är med informationshanteringen eller som närmare reglerar frågor om inre sekretess, t.ex. behörighetsstyrning och åtkomstkontroll. För en ändamålsenlig informationshantering med hjälp av modern teknik är det viktigt att de grundläggande förutsättningarna som styr hur information får hanteras är så tydliga och kända som möjligt. Så är fallet inte i dag, där socialtjänsten måste söka stöd i personupp- giftslagens regler och praxis från Datainspektionen för att få led- ning t.ex. i säkerhetsrelaterade frågor.

591

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

Socialtjänstdatautredningen2 hade, bl.a. mot bakgrund av några av ovanstående perspektiv, som ett huvuduppdrag att göra en över- syn av hur personuppgiftsbehandlingen i socialtjänsten regleras och vid behov lämna förslag för att åstadkomma en mer välfungerande och sammanhållen reglering av området.3 Eftersom betänkandet ännu inte lett till någon lagstiftning återstår fortfarande behovet av en översyn av lagen om behandling av personuppgifter inom social- tjänsten och den därtill hörande förordningen.

20.9Kunskap, kompetens, ledning och styrning

Utredningen uppfattar att det, på motsvarande sätt som är fallet för hälso- och sjukvården, finns ett behov av ökad kunskap och kompetensutveckling i socialtjänsten när det gäller förutsättningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen. Inte minst i mindre verksamheter där social- tjänsten arbetar tillsammans med andra aktörer, t.ex. hälso- och sjukvård eller andra myndigheter, har vi kunnat konstatera ett behov av ökat stöd för en mer ändamålsenlig informations- hantering.

Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i socialtjänsten. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumentation och informationshantering. Inte minst behöver det stödet finnas i samband med framtaget och utvecklingen av de verksamhetssystem som ska användas i socialtjänsten.

Utredningen ser även att det ökade antalet utförare i social- tjänsten för med sig behov av att utveckla strukturer för att även stödja dessa. Många gånger är det relativt små företag som etablerar sig i kommunernas valfrihetssystem. Att förutsätta att dessa orga- nisationer ska ha uppbyggd egen kunskap och kompetens i dessa

2SOU 2009:32.

3Dir. 2007:92.

592

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

frågor är inte rimligt. Inte sällan är dessa mindre företag även i praktiken hänvisade att använda de system för informations- hantering som kommunen själv använder och tillhandahåller. Det finns därför behov för kommunen som huvudman att ta ett ansvar för att de privata utförarna på något sätt omfattas av de strukturer och regelverk som tas fram i syfte att stödja en ändamålsenlig informationshantering.

Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Som vi nämnt i tidigare avsnitt pågår ett arbete, t.ex. inom ramen för projektet evidens- baserad praktik där även dessa frågor är aktuella. På en mer lokal nivå har vi även kunnat konstatera att det i kommunernas olika samverkansorganisationer drivs många projekt som ökar kunskapen och stöttar enskilda kommuner i utvecklingen mot ökad kvalitet och effektiv informationshantering. Det är viktigt att denna utveckling fortsätter.

Det finns heller ingen anledning att ifrågasätta den insikt som finns i socialtjänsten om att uppgifter många gånger är integritets- känsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhets- kulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lag- stiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga IT-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.

20.10 Sammanfattande reflektioner

Även om det finns mycket som fungerar bra kan utredningen konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och samman- hållen informationshantering inom socialtjänsten. Mot bakgrund av ovanstående och vad som tidigare redovisats vill vi samman- fattningsvis lyfta fram följande behov som särskilt viktiga att belysa i det följande. Den gemensamma nämnaren för alla dessa behov är att de i olika utsträckning påverkar kvaliteten i den socialtjänst som enskilda får.

593

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

Behovet av att införa ett nationellt fackspråk och en informa- tionsstruktur som stödjer ett evidensbaserat arbete.

Behovet av att se över sekretessregleringens konsekvenser för kommunens möjligheter till en ändamålsenlig och samman- hållen informationshantering.

Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda ligger i linje med de krav på samverkan som finns i lagstiftningen.

Behovet av att de rättsliga förutsättningar för att säkra och utveckla kvaliteten i socialtjänsten ligger i linje med de krav som finns i lagstiftningen.

Behovet av ökad kunskap, ledning och styrning ifråga om möjlig- heterna att hantera och utbyta information.

Behovet av en modernisering av regleringen av personuppgifts- behandling i SoLPUL och SoLPULF.

Behovet av tydliga bestämmelser om inre sekretess, t.ex. behörighetsstyrning och åtkomstkontroll.

Behovet av ett regelverk som möjliggör direktåtkomst mellan utförare när så behövs.

Behovet av rättsliga möjligheter för privata utförare att behandla personuppgifter för systematiskt kvalitetsarbete.

Den ibland långtgående tolkningen av vad som kan erbjudas som serviceinsatser (där dokumentationsskyldighet saknas).

594

21En mer ändamålsenlig sekretessreglering i socialtjänsten

21.1Bakgrund

Genom regler i offentlighets- och sekretesslagen (2009:400), förkortad OSL, uppstår sekretess runt olika myndigheter. I en kommunal nämndorganisation ses varje nämnd med underlydande förvaltning som en egen myndighet i sekretesshänseende. För en kommun som, för att t.ex. höja kvaliteten och servicen gentemot invånarna, valt att organisera socialtjänsten i olika nämnder gäller således sekretess mellan nämnderna. Det påverkar kommunens möjligheter att hantera och utbyta information i socialtjänsten, t.ex. med avseende på införandet av ett kommungemensamt it- system för socialtjänstverksamheten. De sekretessgränser som uppstår medför även att den personal som arbetar i de olika verk- samheterna inte kan ha direktåtkomst till varandras information, oavsett om individerna ofta är aktuella i båda verksamheterna och ett tätt samarbete krävs för att individen ska få sina behov till- godosedda på bästa sätt.

För att en sekretessbelagd uppgift ska få lämnas ut från en verk- samhet under den ena nämnden till en verksamhet under en annan nämnd krävs antingen att det finns en sekretessbrytande bestäm- melse som tillåter det, att den enskilde samtycker till det eller att man vid en sekretessprövning kommer fram till att uppgifterna kan lämnas ut. Om en uppgift får lämnas ut mellan verksamheter som leds av olika nämnder, t.ex. med stöd av den enskildes samtycke, kan utlämnandet göras på flera olika sätt. Det kan exempelvis göras muntligt, på papper eller genom elektroniskt utlämnande på medium för automatiserad behandling, t.ex. cd, USB-minne eller

595

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

filöverföring. Uppgifterna får dock inte lämnas ut genom direkt- åtkomst.

Direktåtkomst är ett sätt att lämna ut uppgifter över sekretess- gränser utan att det görs en sekretessprövning i varje enskilt fall. Den som formellt ansvarar för utlämnandet gör därmed inte någon manuell aktivitet vid varje överföringstillfälle som kan jämställas med ett beslut om utlämnande och en sekretessprövning. Vid direktåtkomst är det i stället mottagaren som själv direkt bereder sig åtkomst till uppgifter i den utlämnande verksamheten. För att det ska vara tillåtet att lämna ut uppgifter genom direktåtkomst krävs att det finns en sekretessbrytande bestämmelse som tillåter det. Någon sådan bestämmelse finns inte på socialtjänstens område. På hälso- och sjukvårdens område är situationen en annan. Där finns bestämmelser såväl i offentlighets- och sekretesslagen som i patientdatalagen (2008:355) som gör det möjligt för kommunen dels att organisera sin hälso- och sjukvård i olika nämnder utan att sekretess hindrar att uppgifter lämnas mellan nämnderna, dels att utbyta uppgifter genom direktåtkomst.

Det har under utredningens arbete blivit allt tydligare att den fria kommunala nämndorganisationen tillsammans med offentlig- hets- och sekretessregleringen har medfört att omotiverade sekre- tessgränser kan uppstå inom socialtjänsten beroende på hur en kommun väljer att organisera sin verksamhet. Att en organisatorisk utveckling medför att sekretessgränser uppstår mellan verksam- heter som tidigare kunnat utgöra ett enda sekretessområde kan leda till tillämpningsproblem för kommuner och de invånare en kommun ansvarar för. Det finns därför anledning att överväga om sekretessregleringen bör utformas på ett mer ändamålsenligt sätt både för kommunens möjligheter att organisera sin verksamhet och för individernas behov av sekretess- och integritetsskydd.

Vidare har utredningen i uppdrag att överväga om det finns skäl att för socialtjänstens del införa sekretessbrytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården. För hälso- och sjukvårdens del finns exempelvis vissa möjligheter att lämna ut uppgifter till andra myndigheter inom hälso- och sjukvården eller socialtjänsten i fall där den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till utlämnandet.

596

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

21.1.1Kort om kommunens ansvar och organisation

Kommunen har som huvudman det yttersta ansvaret för att invånarna får det stöd och den hjälp som de behöver, oavsett om t.ex. omsorg sedan bedrivs i offentlig eller i privat regi. Kommunens uppgifter inom socialtjänsten fullgörs enligt 2 kap. 4 § socialtjänst- lagen (2001:453), förkortad SoL, av den eller de nämnder som kommunfullmäktige bestämmer. När det gäller kommunens insatser för särskilt stöd och särskild service till funktionshindrade finns motsvarande bestämmelser i 2 och 22 §§ lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Det som sägs i socialtjänstlagen eller en annan författning om socialnämnd gäller i förekommande fall den eller de nämnder som kommunfullmäktige har utsett.

Kommunallagen (1991:900), förkortad KL, ger kommunerna stor frihet i fråga om nämndorganisationen och det är möjligt att dela upp socialtjänsten på flera olika facknämnder. Det är således möjligt att ha särskilda äldreomsorgsnämnder eller särskilda äldre- och handikappnämnder som har ansvar både för sociala och medi- cinska insatser. Det finns även en möjlighet att inrätta så kallade kommundelsnämnder vilket innebär att en nämnd har hand om en eller flera verksamheter för en del av kommunen (3 kap. 4 § punkten 2 KL). Även om det finns en stor frihet för en kommun att utforma sin nämndverksamhet måste målen i socialtjänstlagen kunna uppfyllas.

Kommuner har också möjlighet att samverka genom bestäm- melserna om gemensam nämnd i 3 kap. kommunallagen. En gemen- sam nämnd får fullgöra alla de uppgifter som annars ankommer på en nämnd inom kommunen eller landstinget (3 kap. 3 a § KL). Genom lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet kan landsting och kommuner verka inom en gemensam nämnd inom landstingets hälso- och sjukvård och tandvård, kommunernas hälso- och sjukvård och socialtjänst samt kommunernas och landstingets verksamheter enligt lagen om stöd och service för vissa funktionshindrade och lagen (1998:1656) om patientnämndsverksamhet m.m. Bakgrunden till att denna lag infördes var att stödja en fortsatt kvalitetsutveckling inom aktuella områden. Samverkan i en gemensam nämnd innebär dock inte att sekretess mellan samverkande verksamheter bryts.

597

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

21.1.2Något om tidigare lagstiftningsarbeten

Det har även i tidigare utredningar ifrågasatts om det är lämpligt att sekretess ska gälla inom socialtjänsten i en kommun beroende på hur kommunen har organiserat verksamheten inom socialtjänsten. Offentlighets- och sekretesskommittén (OSEK) lade i sitt huvud- betänkande, Ny sekretesslag, fram ett förslag som förenklat uttryckt innebar att sekretess inte skulle gälla mellan de olika kom- munala nämnder som utgjorde socialnämnder, dvs. nämnder som enligt 2 kap. 4 § SoL fullgjorde uppgifter enligt den lagen.1 Enligt förslaget skulle sekretess inte heller gälla mellan kommunens socialnämnd och den nämnd som svarar för kommunens verk- samhet enligt lagen om stöd och service till vissa funktions- hindrade. I stället för att sekretess ska gälla mellan olika själv- ständiga verksamhetsgrenar, skulle sekretess inom nämnderna gälla mellan verksamheter som är av olika slag. Med verksamheter av olika slag avsågs verksamheter som rör olika förhållanden eller har olika inriktning.

I och med patientdatalagen infördes nya sekretessbrytande bestämmelser inom hälso- och sjukvården som bland annat innebär att sekretess inte hindrar att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Bestämmelsen gör det således möjligt för exempelvis en kommun att organisera och bedriva sin hälso- och sjukvårdsverksamhet genom olika myndigheter, utan att det uppstår sekretessgränser dem emellan. Kommunala företag som avses i 2 kap. 3 § OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är dessutom i detta sammanhang att jämställa med myndigheter. Det gör det exempel- vis möjligt att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag i vilket en kommun äger mer än 50 procent av aktierna och den nämnd eller de nämnder i kommunen som fullgör uppgifter när det gäller kommunal hälso- och sjukvård.

Socialtjänstdatautredningen föreslog i betänkandet Socialtjänsten Integritet – Effektivitet att en ny sekretessbestämmelse införs med motsvarande regler som inom hälso- och sjukvården där det stadgas att samma sekretessgränser bör gälla inom socialtjänsten oavsett hur en kommun väljer att organisera denna verksamhet.2 Eftersom

1SOU 2003:99 s. 454 f.

2SOU 2009:32.

598

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

reformen redan hade genomförts inom hälso- och sjukvården ansåg utredningen att det var av central betydelse att motsvarande regler införs inom socialtjänsten. Utredningen ansåg det särskilt viktigt då utredningen även lämnade andra förslag såsom sekretessbrytande bestämmelser för att underlätta utbytet av personuppgifter mellan socialtjänsten och hälso- och sjukvården. Utredningen hänvisade till offentlighets- och sekretesskommitténs skäl samt regeringens skäl i förarbetena till patientdatalagen3 för förslaget. Utredningens förslag har inte lett till någon lagstiftning. Vid remissbehandlingen framförde Justitieombudsmannen bland annat följande.

Enligt det förslag som nu föreligger ska sekretess inte heller gälla mellan de kommunala förvaltningar som bedriver verksamhet om bistånd åt asylsökande, introduktionsersättning åt flyktingar, tillstånd till parkering för rörelsehindrade, patientnämndsverksamhet och LSS. Enligt bestämmelserna i offentlighets- och sekretesslagen är dessa verksamheter visserligen att jämställa med socialtjänst. Verksam- heterna är emellertid inte en uppgift för socialnämnden, och de nämnder som svarar för uppgifterna utgör inte heller socialnämnder enligt 2 kap. 4 § socialtjänstlagen. Förslaget om att inskränka sekretessen går således längre än det förslag som Offentlighets- och sekretess- kommittén lade fram. I det nu aktuella betänkandet redovisas inte varför sekretess inte ska gälla mellan t.ex. en kommunal nämnd som svarar för introduktionsersättning till flyktingar och en nämnd som handlägger frågor om tillstånd till parkering för rörelsehindrade.

21.2Våra överväganden och förslag rörande sekretessregleringen i socialtjänsten

21.2.1Omotiverade konsekvenser av dagens reglering

Utvecklingen inom många kommuner innebär att det inte längre bara finns en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inne- burit att en del kommuner kommit att dela upp socialtjänsten på flera sektorer som organisatorisk hör till olika nämnder. Om kommunfullmäktige utser flera nämnder att fullgöra uppgifter som hör till socialnämndens ansvarsområde uppstår dock enligt 8 kap. 1 § OSL i princip sekretess mellan de nämnderna. Den fria kommunala nämndorganisationen har därför, tillsammans med offentlighets- och sekretessregleringen, medfört att nya sekretess-

3 Prop. 2007/08:126.

599

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

gränser kan uppstå beroende på hur en kommun väljer att orga- nisera sin verksamhet, även om överväganden som ligger till grund för vald organisationsform inte har någon relevans för sekretess- frågan. Val av en organisationsform kan således få till konsekvens att det uppstår sekretessgränser som inte är sakligt motiverade.

Enligt utredningens bedömning har den fria kommunala nämnd- organisationen medfört tillämpningsproblem inom kommuner där organisatorisk utveckling fått till följd att sekretessgränser uppstått i verksamheter som tidigare kunna utgöra ett enda sekretess- område. Det innebär otillfredsställande hinder för verksamheter inom kommuner som sakligt sett kan höra samman men som formellt lagts under olika nämnder utifrån helt andra bevekelse- grunder än de som bär upp att socialtjänstsekretess ska gälla även mellan myndigheter. För den enskilde kan det innebära ett tids- krävande och i vissa fall oöverskådlig informationshantering.

Regelverket utgår i stor utsträckning ifrån organisatoriska gränser och medför att möjligheterna till en effektiv och säker informationshantering till stor del är beroende av hur kommunen av olika skäl har valt att organisera sin verksamhet och myndighets- struktur. Synsättet borde vara mer inriktat mot en informations- hantering med individen och individens behov i centrum. Regel- verket bör även göra det möjligt att organisera en verksamhet utifrån de grunder som bedöms bäst kunna bidra till rättssäkerhet, god kvalitet och kostnadseffektivitet. De rättsliga förutsättningarna ska även stimulera till organisatorisk samverkan och samarbete för de enskildas bästa. Bland annat mot den bakgrunden anser vi att kommuner ska kunna organisera och bedriva socialtjänstverk- samhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretess- gränser uppstår mellan dessa myndigheter.

Under utredningsarbetet har det framförts att det är otillfreds- ställande (och att det råder viss osäkerhet) med sekretessgränser mellan olika nämnder på socialtjänstens område. Det kan ibland vara så att olika verksamheter inom socialtjänsten i en kommun, på grund av organisatoriska skäl, hamnar på olika nämnder och då uppstår det sekretess mellan t.ex. ekonomiskt bistånd och miss- bruk. I en annan kommun där man har valt att enbart ha en nämnd för ovan nämnda verksamheter så finns ingen sådan sekretessgräns.

Ett annat exempel kan vara att en kommun har delat upp verksamheten så att en nämnd fattar beslut i ett ärende gällande exempelvis äldreomsorg men att den verksamhet som genomför

600

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

själva insatsen (utförare) ligger under en annan nämnd. Här uppstår det en sekretessgräns mellan beslutsfattare och utförare, vilket inte hade varit fallet om det hade varit samma nämnd. Ytterligare ett exempel är om en kommun delar upp en tidigare sammanhållen verksamhet på flera stadsdelsnämnder. En kommun kan indela verksamheten i en kommundelsnämnd ”Omsorg öster” och en kommundelsnämnd ”Omsorg väster”. Detta får till konse- kvens att om en enskild till exempel får hemtjänst från Omsorg öster så uppstår det en sekretessgräns mot avlastning och kort- tidsboende som hör under Omsorg väster.

Det är även vanligt att en kommun organiserar sig på så sätt att en arbetsmarknadsnämnd hanterar till exempel insatser till personer som behöver ekonomiskt bistånd medan socialnämnden beslutar om beslutar om ekonomiskt bistånd till enskilda. I dessa fall är det viktigt att nämnderna kan utbyta information om en enskilds deltagande i sådana insatser som organiseras av andra nämnder. Insatser för den enskilde ska enligt 3 kap. 5 § SoL, utformas och genomföras tillsammans med honom eller henne. Det innebär att socialtjänsten under en utredning inte ska eller bör inhämta uppgifter från andra enskilda eller myndigheter utan att den enskilde har lämnat sitt samtycke. (Socialtjänsten har möjlighet att inhämta uppgifter från t.ex. Försäkringskassa och Arbets- förmedlingen [jfr 11 kap. 11–12 § § SoL] när det gäller bl.a. förmåner och ersättningar.) Det bör inte vara någon skillnad i hanteringen av information beroende på hur en kommun väljer att inrätta sin organisation.

Att lagstiftningen ibland reser sekretessgränser utifrån helt andra bevekelsegrunder än de som normalt bär upp att sekretess bör gälla mellan myndigheter uppfattas därför som inadekvat. För den enskilde kan det innebära ineffektiv informationshantering. Samtidigt kan en avsaknad av sekretessgränser inom och mellan myndigheter få negativa konsekvenser för enskilda. Uppgifter som har lämnats till en myndighet för ett visst ändamål kan senare komma att användas inom myndigheten för ett annat ändamål. För att enskilda ska kunna känna förtroende för myndigheter är det angeläget att lagstiftningen i så stor utsträckning som möjligt ger skydd mot detta. Samtidigt är det viktigt att komma ihåg att varje sekretessgräns inom en myndighet skapar merarbete inom myndig- heten. Det måste därför finnas en balans mellan skyddet för den

601

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

enskildes integritet och myndigheternas möjligheter att arbeta så effektivt som möjligt.4

Ibland framförs även att verksamheten inom socialtjänsten är väldigt bred och innehåller många olika delar, som inte alltid har en nära koppling till varandra ur ett individperspektiv. Precis som Justitieombudsmannen anförde i det tidigare nämnda remiss- yttrandet kan det handla om allt ifrån bistånd till asylsökande till parkeringstillstånd för rörelsehindrade. Motsvarande förhållande finns även inom hälso- och sjukvården, som innehåller verksamhet på vitt skilda områden som exempelvis barnhälsovård, geriatrik, kvinnofridsmottagning, arbetsmedicin m.m. På hälso- och sjukvårdens område har lagstiftaren dock valt att göra det möjligt för kom- muner och landsting att fritt organisera sin verksamhet utan att behöva ta hänsyn bestämmelserna i offentlighets- och sekretess- lagen. Vi anser att kommunerna bör ha en motsvarande möjlighet även på socialtjänstens område.

Det är i sammanhanget även viktigt att komma ihåg att nuvarande regelverk innebär att det inte finns någon sekretessgräns på socialtjänstens område i de kommuner som har valt att lägga all verksamhet under en nämnd. Självklart kan det samtidigt uppstå sekretess inom olika delar av en sådan bred myndighet, om verksamhetsgrenarna är självständiga i förhållande till varandra på ett sådant sätt som avses i 8 kap. 2 § OSL.

21.2.2Alternativa lösningar

För att komma till rätta med hinder mot en mer ändamålsenlig och sammanhållen informationshantering inom socialtjänsten som dagens regleringar av sekretess och tystnadsplikt reser behövs sannolikt ett flertal åtgärder vidtas. En situation där en ökad tydlighet är angelägen är det informationsutbyte som är nödvändigt mellan en kommun och de privata utförare av socialtjänst som kommunen bedriver socialtjänst igenom. Dessa frågor behandlas i avsnitt 27.

Den andra situationen, som är aktuell i detta sammanhang, är frågan om sekretess inom och mellan olika nämnder som bedriver socialtjänst i samma kommun. Förmodligen finns ett antal olika alternativa lösningar för att skapa en reglering som på ett bättre sätt än i dag bidrar till att skapa likartade förutsättningar för social-

4 SOU 2003:99 s. 268.

602

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

tjänsten oavsett hur enskilda kommuner har valt att närmare utforma sin nämndorganisation.

En lösning skulle kunna vara att slopa sekretessgränserna i socialtjänsten helt och hållet. Vår bedömning är att ett sådant alternativ inte är förenligt med enskilda individers berättigade behov av ett starkt integritetsskydd. Vidare är det svårt att över- blicka konsekvenserna av en sådan åtgärd.

En annan lösning skulle möjligen kunna vara att förändra sekretessregleringen på ett sådant sätt att ett rakt skaderekvisit ska gälla mellan myndigheter inom socialtjänsten. Det kan dock, precis som bland annat OSEK och patientdatautredningen tidigare påpekat, ifrågasättas i vad mån möjligheterna till uppgiftsutbyte verkligen skulle öka med ett rakt skaderekvisit i stället för dagens omvända rekvisit. Patientdatautredningen framförde exempelvis följande när motsvarande fråga analyserades för hälso- och sjuk- vårdens del.5

Redan i dag kan uppgifter som inte är av alltför känslig natur i allmänhet utbytas mellan myndigheter inom hälso- och sjukvården och även socialtjänstens omsorg, om inte den enskilde motsatt sig det. I sådana fall står det nämligen ofta klart att utbytet kan ske utan men för den enskilde. Ömtåligare uppgifter torde inte bli lättare att lämna ut med ett rakt skaderekvisit. Menbegreppet är ju detsamma vare sig det är ett rakt eller omvänt skaderekvisit (SOU 2003:99 s. 298). Vi tror vidare att det skulle innebära tillämpningsproblem för den praktiserande hälso- och sjukvården att ha olika skaderekvisit för olika slags mottagare. Skulle man vidare inskränka det raka skaderekvisitet att bara gälla för ett visst ändamål, vårdsyfte, torde tillämpnings- problemen bli än större. Sammantaget finner vi inte skäl att föreslå några genomgripande och generella lättnader i hälso- och sjukvårds- sekretessen utöver den vi föreslagit i samband med den sammanhållna journalföringen.

Vi ansluter oss i stora drag till flera av de skäl som patient- datautredningen anför ovan. Inte heller på socialtjänstens område bedömer vi att förändringar av skaderekvisitet skulle leda till en mer ändamålsenlig reglering och enhetlig tillämpning.

Ett tredje alternativ är att införa sekretessbrytande bestäm- melser som i praktiken undanröjer socialtjänstsekretessen mellan olika myndigheter på socialtjänstens område i en och samma kommun. Det skulle bland annat kunna innebära att de i dag omotiverade sekretessgränser som uppstått inom kommuner där

5 SOU 2006:82 s. 402.

603

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

organisatoriska förändringar ofrivilligt medfört att nya sekretess- gränser uppstått i verksamheter som tidigare varit ett enda sekretessområde. En sekretessbrytande bestämmelse av ett sådant slag skulle inte innebära någon generell lättnad av socialtjänstse- kretessen eller någon förändring av det i OSL grundläggande synsättet att det gäller sekretess mellan olika myndigheter. Vi bedömer därför att detta alternativ bäst balanserar de olika behov och skyddsintressen som finns. Dessutom överensstämmer alter- nativet med vad som redan i dag gäller för kommunen på hälso- och sjukvårdens område. En likartad reglering mellan socialtjänst och hälso- och sjukvård är av flera anledningar att föredra, inte minst med avseende på sådana verksamheter som rör sig i gräns- landet mellan hälso- och sjukvården och socialtjänsten.

21.2.3Förslag till en mer ändamålsenlig sekretessreglering i socialtjänsten

Vårt förslag: Ett sekretessbrytande undantag från socialtjänst- sekretess ska införas i offentlighets- och sekretesslagen. Undan- taget innebär att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun.

Vår bedömning: Förslaget gör det möjligt för en kommun att organisera och bedriva socialtjänstverksamhet genom olika myndigheter, exempelvis stadsdelsnämnder eller beställar- och utförarnämnder, utan att omotiverade sekretessgränser uppstår mellan myndigheterna. Utredningens förslag ska läsas i ljuset av förslagen om tydligare reglering av inre sekretess i social- tjänstdatalagen, bland annat krav på behörighetsstyrning, åtkomstkontroll m.m.

Det är i dag inte ändamålsenligt att effekterna av sekretess- regleringen är beroende på hur enskilda kommuner har organiserat sin verksamhet. Det uppstår tillämpningsproblem och i ett större perspektiv motverka det en över landet jämlik socialtjänst. Ur ett medborgarperspektiv är detta svårt att motivera. Därför är det angeläget att lagstiftaren inte bidrar till att skapa sådana omotiverade skillnader i människors förutsättningar att få stöd,

604

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

service, vård och behandling som gällande regelverk ger upphov till. En informationshantering som i större utsträckning utgår från den enskildes behov av hälso- och sjukvård och socialtjänst stärker förutsättningar för den enskildes möjlighet till en hög kvalitet i omsorgen.

Utredningen föreslår därför en sekretessbrytande bestämmelse inom socialtjänsten som bidrar till en mer ändamålsenlig reglering och tillämpning av sekretesslagstiftningen. Syftet är att komma till rätta med dagens omotiverade sekretessgränser som ger upphov till svårigheter för informationsutbyte och samverkan inom social- tjänsten. Med vårt förslag kommer offentlighets- och sekretess- lagstiftningen inte längre att medföra olika förutsättningar att bedriva socialtjänst och hantera och utbyta information beroende på hur enskilda kommuner har valt att organisera sin verksamhet. Det bidrar till ökade möjligheter till en jämlik och god socialtjänst för alla.

Förslaget ger ökade möjligheter för kommunerna att organisera verksamheten och informationshanteringen med medborgaren i centrum och utifrån grundläggande värden som rättsäkerhet, god kvalitet och effektivitet. För den enskilde möjliggörs i större utsträckning en informationshantering utifrån hans eller hennes behov av bistånd, stödinsatser, vård och behandling. Därför före- slår vi att det införs en ny bestämmelse i offentlighets- och sekre- tesslagen som innebär att socialtjänstsekretess inte hindrar att uppgift lämnas från en myndighet som bedriver sådan verksamhet i en kommun till en annan sådan myndighet i samma kommun.

Förslaget innebär inte någon generell lättnad av socialtjänst- sekretessen. Enskildas berättigade behov av skydd finns kvar. Bestämmelsen om socialtjänstsekretess ska fortfarande gälla. Inte heller innebär förslaget någon förändring av det i offentlighets- och sekretesslagen grundläggande synsättet att det gäller sekretess mellan olika myndigheter.

Även om utredningens förslag i praktiken undanröjer de sekretesshinder som i dag finns mellan olika myndigheter på social- tjänstens område i samma kommun, ska enskildas inställning fortfarande tillmätas betydelse. Det följer bland annat av den grundläggande bestämmelsen i 1 kap. 1 § SoL om att verksamheten ska bygga på respekt för människornas självbestämmande och integritet. Motsvarande bestämmelse finns i 6 § LSS. I linje med detta ska en enskilds uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en

605

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

annan inom kommunen normalt sett respekteras även om den föreslagna sekretessbrytande bestämmelsen införs.

Att införa en sådan bestämmelse som föreslås innebär heller ingen egentlig praktiskt förändring av sekretessen i jämförelse med de kommuner som i dag har organiserat sig på så sätt att en och samma nämnd ansvarar för socialtjänsten. I många små och medelstora kommuner är ansvaret för socialtjänstens olika verk- samheter inte uppdelad på flera olika nämnder, utan hålls vanligtvis ihop under en socialnämnd och en socialförvaltning. Utredningens bedömning är dock att våra förslag om en socialtjänstdatalag med bland annat uttryckliga krav på behörighetsstyrning och åtkomst- kontroll m.m. kommer att stärka integritetsskyddet i dessa kommuner jämfört med vad som är fallet i dag.

Frågan om sekretess bör enligt vår mening inte avgöras utifrån val av organisationsstruktur, utan från det grundläggande behovet av integritetsskydd. Det är naturligtvis så att alla verksamheter som faller under definitionen av socialtjänst, eller för den delen hälso- och sjukvård, inte alltid har behov av att utbyta uppgifter med varandra. Därför vill vi tydliggöra och stärka individens integritets- skydd i socialtjänsten. Vårt förslag om sekretessbrytande bestäm- melse ska därför bedömas i ljuset av de förslag om reglering av den inre sekretessen som finns i förslaget till socialtjänstdatalag. För att ytterligare stärka individens behov av integritetsskydd föreslår vi därför att författningsbestämmelser om inre sekretess, behörig- hetsstyrning och åtkomstkontroll införs i den nya socialtjänst- datalagen (se avsnitt 24). Sådana bestämmelser saknas i dag och skulle enligt vår mening bidra till att stärka integritetsskyddet och upprätthålla förtroendet för informationshanteringen inom social- tjänsten. Den grundläggande bestämmelsen om inre sekretess som vi föreslår anger att den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. De före- slagna kraven på behörighetsstyrning innebär vidare att den som arbetar i socialtjänsten inte ska ha möjlighet att bereda sig elek- tronisk åtkomst till sådana uppgifter om individer som inte mot- svarar det behov som finns för att arbetet ska kunna utföras. Den faktiska tillgången till uppgifter ska därmed så långt möjligt anpassas och begränsas till vad som är påkallat med hänsyn till varje anställds, eller motsvarande, behov.

Med regler om inre sekretess tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom och

606

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

mellan kommunala nämnder. Detta sätt att reglera sekretess- och dataskyddslagstiftningen skulle då även komma att likna vad som redan i dag gäller för hälso- och sjukvården.

21.2.4Frågan om sekretess mellan LSS och övrig socialtjänstverksamhet

Vår bedömning: Verksamhet enligt LSS och verksamhet enligt SoL är i dag mycket nära sammankopplade och kompletterar varandra. Det kan svårligen hävdas att sekretess gäller mellan verksamheter enligt LSS och verksamheter enligt SoL, om verk- samheterna ligger under samma nämnd. Vi bedömer även att de skäl som vanligtvis motiverar sekretess saknas i sådana fall.

Under utredningens gång har det blivit allt tydligare att frågan om sekretess mellan verksamhet enligt lagen om stöd och service till vissa funktionshindrade och övrig socialtjänstverksamhet behöver tydliggöras. Såväl kommuner som myndigheter utredningen har haft kontakt med har vittnat om en osäkerhet kring vad som gäller i dag och en önskan om ett tydligare rättsläge framöver.

Frågan om verksamhet enligt LSS ska behandlas som en självständig verksamhet i förhållande till socialtjänsten i de fall då båda verksamheterna sorterar under samma nämnd har behandlats i bland annat JO 1995/96 s. 431. Av JO:s beslut framgår bland annat följande. När det gäller verksamhet enligt LSS kan man hävda att förhållandet framstår närmast som det motsatta i förhållande till Ädelreformen. I stället för att integrera verksamheten med social- tjänsten har man valt att behålla den skiljelinje som sedan länge funnits mellan omsorgsområdet och socialtjänsten även om man i förarbetena konstaterat att verksamhet enligt LSS står social- tjänsten nära. Också den omständigheten att lagstiftaren rent tekniskt valt att jämställa verksamhet enligt LSS med socialtjänst – och detta enbart vad gäller tillämplig sekretessbestämmelse – i stället för att uttryckligen ange att verksamheten ska bedrivas av social- nämnden eller på annat sätt göra verksamheten till en del av social- tjänsten i sekretesslagens mening, talar i samma riktning. Vad som ändå med viss styrka enligt JO ansågs tala för att sekretess inte gäller mellan verksamheterna, när det ligger under samma nämnd, är att verksamhet enligt LSS och socialtjänst står varandra nära och

607

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

att verksamheterna i vissa hänseenden kan anses utgöra komple- ment till varandra. Härtill kom enligt JO att det kan ifrågasättas om en verksamhetsgren för att vara självständig inte borde ha större självbestämmanderätt än vad som är förenligt med att olika verk- samheter bedrivs av samma nämnd. JO fann slutligen att rättsläget måste betecknas som oklart.

När det gäller om verksamhet enligt lagen om stöd och service till vissa funktionshindrade ska förstås som socialtjänst har OSEK ansett att de fortsättningsvis i sekretesslagens mening bör anses som en och samma verksamhet.6 Detta eftersom verksamheterna står varandra nära och i vissa hänseenden kan anses utgöra komple- ment till varandra. OSEK har även uttalat att skälet till att det inte uppstår sekretess i en nämnd mellan integrerad verksamhet som omfattas av Ädelreformen snarare är att hälso- och sjukvårds- verksamheten och socialtjänstverksamheten i sådana situationer inte är självständiga i förhållande till varandra än att det skulle vara fråga om verksamhet av samma slag. Detta reser enligt kommittén i sin tur frågan hur det förhåller sig med andra verksamheter där hälso- och sjukvård och socialtjänst integreras och hanteras av samma nämnd.7 Frågan får troligen avgöras efter en bedömning av verksamheternas organisering utifrån det självständighetsrekvisit som uppställs i 8 kap. 2 § OSL.8

Utredningens bedömning är att verksamhet enligt LSS och verksamhet enligt SoL ligger mycket nära och kompletterar varandra. Det gäller oavsett hur en enskild kommun valt att orga- nisera sin verksamhet. Vi anser att det i dag svårligen kan hävdas att sekretess gäller mellan verksamhet enligt LSS och verksamhet enligt SoL om verksamheterna ligger under samma nämnd. De skäl som vanligtvis motiverar varför sekretess ska gälla i en viss situa- tion och mellan vissa verksamheter saknas även.

Vårt förslag till sekretessbrytande regel i socialtjänsten tar dock inte sikte på frågan om det gäller sekretess mellan olika delar i en och samma nämnd. Frågan om sekretess mellan verksamhet enlig LSS och övrig socialtjänstverksamhet inom samma nämnd är därför inte riktigt relevant i sammanhanget. Samtidigt kan vi konstatera att bedömningen av sekretess mellan LSS och övrig verksamhet enligt vad som beskrivits ovan är viktig i relation till gällande rätt i dag. I den delen gör vi således bedömningen att det i regel inte

6SOU 2003:99 s. 274.

7SOU 2003:99 s. 257.

8Lenberg, Geijer och Tansjö, Offentlighets- och sekretesslagen – En kommentar, s. 26:1:9.

608

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

kan anses gälla sekretess mellan LSS och annan socialtjänst- verksamhet som bedrivs under samma nämnd. Verksamheterna är i dessa fall att betrakta som av samma slag och komplement till varandra samt i övrigt inte självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.

Inte heller innebär vårt förslag att sekretessen som sådan upphävs mellan olika nämnder på socialtjänstens område. Vårt förslag innebär att det ska införas ett sekretessbrytande undantag från socialtjänstsekretessen mellan myndigheter inom social- tjänsten i samma kommun. Den sekretessbrytande bestämmelsen kommer i praktiken att undanröja socialtjänstsekretessen mellan verksamhet enligt LSS och övrig socialtjänstverksamhet, även om verksamheterna ligger under olika nämnder. Det innebär däremot inte att det blir fråga om en okontrollerad spridning av uppgifter. Den individ som uttrycker önskemål om att uppgifter om honom eller henne inte fritt ska lämnas från en myndighet till en annan myndighet ska normalt sett respekteras. Dessutom ska utred- ningens förslag ses i ljuset av de särskilt integritetsskyddande förslagen i den föreslagna socialtjänstdatalagen. Se bland annat avsnitt 24.2.1 om förslag på bestämmelser för att reglera den inre sekretessen i socialtjänsten, t.ex. med avseende på krav på behörighets- styrning och åtkomstkontroll.

21.2.5Frågan om sekretess mellan LSS och den kommunala hälso- och sjukvården i boenden med särskild service

Vår bedömning: Sekretess bedöms inte föreligga mellan LSS och kommunal hälso- och sjukvård i boenden med särskild service, när verksamheterna bedrivs under samma nämnd. På motsvarande sätt som anses gälla i verksamheter som omfattas av Ädelreformen, bör hälso- och sjukvården och verksamheten enligt LSS i detta fall inte betraktas som självständiga i för- hållande till varandra.

Som tidigare har nämnts integrerades den kommunala hälso- och sjukvården och socialtjänsten genom den s.k. Ädelreformen. I för- arbetena till de lagändringar som gjordes i samband med reformen kan utläsas att socialtjänsten och den kommunala hälso- och sjuk-

609

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

vården genom reformen inte kan betraktas som självständiga i förhållande till varandra utan att de tillhör samma verksamhets- område i sekretesshänseende.9 Det har däremot inte uttalats att den kommunala hälso- och sjukvården och LSS ska tillhöra samma verksamhetsområde.

Kommunens ansvar för hälso- och sjukvård enligt 18 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, anses även gälla de personer som bor i bostad med särskild service för vuxna enligt 9 § 9 LSS, men en lagreglering om detta saknas (jfr 18 § HSL). Enligt förarbetena till LSS ska bostad med särskild service enligt social- tjänstlagen och motsvarande boende enligt LSS jämställas i detta sammanhang.10

Socialstyrelsen har tolkat att undantaget gällande att hälso- och sjukvård och socialtjänst inte är självständiga verksamhetsgrenar bara har gällt den hälso- och sjukvård som kommunerna tog över ansvaret för i särskilda boendeformer enligt Ädelreformen. Däremot råder en osäkerhet om detsamma gäller områdena hälso- och sjukvård och bostad med särskild service för vuxna enligt 9 § 9 LSS. Detta innebär i praktiken att om man kommer fram till att det är fråga om två skilda verksamhetsgrenar så måste samtycke inhämtas från den enskilde om information lämnas mellan dessa båda verksamhetsgrenar. Socialstyrelsen har bland annat i en skrivelse till regeringen uppmärksammat denna oklarhet och skillnad jämfört med vad som uttalades i samband med Ädelreformen.11

Utredningen kan konstatera att det finns oklarheter när det gäller sekretessen mellan verksamhet enligt LSS i bostad med särskild service och den kommunala hälso- och sjukvården som kommunen har ansvar för i en sådan boendeform.

Den verksamhet som bedrivs i de särskilda boendena enligt 9 § 9 LSS bedrivs integrerat och i nära samarbete såväl med den kommunala hälso- och sjukvården som med de läkarinsatser som landstinget ansvarar för. Ett vanligt behov av stöd och omvårdnad är t.ex. att få hjälp med att ta sina, av läkare ordinerade, läkemedel. För vissa räcker det med att bli påmind om att ta medicinen medan andra behöver mer omfattande och personlig hjälp sin läkemedels- behandling. Den som förskriver läkemedel kan vid förskrivnings- tillfället behöva ta ställning till om patienten klarar av att själv hantera sina läkemedel. Om förskrivaren bedömer att patienten

9Prop. 1990/91:14 s. 85.

10Prop. 1992/93:159 s. 182.

11Socialstyrelsens skrivelse till regeringen 2003-02-17, dnr 72-1219/2003.

610

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

inte klarar det, bör ställningstagandet dokumenteras i patient- journalen.

Alla hälso- och sjukvårdsuppgifter behöver inte utföras av en sjuksköterska utan en del av dessa kan delegeras. Personal som arbetar i bostad med särskild service kan alltså även utföra hälso- och sjukvårdsuppgifter på delegation exempelvis från en legiti- merad sjuksköterska.12 Den som utför arbetsuppgifter på delega- tion tillhör hälso- och sjukvårdspersonalen vid utförandet av dessa. Detta innebär bl.a. att personal på ett särskilt boende enligt LSS utför både hälso- och sjukvårdsinsatser och socialtjänstinsatser.

Den verksamhet som bedrivs inom ett sådant särskilt boende som avses i LSS kan därmed ha stora likheter med den verksamhet som bedrivs i särskilda boenden enligt socialtjänstlagen. För den senare verksamheten uttalades i samband med Ädelreformen att den kommunala hälso- och sjukvården och socialtjänsten i detta fall inte blir att betrakta som självständiga i förhållande till varandra, eftersom det inte är fråga om verksamheter av skilda slag.13 Utredningen finner inga skäl till att en annan bedömning skulle göras endast på den grunden att den enskilde har fått stödet och servicen beviljad genom en tillämpning av LSS.

Vår bedömning är således att verksamheterna i dessa fall, om de bedrivs under samma nämnd, kan betraktas som av samma slag och komplettera varandra samt i övrigt inte anses självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.14

21.2.6Frågan om sekretess mellan hemtjänst och kommunal hemsjukvård

Vår bedömning: Verksamhet avseende hemtjänst enligt social- tjänstlagen och kommunal hemsjukvård är i dag mycket nära sammankopplade och kompletterar varandra. Det kan svårligen hävdas att sekretess gäller mellan dessa verksamheter när de ligger under samma nämnd. Vi bedömer att de skäl som vanligtvis motiverar sekretess saknas i sådana fall.

12Socialstyrelsen Bostad med särskild service för vuxna enligt LSS – Stöd för rättstillämpning och handläggning 2007 s. 51 f.

13Prop. 1990/91:14 s. 85.

14Jfr även SOU 2003:99 s. 257–258.

611

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

Under utredningens arbete har även frågan om hur man ska se på sekretessfrågorna i den kommunala hemtjänsten nu när kommunerna även har tagit över ansvaret för hemsjukvården. Socialstyrelsen har framfört att den nuvarande tolkningen när det gäller undantaget att hälso- och sjukvård och socialtjänst inte är självständiga verksam- hetsgrenar bara har gällt den hälso- och sjukvård som kommunerna tog över ansvaret för i särskilda boendeformer i samband med Ädelreformen. Socialstyrelsen anser att det inte är helt klart att uttalanden i samband med Ädelreformen angående självständiga verksamhetsgrenar kan utsträckas till att även avse sådan kommunal hälso- och sjukvård i ordinärt boende som kommunen har ansvar för efter avtal med landstinget.

Det finns således en tveksamhet ute i verksamheterna om detta även kan gälla den hälso- och sjukvård som kommunerna har tagit över från landstingen. Samtidigt kan konstateras att en stor del av de som i dag får både hemtjänst och kommunal hemsjukvård är personer som skulle kunna få en plats på ett särskilt boende enligt socialtjänstlagen. En stor andel äldre vill dock bo kvar hemma och där få insatser enligt socialtjänstlagen och även få den hälso- och sjukvård som kommunen har ansvaret för. Naturligtvis handlar det i vissa fall även om att det kan saknas platser i särskilda boenden och att enskilda därför kan få sina behov tillgodosedda i ordinärt boende i stället.

Vidare har framför allt den medicinska utvecklingen de senaste årtiondena fört med sig att allt mer hälso- och sjukvård kan utföras i enskildas hem. Sådan hälso- och sjukvård som tidigare krävde intagning i slutenvård eller vistelse i ett särskilt boende kan i dag i större utsträckning erbjudas i ordinärt boende. En konsekvens av detta kan sägas vara att delar av den verksamhet som kommunerna tog över i samband med Ädelreformen i dag i praktiken utförs inom ramen för hemsjukvården och hemtjänsten.

Bland annat mot den bakgrunden saknas det enligt utredningens bedömning skäl att i den här aktuella situationen göra en annan bedömning av sekretessfrågan än vad som gjordes i samband med Ädelreformen. Om den kommunala hemsjukvården och hem- tjänsten bedrivs i samma nämnd bör inte dessa verksamheter, lika lite som om de hade bedrivits i ett särskilt boende, anses vara självständiga i förhållande till varandra i den mening som avses i offentlighets- och sekretesslagen. Det avgörande kan rimligen inte heller vara om hälso- och sjukvården och hemtjänsten utförs i ett av kommunen anvisat särskilt boende eller i den enskildes egna

612

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

hem. Vår bedömning är således att verksamheterna i dessa fall, om de bedrivs under samma nämnd, kan betraktas som av samma slag och komplettera varandra samt i övrigt inte anses självständiga på ett sådant sätt som avses i 8 kap. 2 § OSL.

21.2.7Frågan om en sekretessbrytande regel i förhållande till hälso- och sjukvården m.m.

Av utredningsdirektiven framgår bland annat att utredningen ska undersöka om det finns skäl att i 26 kap. OSL införa sekretess- brytande bestämmelser som i relevanta delar motsvarar dem som redan gäller inom hälso- och sjukvården. Bestämmelser som bryter sekretessen gör det möjligt att i vissa situationer lämna ut uppgifter om enskilda utan att en menprövning görs eller den enskildes samtycke inhämtas.

I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en upp- gift lämnas ut, hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Frågan är om det finns skäl att införa motsvarande sekretess- brytande bestämmelse för socialtjänsten.

Något om tidigare lagstiftningsarbeten

Offentlighets- och sekretesskommittén (OSEK) föreslog när det gäller uppgiftsutbyte mellan och inom vård- och omsorgsområdena en begränsning av sekretessen som innebär en utvidgning av bestämmelserna som bryter sekretess avseende underåriga, miss- brukare och gravida (dåvarande 14 kap. 2 § sjätte stycket sekre- tesslagen [1980:100]).15 I stället för att rikta sig till dessa utpekade grupper skulle bestämmelsen kunna inkludera alla som är i behov av nödvändig vård, omsorg, behandling eller annat stöd. Enligt OSEK:s förslag ska sekretess således inte hindra att uppgifter om en enskild som behövs för att han eller hon ska få nödvändig vård,

15 SOU 2003:99.

613

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården eller socialtjänsten till en annan sådan myndighet eller till enskild vårdgivare eller enskild verksamhet på socialtjänstens område. Som skäl anfördes bl.a. att det av patient- säkerhetsskäl är väsentligt att nödvändiga uppgifter om en patient finns tillgängliga vid ett vårdtillfälle även då patientens samtycke inte kan inhämtas eller patienten motsätter sig att uppgifter lämnas ut. Enligt OSEK var förslaget ett undantag från det sekretesskydd som den enskilde har enligt sekretesslagstiftningen som måste användas med urskillning och varsamhet.

OSEK:s förslag i de delar som avsåg hälso- och sjukvården togs upp av patientdatautredningen som i sitt betänkande föreslog att om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar inte hälso- och sjukvårdssekretessen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjuk- vården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.16 Utredningen ansåg att det fanns skäl att göra ett förtydligande så att det av lagtexten skulle framgå att bestämmelsen ska användas när den enskilde kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finnas att inhämta samtycke (jfr OSEK:s förslag ovan). Detta mot bakgrund av att det i remisshanteringen av OSEK:s betänk- ande uttalades viss kritik mot att det av lagtexten inte framgick att bestämmelsen var tänkt att användas på detta sätt. Patientdata- utredningen begränsade sig till den del som enbart rör uppgifts- flödet inom hälso- och sjukvården eller från hälso- och sjukvården till socialtjänsten. Utredningen anförde att hur socialtjänsten ska få hantera sin information i individinriktad faktisk verksamhet låg klart utanför direktiven och krävde särskilda överväganden.

Vid införandet av ovan nämnda sekretessbrytande bestämmelse som gäller inom hälso- och sjukvården(25 kap. 13 § OSL) anförde regeringen bland annat följande.17

Mot bakgrund av de patientsäkerhetsaspekter som gör sig gällande när vårduppgifter om en enskild i allt större utsträckning sprids på allt fler vårdgivare och de brister i omhändertagandet som finns i integrerade verksamheter, därför att information om den enskilde på grund av

16SOU 2006:82 s. 401.

17Prop. 2007/08:126 s. 168.

614

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

sekretessen inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig utsträckning, har såväl offentlighets- och sekretess- kommittén som patientdatautredningen föreslagit att det bör införas ytterligare en sekretessbrytande bestämmelse. Förslaget innebär att sekretess inte ska hindra att uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. Patientdatautredningen har därutöver föreslagit att det av lagtexten ska framgå att sekretessgenombrottet bara gäller om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att uppgifter lämnas ut. Förslaget tar med detta tillägg i huvudsak sikte på patienter som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den patienten som klart och utan inflytande av allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Detta överensstämmer med bestämmelserna i 2 a § HSL om att hälso- och sjukvård ska bygga på respekt för patientens själv- bestämmande och integritet samt att vårdens behandling så långt möjligt ska utformas och genomföras i samråd med patienten.

Socialtjänstdatautredningen har i sitt betänkande Socialtjänsten Integritet – Effektivitet enbart föreslagit en ny bestämmelse om sekretessbrytande regler när det gäller att genomföra gemensam individbaserad verksamhetsuppföljning mellan socialtjänsten och hälso- och sjukvården.18 Förslaget har inte lett till någon lagstift- ning.

I betänkandet av utredningen om skyddsåtgärder inom vård och omsorg för personer med nedsatt beslutsförmåga föreslogs att socialtjänstsekretess inte ska hindra att uppgifter om enskild som behövs för ställningstagande i frågor gällande tvångsåtgärder enligt förslagen till lag om tvångs- och begränsningsåtgärder inom social- tjänsten i vissa fall och lag om tvångs-och begränsningsåtgärder vid medicinsk behandling i vissa fall lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndig- het eller till enskild vårdgivare eller enskild verksamhet på social- tjänstens område.19 Som bakgrund till förslaget anfördes bland annat att uppgifter om enskilda inom såväl den offentliga hälso- och sjukvården som socialtjänsten är sekretessreglerade med ett omvänt skaderekvisit. Båda områdena är också undantagna från den s.k. generalklausulens tillämpningsområde. Detta innebär att det

18SOU 2009:32.

19SOU 2006:110.

615

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

inte finns något generellt undantag från huvudregeln om att upp- giften inte får lämnas ut om det inte står klart att den kan röjas utan att den enskilde eller någon honom närstående lider men. Det kan dock finnas andra begränsningar i sekretess i form av upp- giftsskyldighet eller andra undantag från sekretessen. Någon bestämmelse med ett sådant innehåll som är tillämplig inom detta område finns dock inte. För dessa verksamheter blir ett uppgifts- lämnande i princip därför beroende av den enskildes samtycke. När det gäller den personkrets som uppdraget omfattar kommer således problem att uppstå eftersom samtycket normalt inte kan inhämtas, trots att den myndighet som efterfrågar uppgiften har behov av den för att kunna ta ställning till om tvång enligt de föreslagna lag- stiftningarna ska få användas.

21.2.8Förslag till en sekretessbrytande regel när den enskilde inte kan samtycka

Vårt förslag: Ett sekretessbrytande undantag från socialtjänst- sekretessen ska införas i offentlighets- och sekretesslagen. Innebörden av bestämmelsen är följande.

Om en enskild på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar socialtjänstsekretessen enligt 26 kap. offentlighets- och sekretess- lagen inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till en enskild vårdgivare eller en enskild verk- samhet på socialtjänstens område.

Bestämmelsen ska införas i 26 kap. 9 a § OSL och motsvarar den bestämmelse i 25 kap. 13 § samma lag som gäller inom hälso- och sjukvården.

Vår bedömning: Bestämmelsen syftar till att underlätta sam- arbetet i den individinriktade verksamheten inom och mellan socialtjänsten och hälso- och sjukvården.

616

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

Utredningen har funnit att det behövs en liknande sekretess- brytande regel vad gäller socialtjänsten så att den s.k. social- tjänstsekretessen i 26 kap. 1 § OSL inte hindrar att uppgifter om enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till enskilda verksamheter på socialtjänstens område eller till enskilda vårdgivare. Våra närmare överväganden framgår i det följande.

I de fall då den enskilde av någon anledning inte kan samtycka till att en uppgift inhämtas är det är svårt att motivera varför uppgifter får lämnas ut från hälso- och sjukvården till bland annat socialtjänsten men att det inte är möjligt att lämna uppgifter från socialtjänsten till annan verksamhet inom socialtjänsten eller till hälso- och sjukvården. Det finns inte några argument för att det är någon skillnad på uppgiftens beskaffenhet som gör att det ena är mer lämpligt än det andra.

Den information som hälso- och sjukvården behöver från socialtjänsten är framför allt uppgifter om vilka insatser som den enskilde har från socialtjänstens sida. Det är uppgifter som kan vara direkt nödvändiga för att den behandlande personalen ska kunna utföra och ge en bra vård. Det gör sig inte minst gällande i integrerade verksamheter där socialtjänst och hälso- och sjukvård arbetar tillsammans för att stödja den enskilde eller i situationer av mer akut eller annars brådskande karaktär.

Hälso- och sjukvården har behov av information som rör insatser från socialtjänsten, främst i områdena äldre, psykiatri, missbruks- och beroendevård samt för personer med funktions- nedsättning. Behovet av informationsutbyte varierar och kan dels vara begränsat till själva uppgiften om den enskilde är föremål för en viss socialtjänstinsats eller inte, dels handla om mer specifik information om den enskildes hälsa och funktionsnivåer.

Även mellan olika myndigheter inom socialtjänsten eller enskilda verksamheter på socialtjänstens område finns naturligtvis behov av att kunna utbyta information exempelvis för att den enskilde ska få det stöd som är nödvändigt i en viss situation. Behov av uppgifts- utbyte kan således uppkomma såväl mellan olika myndigheter inom socialtjänsten respektive hälso- och sjukvården som i alla fall där hälso- och sjukvården samverkar med socialtjänsten kring insatser inom hälso- och sjukvården och socialtjänsten. Detta gäller även gentemot privatpraktiserande läkare m.m. när det är en enskild som

617

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

söker vård. Oavsett vem som ska ge en enskild vård, omsorg, behandling eller annat stöd är det för den enskildes bästa väsentligt att nödvändiga uppgifter finns tillgängliga när och på den plats de behövs, även om den enskilde vid tillfället inte kan samtycka till informationsutbytet.

Under utredningens arbete har det blivit tydligt att det finns problem med gränsdragningen mellan vilken information som ska hänföras till och dokumenteras inom hälso- och sjukvård respek- tive inom socialtjänst, främst vad gäller omvårdnad. Viss informa- tion, som exempelvis uppgifter om olika funktionsnivåer, kan primär- och slutenvård eventuellt få från den kommunala hälso- och sjukvårdens patientjournal, men uppgifterna skulle lika gärna kunna finnas i socialtjänstens (omvårdnads)dokumentation. En väg att förbättra tillgången till behövlig information är således att införa en sekretessbrytande bestämmelse som utredningen föreslår. Det har då, med avseende på utlämnandefrågan, ingen avgörande betydelse var en viss uppgift kan finnas (hälso- och sjukvård eller socialtjänst). I linje med vad som måste anses ligga i den enskildes intresse blir det därmed inte avgörande var en uppgift är dokumen- terad, utan i stället i vilken vård- och omsorgssituation uppgiften behövs.

Bakgrunden till förslaget är således att värna den enskildes bästa i situationer där förmågan att själv besluta saknas. Utgångspunkten är den enskildes berättigade krav att få en god och säker hälso- och sjukvård och socialtjänst. Viktiga vård- och omsorgsuppgifter om en enskild sprids i dag på allt fler omsorgs- och vårdgivare. Det uppstår även brister i omhändertagandet om den enskilde i inte- grerade verksamheter eftersom informationen om den enskilde på grund av sekretess inte alltid kan förmedlas mellan de olika verk- samheterna i tillräcklig omfattning. Den föreslagna sekretess- brytande regeln förenklar ett utlämnande när utbytet görs fysiskt med papperskopior (till exempel med fax) eller genom ett medium för automatiserad behandling (till exempel med ett USB-minne) eller filöverföring. Bestämmelsen gör det däremot inte möjligt att lämna ut uppgifterna genom direktåtkomst.

Förslaget innebär förvisso att sekretesskyddade uppgifter kan lämnas ut och kan spridas utanför det område som socialtjänst- sekretessen omfattar i det enskilda fallet. Den risken uppvägs dock av nödvändigheten vid dessa speciella tillfällen att få tillgång till uppgifter som kan vara direkt nödvändiga för att den behandlande personalen ska kunna utföra och ge den enskilde bra insatser inom

618

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

hälso- och sjukvården och socialtjänsten. Ett utlämnande som inte kan göras på ett effektivt sätt riskerar att medföra att viktig information inte är tillgänglig när den behövs. Det kan innebära en fara för en patients säkerhet eller för en enskildes säkerhet i en behandlings- eller omsorgssituation. Vid en avvägning mellan integritetsaspekter av behovet av sekretessgenombrott väger behovet av uppgiftsutlämnandet enligt utredningens bedömning tyngre. Förslaget leder till bättre möjligheter att ge nödvändig hälso- och sjukvård och socialtjänst till en enskild vid varje vårdtillfälle för att tillgodose vård och omsorg som baseras på bästa möjliga informa- tionsutbyte. Att avstå att ta del av informationen i aktuellt fall kan inte anses försvarbart eftersom det är grundläggande för all vård och omsorg att rätt information finns tillgänglig vid rätt tillfälle.

Informationshanteringen måste så långt möjligt ta hänsyn till en individs behov av skydd för den personliga integriteten. Vi anser att förslaget väl tillgodoser detta intresse. Det är behovet av att ge god och säker vård och omsorg som motiverar den föreslagna regeln om att bryta sekretessen. Intresset av att bryta sekretessen för aktuella uppgifter väger tyngre än det intresse sekretessen avser att skydda. De situationer som är aktuella är också klart avgränsade. Det är dock viktigt att framhålla att det är fråga om undantagsfall där informationen behövs i ett enskilt fall för att den enskilde eller patienten behöver få nödvändig vård, omsorg eller behandling.

Vi föreslår därför att det införs en bestämmelse om undantag från socialtjänstsekretessen i 26 kap. 1 § OSL som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom socialtjänsten till en annan myndighet inom socialtjänsten eller hälso- och sjukvården eller till en enskild verksamhet på socialtjänstens område eller en enskild vårdgivare. Bestämmelsen kompletterar de övriga förslagen om bland annat direktåtkomst inom socialtjänsten(se avsnitt 27).

Förslaget i förhållande till enskild verksamhet i socialtjänsten

Offentlighets- och sekretesslagen gäller inte utanför den offentliga verksamheten. När det gäller den enskilda socialtjänsten finns bestämmelser om tystnadsplikt i 15 kap. 1 § SoL och 29 § LSS. Den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt SoL eller LSS får inte

619

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

obehörigen röja vad han eller hon i detta sammanhang har fått veta om enskildas personliga förhållanden.

Som obehörigt röjande anses till att börja med inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Tystnadsplikt enligt 15 kap. 1 § SoL och 29 § LSS bedöms inte utgöra hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten. Det yttersta ansvaret för kommunens uppgifter inom socialtjänsten kan inte överlåtas på annan. Av kommunallagen följer bl.a. att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp (3 kap. 19 § och 6 kap. 7 § KL). Vidare får socialnämnd som beslutat om en insats som genomförs i en enskild verksamhet träffa avtal med den som bedriver verksam- heten om att handlingar ska överlämnas till nämnden när gallrings- skyldighet inträder (7 kap. 3 § SoL och 23 a § LSS).

Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i OSL:s regler.20 Ståndpunkten är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon behandlas av en offentlig eller enskild vårdgivare. Tystnadsplikten enligt SoL och LSS utgör inte, enligt utredningens bedömning, något hinder för enskild verksamhet på socialtjänstens område att i motsvarande utsträckning som myndigheter inom socialtjänsten lämna uppgifter om enskilda i den utsträckning som behövs när fråga om sådana insatser uppkommer. Sådant utläm- nande som, genom den föreslagna bestämmelsen om sekretess- genombrott när individen inte kan lämna samtycke, är tillåtet för myndigheter ska därmed även vara tillåtet för utlämnanden från enskild verksamhet.

Närmare om hur bestämmelsen ska tillämpas

Ett utlämnande med stöd av den sekretessbrytande bestämmelsen som föreslås måste alltid föregås av en prövning i det enskilda fallet. Prövningen görs av den som ansvarar för uppgiften. En lättnad i sekretessen måste även vägas mot den enskildes krav på ett starkt integritetsskydd. I det avseendet ansluter vi oss till den bedömning som har gjorts vid införandet av motsvarande sekre- tessbrytande bestämmelse för hälso- och sjukvården. Det innebär

20 Prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133).

620

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

bl.a. att den enskildes samtycke i första hand ska utverkas av den som ansvarar för frågan om utlämnande.

Vidare ska bestämmelsen användas med urskillning och varsam- het då det framstår som direkt påkallat att bistå en enskild och den enskilde inte kan samtycka eller kan antas motsätta sig ett utlämnande eller att saken brådskar så att tid inte finns att inhämta samtycke (jfr SOU 2003:99 s. 299 och 453). Detta innebär att det av bestämmelsen ska framgå att sekretessgenombrottet bara ska gälla om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgifter lämnas ut. Förslaget tar i första hand sikte på enskilda som på grund av hälsorelaterat skäl inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den individ som klart och utan inflytande av en allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Det ligger helt i linje med de grundläggande kraven i socialtjänstlagstiftningen på att verksamheten ska bygga på respekt för den enskildes självbestämmanderätt och integritet.

Det är den utlämnande myndigheten som ska göra en prövning av om en uppgift ska lämnas ut. I första hand är det handläggaren som ska pröva frågan om utlämnande av en allmän handling. Det är således den person som enligt arbetsordning eller ett särskilt beslut svarar för vården av en handling som har att pröva ett utlämnande (6 kap. 3 § OSL). I tveksamma fall ska den anställde låta myndig- heten göra prövningen om det kan göras utan onödigt dröjsmål (6 kap. 3 § andra stycket OSL). Om det är så att den person som ansvarar för vården av en handling anser att det är tveksamt eller föreligger hinder för att lämna ut handlingen ska denne upplysa om rätten att begära att myndigheten ska pröva saken och även se till att en sådan begäran kommer till rätt instans inom myndigheten. Vem som prövar ett utlämnande är beroende på vad som framgår av arbetsordning eller särskilt beslut.

Om den myndighet som begär uppgifterna påstår att upp- gifterna behövs för att den enskilde ska få nödvändig vård kan det vara svårt för den som ska lämna ut uppgifterna att bilda sig en reell uppfattning om detta. Det ankommer dock på den presumtive uppgiftslämnaren att bedöma förutsättningarna för ett utlämnande.21 Är det fråga om nödvändig vård finns förutsättningar för ett sekretessgenombrott och uppgifterna ska då lämnas ut när upp- giften begärs från annan myndighet.

21 JO 1992/93 s. 517.

621

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

21.3Våra överväganden och förslag om kommunens möjligheter att följa upp socialtjänst i enskild verksamhet

Vi har tidigare uppmärksammat att mycket av socialtjänstinsatserna i dag utförs av privata aktörer som har avtal med kommunen och att denna utveckling har medfört en osäkerhet vad gäller kommunens möjlighet att inhämta uppgifter från de privata utförarna för att följa upp och kvalitetssäkra socialtjänsten.

I Socialtjänstdatautredningen gjorde visserligen utredaren bedöm- ningen att tystnadsplikt enligt 15 kap. 1 SoL inte utgör hinder mot att uppgifter om enskild lämnas från enskild verksamhet inom socialtjänsten till myndighet inom socialtjänsten.22

Att det inte skulle finnas någon tystnadspliktsgräns mellan en privat utförd socialtjänst och en kommunal myndighet inom social- tjänsten saknar dock enligt vår bedömning stöd i nuvarande sekretessreglering. Men det kan inte uteslutas att ett utlämnande i enskilda fall, exempelvis från en privat utförare till en kommunal myndighet, kan bedömas vara tillåtet vid en tillämpning av bestämmelserna om tystnadsplikt i 15 kap. 1 § SoL.

Frågan om kommunens skyldigheter att följa upp verksamhet som drivs av annan än kommunen och vilka möjligheter kommunen har att ta del av personuppgifter över sekretessgränser för detta ändamål är komplex. Utredningen om en ny kommunallag berörde i del- betänkandet Privata utförare – kontroll och insyn frågorna på en mer övergripande nivå.23 Däremot finns fortfarande anledning att ytter- ligare analysera och överväga behovet av en ökad tydlighet rörande kommunens möjligheter att inhämta och använda uppgifter som dokumenteras hos privata utförare av socialtjänst. Dessa frågor sätter även ljuset på innebörden av kommunens roll som huvudman för socialtjänsten.

22SOU 2009:32.

23SOU 2013:53.

622

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

21.3.1Det kommunala huvudmannaansvaret

Vår bedömning: När en kommun överlåter åt en privat utförare att utföra kommunens uppgifter inom socialtjänsten behåller kommunen sitt huvudmannaansvar för verksamheten. Det inne- bär bland annat att kommunen, precis som för verksamhet som bedrivs i egen regi, har det övergripande ansvaret för att den enskilda verksamheten bedrivs på ett tillfredsställande sätt och att detta följs upp.

I 2 kap. 4 § SoL anges att en kommuns uppgift inom socialtjänsten ska fullgöras av den eller de nämnder som kommunfullmäktige bestämmer. Vidare får kommunen enligt 2 kap. 5 § SoL sluta avtal med annan om att utföra kommunens uppgifter inom social- tjänsten. Genom ett sådant avtal får en kommun tillhandahålla tjänster åt en annan kommun. Uppgifter som innefattar myndig- hetsutövning får dock inte med stöd av denna bestämmelse över- lämnas till ett bolag, en förening, en samfällighet, en stiftelse eller en enskild individ. Med annan avses inte bara privata utförare utan även t.ex. kommunala företag.

Även när det gäller LSS är kommunen huvudman för samtliga former av stöd och service enligt den lagen, med undantag för råd- givning och annat personligt stöd som är en uppgift för landstinget (2 § LSS). En kommun får med bibehållet ansvar sluta avtal med någon annan om att tillhandahålla insatser enligt denna lag (17 § LSS).

När en kommun sluter avtal med annan om att utföra kommunens uppgifter inom socialtjänsten innebär det inte någon förändring vad gäller huvudmannaskapet. Kommunen är huvudman även om verksamheten utförs av t.ex. en privat utförare. Detta framgår indirekt av 6 kap. 7 § KL i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.24 Av kommunallagen följer således att nämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp (3 kap. 19 § och 6 kap. 7 § KL). Vidare får socialnämnd som beslutat om en insats som genomförs i en enskild verksamhet träffa avtal med den som bedriver verk-

24 Privata utförare-Kontroll och insyn, SOU 2013:53 s. 99.

623

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

samheten om att handlingar ska överlämnas till nämnden när gallringsskyldighet inträder (7 kap. 3 § SoL).

Oavsett hur en verksamhet utformas har kommunen alltjämt ett ansvar för att den omsorg och de stödinsatser som de enskilde inom kommunen erhåller bedrivs med god kvalitet.

I vissa delar kvarstår även det kommunala ansvaret för uppfölj- ning, utvärdering och eventuella kompletterande insatser, trots att en extern leverantör åtagit sig att utföra vissa tjänster för kommunens räkning inom socialtjänsten. Det gäller i de fall en kommun anlitar en extern leverantör som genom avtal åtar sig att för kommunens räkning utföra tjänster inom socialtjänstens område. När en kommun köper enstaka platser eller tjänster på en privat institution eller anläggning har kommunen inget inflytande över verksamhetens utformning men har fortfarande ansvar för att de omsorgs- och stödinsatser som den enskilde får håller god kvalitet.

I dag regleras ofta i avtal mellan kommunen och den enskilda verksamheten hur uppgiftsskyldigheten ska gå till. Om kommunen inte har denna möjlighet till information får kommunen svårighet att planera och utvärdera arbetet.

Bör begreppet huvudman definieras i socialtjänstdatalagen?

När det gäller hälso- och sjukvården så har vi i hälso- och sjuk- vårdsdatalagen föreslagit en bestämmelse som definierar kommunen som huvudman. Argumenten för detta är att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. När det gäller personuppgifter i hälso- och sjukvården förekommer sådan behand- ling både för kommuner och för landsting som huvudmän och som vårdgivare och det är därför relevant att kunna använda båda begreppen vid tillämpningen av den föreslagna hälso- och sjuk- vårdsdatalagen. Teoretiskt sett kan ett landsting eller en kommun även upphöra att vara vårdgivare, i den meningen att landstinget eller kommunen inte längre bedriver någon individinriktad hälso- och sjukvård i egen regi. Rollen och ansvaret som huvudman kvar- står dock. Även när det gäller förslaget till förbättrat informations- utbyte mellan vårdgivare inom en huvudmans ansvarsområde är begreppet nödvändigt för att beskriva de förutsättningar som

624

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

gäller. Utredningen har övervägt om det behövs en liknande bestämmelse om definition av huvudman i socialtjänstdatalagen.

När det gäller socialtjänsten så har kommunen det yttersta ansvaret för att ge invånarna en bra och säker socialtjänst. I 2 kap. 1 § SoL framgår att varje kommun svarar för socialtjänsten inom sitt område och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Av bestämmelser i bl.a. hälso- och sjukvårdslagen och socialtjänstlagen framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare.

En kommun kan inte lämna över uppgifter som avser myndig- hetsutövning till ett privaträttsligt subjekt om det inte finns lagstöd för det.25 Något sådant lagstöd finns inte när det gäller socialtjänsten vilket innebär att en kommun alltid har kvar uppgifter som innefattar myndighetsutövning. Med detta avses hela handläggningen av är ett ärende som leder fram till ett beslut. En kommun kan dock lämna över bland annat själva utförandet av en beslutad insats till en annan utförare. Detta innebär således att en kommun alltid fattar beslut om insatser i ärenden rörande individer. Till skillnad mot i hälso- och sjukvården där ett landsting eller en kommun är oförhindrade att låta all individinriktad patientvård bedrivas av privata vårdgivare och däri- genom inte längre själv bedriva hälso- och sjukvård, kommer kom- munen alltid att bedriva en individinriktad socialtjänstverksamhet. Bland annat mot den bakgrunden är vår bedömning att det inte finns behov av en motsvarande bestämmelse som definierar huvudmannen i socialtjänsten. Kommunen kommer alltid att omfattas av den defini- tion som föreslås i socialtjänstdatalagen, dvs. vara den som bedriver verksamhet inom socialtjänsten.

21.3.2Förslag om uppgiftsskyldighet från enskilda verksamheter till kommunen

Vårt förslag: En tystnadspliktsbrytande uppgiftsskyldighet ska införas i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.

Uppgiftsskyldigheten ska gälla enskilda verksamheter i för- hållande till den kommunal myndighet som har huvudmannaansvar för verksamheten. En sådan enskild verksamhet ska lämna ut de personuppgifter som den kommunala myndigheten behöver för ändamål som anges i 2 kap. 5 § socialtjänstdatalagen.

25 12 kap. 4 § regeringsformen.

625

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

Inledning

Offentlighets- och sekretesslagen gäller inte för enskilda verksam- heter enligt socialtjänstlagen och lagen med stöd och service till vissa funktionshindrade. I stället finns bestämmelser om tystnads- plikt (15 kap. SoL och 29 § LSS). Enligt dessa bestämmelser får den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet inte obehörigen röja vad man har fått veta om enskildas personliga förhållanden. Det kan beskrivas på det sättet att upp- gifter inte obehörigen får spridas utanför för den enskilt bedrivna verksamheten. Det finns inga direkta bestämmelser som anger vad ett obehörigt röjande är. En viss ledning kan dock hämtas från den menprövning som ska göras enligt offentlighets- och sekretess- lagen.26 Även andra bestämmelser i offentlighets- och sekretess- lagen kan vara till ledning, till exempel de som reglerar när sekretessen kan brytas.

Enligt förarbetena till bestämmelserna om tystnadsplikt ska det vara en nära överenstämmelse mellan tystnadsplikten för den offentliga och tystnadsplikten för socialtjänstpersonal i enskild verksamhet. Vid tolkningen av obehörighetsrekvisitet har det vidare ansetts naturligt att söka ledning i offentlighet- och sekretesslagens regler.27 Grunden är att den enskilde ska ha samma skydd för sin personliga integritet vare sig han eller hon får insatser av en offentlig eller enskild verksamhet. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

Under utredningens arbete har det framkommit att det finns en osäkerhet från företrädare för enskilda verksamheter om när man kan lämna ut information och vilken information man kan lämna ut. Även från kommunernas sida finns det en osäkerhet om vilken information man kan begära in. Den fråga som uppstår är då om det är en lyckad lösning att det för ett sådant regelbundet informationsutbyte som det är frågan om här ha den nuvarande situationen där det kan uppstå en viss tveksamhet.

Som vi tidigare redovisat delar vi den osäkerhet som verksam- heterna ger uttryck för. Enligt utredningens uppfattning står det i dag inte klart att enskilda verksamheter kan lämna ut uppgifter till den kommunala nämnden som ansvarar för verksamheten utan hinder av tystnadsplikt. Det finns därför ett behov av att tydliggöra

26Prop. 1980/81:28, prop. 1981/82:186, prop. 2007/08:126 och prop. 2005/06:161.

27Prop. 2005/06:141 s. 63, prop. 2005/06:161 s. 82 och 93 och prop. 2007/08:126 s. 133.

626

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

rättsläget och skapa reella förutsättningar för huvudmannen att följa upp och ta sitt ansvar för att alla medborgare får en social- tjänst av god kvalitet.

Kommunallagen ställer krav på att en kommun som överlåtit till privata utförare att utföra viss socialtjänst ska följa upp och kontrollera den verksamhet som bedrivs. Oavsett hur kommunerna sköter den här uppföljningen bör det vara tydligt vad en kommun kan begära in och vilka uppgifter den privata utföraren ska lämna ut till den kommunala huvudmannen.

I dag regleras ofta i avtal mellan kommunen och den enskilda verksamheten hur uppgiftsskyldigheten ska gå till. Om kommunen inte har denna möjlighet till information får kommunen svårighet att planera och utvärdera arbetet.

Utredningen om en kommunallag för framtiden har föreslagit att bland annat kommunernas ansvar att systematiskt följa upp och kontrollera privata utförares verksamhet bör förtydligas i kommunal- lagen.28 Utredningen konstaterar att de utvärderingar som gjorts visar på en splittrad bild av hur bra kommuner är på att följa upp verksamhet som bedrivs av privata utförare. Utredningen anger att vissa ligger långt framme med ambitiösa uppföljningssystem medan det finns brister i andras kontrollsystem. Ett omfattande utvecklingsarbete pågår på detta område inom Sveriges Kommuner och Landsting och hos bland annat Kammarkollegiets upphand- lingsstöd och Socialstyrelsen.

Vidare pekar utredningen på att det i framtiden kan bli nöd- vändigt att de flesta kommuner har en genomtänkt strategi för hur de i förfrågningsunderlag och avtal tillförsäkrar sig metoder för att aktivt följa upp verksamheten och också har en organisation för detta.

Oavsett hur en kommun arbetar med att följa upp verksamhet med privata utförare, så kan vi se att det finns ett behov av att klarlägga när och vilka uppgifter en enskild verksamhet ska lämna till en kommunal huvudman för uppföljning.

En bestämmelse om uppgiftsskyldighet bör införas

Utredningens generella utgångspunkt är att det kommunala huvud- mannaansvaret innebär ett ansvar för uppföljning och kvalitets- säkring av den socialtjänstverksamhet som erbjuds invånarana.

28 SOU2013:53.

627

En mer ändamålsenlig sekretessreglering i socialtjänsten

SOU 2014:23

Vidare ska de rättsliga möjligheterna att vidta en sådan kvalitets- säkring inte bero på organisatoriska förutsättningar. Kommunen har i dag möjligheter att följa upp kvaliteten av sådana insatser som görs av kommunala utförare på socialtjänstens område. Samma möjligheter bör rimligen finnas även för sådana insatser som kommunen ansvarar för men som genomförs av en enskild verk- samhet etablerad t.ex. enligt lagen (2008:962) om valfrihetssystem eller lagen (2007:1091) om offentlig upphandling. I annat fall riskerar förutsättningarna för en jämlik socialtjänst av god kvalitet att bli beroende av organisatoriska faktorer.

Det yttersta ansvaret för kommunens uppgifter inom social- tjänsten kan inte överlåtas på annan. Socialnämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp. Regelverket bör därför tydligt tillhandahålla förutsätt- ningar för en ändamålsenlig uppföljning av all socialtjänst en kommun ansvarar för.

Även om socialtjänstdatautredningen gjorde bedömningen att bestämmelserna om tystnadsplikt inte hindrade ett uppgifts- utlämnande från en enskild verksamhet till den kommunala myndigheten som ansvarar för verksamheten, anser vi alltjämt att frågan behöver få en ökad tydlighet. Därutöver är vi tveksamma till att den bedömningen socialtjänstdatautredningen gjorde kan läggas till grund för det omfattande och regelmässiga informationsutbyte som det här skulle vara fråga om.

För att tydliggöra och för att underlätta för både den kommunala huvudmannen och den enskilda verksamheten anser utredningen att det bör införas en bestämmelse som reglerar skyldighet att lämna ut information när det gäller uppföljning och kontroll av kommunen som huvudman. Förslaget innebär dock ingen inskränk- ning i den enskilda verksamhetens eget ansvar för att bedriva ett systematiskt kvalitetsarbete.

Förslaget till uppgiftsskyldighet innebär att det inte gäller någon tystnadsplikt gentemot kommunen som huvudman avseende de uppgifter som kommunen behöver för sådana ändamål som är tillåtna enligt socialtjänstdatalagen.

Vi har redan tidigare avsnitt lämnat förslag till en mer ändamåls- enlig sekretessreglering inom kommunens egen verksamhet. Det förslaget innebär att myndigheter inom socialtjänsten i samma kommun ska kunna utbyta uppgifter utan att hindras av sekretess. Genom det nu aktuella förslaget om uppgiftsskyldighet uppnås i

628

SOU 2014:23

En mer ändamålsenlig sekretessreglering i socialtjänsten

praktiken motsvarande effekt i förhållande till enskilda verksam- heter på socialtjänstens område.

Kommunallagen ställer krav på att en kommun som överlåtit till privata utförare att utföra viss socialtjänst ska följa upp och kontrollera den verksamhet som bedrivs. Även om kommunernas uppföljning kan se olika ut i landet bör det vara tydligt vad en kommun kan begära in och vilka uppgifter den privata utföraren ska lämna ut till den kommunala huvudmannen. Enligt utred- ningens bedömning är det olyckligt att det råder en osäkerhet när det gäller uppföljning av hur en verksamhet bedrivs. Speciellt mot bakgrund av de långtgående krav som lagstiftaren ändå har lagt på kommunen som huvudman och att öka möjligheterna att lämna över verksamhet till privata utförare för att uppmuntra valfrihet och nytänkande.29

Genom att föreslå tydliga bestämmelser kan den osäkerhet om informationsutbytet som finns i verksamheterna tas bort. Att införa bestämmelser när det är tillåtet att lämna ut information och vad man kan begära in från en huvudmans sida från en enskild verksamhet bidrar till att öka en säker informationshantering. Även om det vid tolkningen av vad som är obehörigt att lämna går att ledas av offentlighets- och sekretesslagens bestämmelser så är det enligt utredningens bedömning nödvändigt att det finns klara bestämmelser om vad som gäller. Eftersom socialtjänstverksamhet omfattas av sträng sekretess och det finns bestämmelser om tystnadsplikt i både SoL och LSS för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen och LSS så kan det uppstå problem i informationsutbytet.

Föreskrifter om förhållandet mellan enskilda och det allmänna som gäller åligganden för enskilda ska meddelas genom lag (8 kap. 2 § regeringsformen). En bestämmelse om uppgiftsskyldighet när det gäller enskild verksamhet ska således tas in i en lagbestämmelse.

29 Jfr bland annat SOU 2013:53 s. 114.

629

22 En ny lag: socialtjänstdatalag

22.1Bakgrund

Den nuvarande regleringen av personuppgiftsbehandlingen i social- tjänsten finns i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF. Dessutom gäller i vissa delar bestämmelserna i person- uppgiftslagen (1998:204), förkortad PUL. Det finns även regler som rör dokumentation och skyddet av den enskildes integritet på socialtjänstens område i den materiella lagstiftningen såsom social- tjänstlagen (2001: 453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Det kan därmed konstateras att de bestämmelser som reglerar vilka personuppgifter som får hanteras i socialtjänsten och hur det ska göras är utspridda på en mängd olika författningar.

Genom åren har även ett antal olika utredningar haft i uppdrag att analysera delar av dessa regelverk. Senast var det Socialtjänst- datautredningen som hade i uppdrag att göra en översyn av hur personuppgiftsbehandlingen i socialtjänsten regleras och vid behov lämna förslag för att åstadkomma en mer välfungerande och sammanhållen reglering av området.1 Eftersom betänkandet ännu inte lett till någon lagstiftning återstår fortfarande behovet av en översyn av lagen om behandling av personuppgifter inom social- tjänsten och den därtill hörande förordningen.

1 Dir. 2007:92.

631

En ny lag: socialtjänstdatalag

SOU 2014:23

Vårt uppdrag m.m.

I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom socialtjänsten. I direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredställande sätt.2 I uppdraget har utredningen sett att det finns ett behov av se över hur en mer samlad hantering av personuppgifter kan möjliggöras inom socialtjänsten mot bakgrund av de övriga förslag som läggs fram i betänkandet. Vi har i avsnitt 20 redogjort översiktligt för några av de brister vi upplever att den nu gällande regleringen har. Bristerna utgörs, enligt utredningens bedömning, bland annat av följande.

Det är generellt ett svåröverskådligt regelverk.

Otydligt förhållande mellan SoLPUL, SoLPULF och PUL.

Olika regler för olika aktörer på socialtjänstens område.

Avsaknad av bestämmelser som tydliggör krav på de informations- system som innehåller personuppgifter.

Avsaknad av bestämmelser som tydliggör när någon som arbetar i socialtjänsten får ta del av uppgifter.

Avsaknad av uttryckliga krav på behörighetsstyrning och åtkomst- kontroll.

Avsaknad av tydlig vägledning för vad som gäller ifråga om utlämnande av personuppgifter på medium för automatiserad behandling och direkåtkomst.

Bristande harmonisering med motsvarande reglering på hälso- och sjukvårdens område, dvs. patientdatalagen (2008:355).

Avsaknad av ett regelverk för ett ändamålsenligt utbyte av uppgifter mellan socialtjänst och hälso- och sjukvård.

Sammantaget har utredningen mot denna bakgrund funnit över- vägande skäl för att föreslå en helt ny reglering för personupp- giftsbehandlingen på socialtjänstens område. Våra förslag redovisas

2 Dir. 2011:111 Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjuk- vården och socialtjänsten m.m.

632

SOU 2014:23

En ny lag: socialtjänstdatalag

i följande avsnitt. Förutom att vi bedömer att det är nödvändigt för att ge socialtjänsten stöd att utveckla en mer ändmålsenlig informationshantering skulle det bidra till att öka medvetenheten om denna lagstiftnings existens och innehåll.

22.1.1Kort om våra utgångspunkter för denna typ av lagstiftning

I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverket ska ha som målsättning att öka förutsättningarna för ännu bättre resultat för de individer som är i behov av social- tjänstens stöd. Det handlar om att tillförsäkra den enskilde en rättssäker handläggning, men även om att se till att informations- hanteringen i sig bidrar till en mer jämlik socialtjänst samt ökad kvalitet och bättre resultat.

Både för individens del och för verksamheten är det alldeles nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar många gånger om grundläggande och självklara förutsättningar som att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt, att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken för personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.

Generellt bedömer vi att enskildas intresse av en god socialtjänst och ett välfungerande integritetsskydd inte står i motsats till motsvarande intressen om kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom socialtjänsten. Det är på många sätt en farlig utveckling om enskilda känner en sådan otrygghet i hur uppgifter hanteras att enskilda väljer att hålla inne med information

633

En ny lag: socialtjänstdatalag

SOU 2014:23

som kan vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi samtidigt understryka att vi inte upplever att det finns något tillitsproblem visavi socialtjänstens informationshantering. Tvärtom har våra kontakter med både enskilda, anhörigorganisationer och verksamheterna själva stärkt bilden av att förtroendet för socialtjänsten och det sätt information hanteras på är högt.

För att återkoppla till inledningen i detta avsnitt vill vi tydlig- göra att vår utgångspunkt är att lagstiftningen på detta område på ett tydligt sätt ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen moti- veras, utan även hur enskilda paragrafer utformas och formuleras. Det senare har vi inte minst haft anledning att reflektera över i samband med vår analys av tillämpningen och konsekvenserna av patientdatalagen på hälso- och sjukvårdens område. Där är det tydligt att inte minst många yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och genom det se den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi har utformat vårt förslag till en ny socialtjänstdatalag.

Samtidigt är det viktigt att understryka att en registerlag- stiftning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst personuppgiftslagen och dess definitioner och terminologi är styrande även för motsvarande begrepp används och formuleras i socialtjänstdatalagen. Det innebär att språket i vissa delar är mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstiftning som i stor utsträckning ska tillämpas av dem som inte primärt är skolade i personuppgiftslagstiftning. Vi bedömer av att det är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.

634

SOU 2014:23

En ny lag: socialtjänstdatalag

22.2Våra överväganden och förslag

22.2.1En samlad reglering i en ny lag

Vårt förslag: Den i dag gällande lagen om behandling av person- uppgifter inom socialtjänsten ska upphöra att gälla och ersätts med en ny lag om behandlingen av personuppgifter inom social- tjänsten med namnet socialtjänstdatalag. Bestämmelser i lagen och förordningen om behandling av personuppgifter inom socialtjänsten ska sammanföras till socialtjänstdatalagen.

En särskild registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet vad gäller särskilt känsliga register. Myndighetsregister med ett stort antal registre- rade personer och med ett särskilt integritetskänsligt innehåll bör vara reglerade i lag.3 Den behandling av personuppgifter som förekommer inom socialtjänsten är av sådan karaktär och omfatt- ning att de grundläggande principerna för behandlingen ska finnas i en lag. Riksdag och regeringen har i flera sammanhang uttalat att ett myndighetsregister som behandlar känsliga uppgifter om ett stort antal personer bör regleras i lag4.

Som redovisats ovan och i tidigare avsnitt har den nuvarande lagen, dvs. SoLPUL, vissa brister. Lagens förhållande till bland annat personuppgiftslagen och till förordningen om behandling av personuppgifter inom socialtjänsten, är komplicerad. Särskilt lagens förhållande till förordningen bidrar enligt utredningen till en mer splittrad reglering än vad som är ändamålsenligt för en socialtjänst av i dag. För att få till stånd en mer sammanhållen reglering bör, enligt utredningens uppfattning, utgångspunkten vara att samtliga bestämmelser i den nuvarande lagen och förordningen ska föras över till den nya lagen i den mån bestämmelserna ska finnas kvar.

Lagen saknar en uppräkning för vilka ändamål personuppgifter får behandlas inom socialtjänsten. Inte heller är lagen harmoniserad med patientdatalagen, med avseende på struktur och systematik. Särskilt med tanke på att hälso- och sjukvård och socialtjänst ligger mycket nära varandra har det framförts behov av att harmonisera lagstiftningen så att de i större utsträckning liknar varandra.

3 Prop. 1990/91 s. 56 ff, prop. 1997/98:44 s. 41 och prop. 2009/10:80.

4 Bet. 1990/91:KU11 s. 11, bet. 1997/98:KU18 s. 43, prop. 1990/91:60 s. 58, prop. 1997/98:44 s. 40 och rskr. 1997/98:180.

635

En ny lag: socialtjänstdatalag

SOU 2014:23

Utredningen har av de redovisade skälen kommit fram till att en ny lag om behandling av personuppgifter inom socialtjänsten ska införas, med namnet socialtjänstdatalag.

Utredningens bedömning är att författningsstrukturen och det materiella innehållet bör överensstämma i stort med den författ- ningsreglering angående behandling av personuppgifter som före- slås för hälso- och sjukvården. När man ser på socialtjänstens mål, syften och organisation kan vi konstatera att socialtjänstverk- samheten och hälso- och sjukvården ligger mycket nära varandra. En stor del av utredningens uppdrag gäller just ett utökat utbyte av uppgifter mellan socialtjänsten och hälso- och sjukvården (se avsnitt 32). Utredningen har därför gjort bedömningen att den reglering som föreslås för behandling av personuppgifter inom hälso- och sjukvården och en ny lag om behandling av personupp- gifter inom socialtjänsten så långt möjligt bör harmoniseras.

För att den nya lagen ska bli överblickbar föreslår vi att den delas in i ett flertal olika kapitel. I ett inledande kapitel bör lagens tillämpningsområde och vissa grundläggande begrepp definieras. Ett kapitel bör innehålla grundläggande bestämmelser om person- uppgiftsbehandling, t.ex. ifråga om ändamål och personuppgifts- ansvar. Ett annat kapitel bör innehålla bestämmelser om en säker och ändamålsenlig hantering av personuppgifter. Lagen bör också innehålla särskilda kapitel med bestämmelser om utlämnande av uppgifter, direktåtkomst mellan olika utförare av socialtjänst, rättigheter för enskilda samt informationshantering i verksamheter som rör enskilda med sammansatta behov av insatser från social- tjänsten och hälso- och sjukvården.

22.2.2Bestämmelser om handläggning och dokumentation ligger kvar i befintlig lagstiftning

Vår bedömning: Bestämmelser om handläggning och doku- mentation m.m. bör lämnas oförändrade och ligga kvar i befintlig lagstiftning, som exempelvis socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade.

Vårt förslag: I socialtjänstdatalagen ska det finnas en hänvisning till bestämmelserna om handläggning och dokumentation i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade.

636

SOU 2014:23

En ny lag: socialtjänstdatalag

Utredningen har övervägt om bestämmelser om handläggning och dokumentation bör återfinnas samlat i socialtjänstdatalagen eller om dessa bestämmelser bör ligga kvar i befintlig lagstiftning. Bestämmelser om handläggning och dokumentation är viktiga för att garantera den enskildes rättsäkerhet. Bestämmelser som reglerar handläggning och dokumentation finns i förvaltningslagen (1986:223) och i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade. Även i lagen (1988:870) om vård av miss- brukare i vissa fall, förkortad LVM, och i lagen (1990:52) med särskilda bestämmelser om vård av unga, förkortad LVU, finns bestämmelser om handläggning och dokumentation i dessa speciella situationer. Socialstyrelsen har i sina föreskrifter och allmänna råd (SOSFS 2006:5) kompletterande bestämmelser när det gäller bl.a. dokumentation. Bestämmelserna är väl inarbetade i respektive lagstiftning. Om bestämmelser om dokumentation ska tas med i den nya socialtjänstdatalagen bör även bestämmelser om gallring m.m. finnas där. Mot bakgrund av att det ändå inte skulle vara möjligt att samla alla bestämmelser om handläggning och dokumentation i socialtjänstdatalagen är utredningens bedömning att dessa bestämmelser bör ligga kvar i socialtjänstlagen och i lagen om stöd och service till vissa funktionshindrade. Vår bedömning är att det annars kan finnas en risk att det upplevs som splittrat eftersom vissa handläggningsbestämmelser fortfarande måste finnas kvar i den materiella lagstiftingen.

Vi har därför stannat för att bestämmelser om dokumentation ska ligga kvar i befintliga författningar men att en hänvisning ska finnas i den nya lagen.

22.2.3Lagens tillämpningsområde

Vårt förslag: Socialtjänstdatalagen ska gälla vid behandling av personuppgifter inom socialtjänsten för kommunala myndig- heter, enskilda verksamheter och Statens institutionsstyrelse (den som bedriver socialtjänst).

Med kommunal myndighet avses socialnämnd eller mot- svarande kommunal nämnd i fråga om sådan socialtjänst som kommunen har ansvar för och bedriver enligt socialtjänst- lagen, lagen med särskilda bestämmelser om vård av unga, eller lagen om vård av missbrukare i vissa fall. Vidare omfattar det kommunal nämnd ifråga om sådan verksamhet som

637

En ny lag: socialtjänstdatalag

SOU 2014:23

kommunen har ansvar för och bedriver enligt lagen om stöd och service till vissa funktionshindrade.

Med enskild verksamhet avses yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd enligt socialtjänstlagen eller enligt lagen om stöd och service till vissa funktionshindrade och sådan enskild verksamhet inom social- tjänsten som i övrigt bedrivs enligt avtal med kommunen.

Tillämpningsområdet omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av person- uppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. I tillämpliga delar gäller lagen även för behandling av uppgifter om avlidna.

Vår bedömning: Även hos den som bedriver socialtjänst och omfattas av lagens tillämpningsområde förekommer personupp- giftsbehandling som bör falla utanför den nya socialtjänst- datalagens tillämpningsområde. Det kan exempelvis vara sådan personuppgiftsbehandling som görs i den interna administrativa verksamheten, t.ex. rörande anställda eller leverantörer av varor eller tjänster.

Sådan särskild personuppgiftsbehandling som görs för forsk- ningsändamål eller utbildningsändamål bör också falla också utanför lagens tillämpningsområde.

Utredningen gör bedömningen att de föreslagna bestämmelserna i socialtjänstdatalagen ska tillämpas av sådana myndigheter och enskilda verksamheter som agerar på socialtjänstens område när det gäller individinriktad verksamhet. Det handlar om personuppgifts- behandlingen hos dem som i egentlig mening har ansvar för eller bedriver socialtjänst. Hos dessa är det dessutom själva kärnverk- samheten som regleras. Det innebär exempelvis att personuppgifter som behandlas för helt andra ändamål, t.ex. intern personal- administration, faller utanför lagens tillämpningsområde.

Genom utredningens förslag avgränsas tillämpningsområdet även i förhållande till sådana andra aktörer som på olika sätt agerar i anslut- ning till socialtjänstsektorn, t.ex. myndigheter som Socialstyrelsen och Inspektionen för vård och omsorg. Även verksamheter som olika frivilligorganisationer utför faller utanför lagens tillämpningsområde,

638

SOU 2014:23

En ny lag: socialtjänstdatalag

åtminstone till den del organisationen inte faller inom ramen för definitionen av enskild verksamhet nedan.

Kärnverksamheten i socialtjänsten ska regleras

Vår utgångspunkt är att den nya lagen endast ska rikta in sig på behandlingen av personuppgifter hos kommunala myndigheter, enskild verksamhet och Statens institutionsstyrelse. Det handlar därmed om de aktörer som i egentlig mening har ansvar för och bedriver socialtjänst enligt socialtjänstlagstiftningen, t.ex. sådan ärendehandläggning och faktiskt handlande som görs med stöd av socialtjänstlagen eller lagen om stöd och service till vissa funktions- hindrade. Det är således den individinriktade verksamheten i socialtjänsten och den informationshantering som förekommer i denna verksamhet som i första hand ska regleras.

Detta är en skillnad jämfört med dagens reglering i SoLPUL och SoLPULF som i viss utsträckning även reglerar personuppgifts- behandling hos Socialstyrelsen och Inspektionen för vård och omsorg. Vi anser att personuppgiftsbehandlingen hos dessa myndigheter med fördel regleras utanför kommunernas, de enskilda verksamheternas och Statens institutionsstyrelses behandling av personuppgifter. Det legala stödet för Socialstyrelsens och Inspektionen för vård och omsorgs hantering av personuppgifter får sökas i PUL. När det gäller sådan hantering av personuppgifter som i dag gäller för Socialstyrelsens verksamhet som avses i lagen (2007:606) om utredningar avseende vissa dödsfall, föreslår utredningen i avsnitt 30 att detta överförs till en särskild lag.

Kommunal myndighet

Med kommunal myndighet avses kommunala nämnder och under- lydande förvaltning på socialtjänstens område. Begreppet omfattar socialnämnd eller motsvarande kommunal nämnd i fråga om sådan socialtjänst som kommunen har ansvar för och bedriver enligt socialtjänstlagen, lagen med särskilda bestämmelser om vård av unga eller lagen om vård av missbrukare i vissa fall. Vidare omfattar det kommunal nämnd ifråga om sådan verksamhet som kommunen har ansvar för och bedriver enligt lagen om stöd och service till vissa funktionshindrade.

639

En ny lag: socialtjänstdatalag

SOU 2014:23

Detta innebär att det är personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska socialtjänsten som regleras av lagen. Härmed avses exempelvis både beställar- och utförarnämnder med underlydande förvaltningar och verksamheter. Lagen reglerar därmed både sådan behandling av personuppgifter som utförs i kommunens myndig- hetsutövande verksamhet och i sådan verksamhet kommunen själv bedriver för att genomföra beslut om insatser, vård, stöd eller annan behandling. Det innebär vidare att lagen ska tillämpas av sådana verksamheter som kommunen bedriver inom ramen för råd och service.

Statens institutionsstyrelse

Socialtjänstdatalagen ska omfatta den behandling av personupp- gifter på socialtjänstens område som görs av Statens institutions- styrelse. Det innebär att myndigheten ska tillämpa lagen i dess verksamhet enligt lagen om vård av missbrukare i vissa fall, lagen med särskilda bestämmelser om vård av unga samt lagen (1998:603) om verkställighet av sluten ungdomsvård.

Enskilda verksamheter

Begreppet enskild verksamhet inom socialtjänsten ska enligt utredningens mening definieras på samma sätt som i dag. Defini- tionen finns i förordningen om behandling av personuppgifter i socialtjänsten. Det saknas enligt vår mening anledning att förändra detta begrepp.

Med enskild verksamhet avses alltså yrkesmässig verksamhet som bedrivs av en juridisk eller fysisk person med tillstånd enligt socialtjänstlagen eller enligt lagen om stöd och service till vissa funktionshindrade. Vidare så avses med enskild verksamhet även sådan verksamhet inom socialtjänsten som i övrigt bedrivs enligt avtal med kommunen.

Definitionen gäller oavsett om den enskilda verksamheten är etablerad genom exempelvis lagen (2007:1091) om offentlig upp- handling eller lagen (2008:962) om valfrihetssystem. Även sådan enskild verksamhet som anlitar underleverantörer omfattas av definitionen.

640

SOU 2014:23

En ny lag: socialtjänstdatalag

Forskning och utbildning

Även om det inom ramen för socialtjänsten förekommer forskning och utbildning är det verksamheter som enligt utredningens bedömning inte bör regleras av socialtjänstdatalagen. Som anförts ovan är det framför allt socialtjänstens individinriktade kärn- verksamhet och den personuppgiftsbehandling som förandleds av denna som ska regleras. Sådan särskilt personuppgiftsbehandling som föranleds av enskilda forskningsprojekt bör därför, precis som i dag, även fortsättningsvis regleras av personuppgiftslagen (1998:204). Det gäller oavsett om forskningen bedrivs av kommunen som forsknings- huvudman eller om den exempelvis bedrivs av ett universitet. Förutom personuppgiftslagen gäller naturligtvis även lagen (2003:460) om etikprövning av forskning som avser människor (etikpröv- ningslagen). Enligt etikprövningslagen ska bl.a. all forskning som innefattar behandling av känsliga personuppgifter enligt 13 § PUL etikprövas.

Motsvarande bör gälla även för sådan utbildning som kan förekomma inom socialtjänstens område. Det har inte varit möjligt för utredningen att närmare granska förutsättningarna för att använda uppgifter om enskilda i teoretisk eller praktisk utbildning av studeranden. I den utsträckning en studerande, t.ex. på praktik, rent faktiskt deltar i ärendehandläggning eller genomförande av insatser, omfattas den studerande naturligtvis av socialtjänst- datalagens tillämpningsområde. Det innebär att den studerande i sådant fall får ta del av och dokumentera uppgifter om enskilda i den utsträckning som är nödvändig för arbetets utförande och i övrigt följer de rutiner och riktlinjer som finns hos den som bedriver verksamheten.

Den slags personuppgiftsbehandling som regleras

Inom socialtjänsten förekommer en omfattande personuppgifts- behandling i en oöverblickbar mängd elektroniska system. Det förekommer dessutom såväl rent manuell hantering som sådan elektronisk hantering som inte har systematiserats på ett sätt som gör att man kan tala om register. Precis som på hälso- och sjukvårdens område är it-strukturen så komplex att frågan om personuppgiftsbehandlingen görs i särskilda register eller databaser blir oväsentlig. Det avgörande är i stället att uppgifterna hanteras

641

En ny lag: socialtjänstdatalag

SOU 2014:23

elektroniskt och samlas in för uttryckligt angivna ändamål. Mot den bakgrunden bör socialtjänstdatalagen, precis som annan modern registerlagstiftning, omfatta all helt eller delvis auto- matiserad behandling av personuppgifter i socialtjänstens kärn- verksamhet.

Utredningens förslag innebär att vissa grundläggande bestäm- melser om personuppgiftsbehandling – bestämmelser om den enskildes inställning till personuppgiftsbehandling, ändamål för personuppgiftsbehandlingen, personuppgiftsansvar, personupp- gifter som får behandlas och sökbegrepp – alltid ska tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna ska i enlighet med vad som anförts ovan inte bara tillämpas på personuppgiftsbehandling i särskilda register eller databaser utan ska omfatta all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom socialtjänsten. Utöver detta ska bestämmelserna tillämpas på viss manuell hantering i register, nämligen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av person- uppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Detta innebär att manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register inte omfattas av de grundläggande bestämmelserna om behandling av personuppgifter. Däremot kan andra bestämmelser komma att tillämpas på sådan personuppgiftsbehandling. Det gäller exempelvis bestämmelserna om när den som arbetar i socialtjänsten får ta del av dokumenterade uppgifter om en enskild.

I socialtjänstens verksamhet förekommer även en mängd uppgifter om avlidna. Uppgifter om avlidna omfattas dock inte i dag av personuppgiftslagens bestämmelser. Vi anser att uppgifter om avlidna kan vara integritetskänsliga och att sådana uppgifter behöver omfattas av en reglering som tillvaratar det behov av integritetsskydd som finns i förhållande till den avlidna och de efterlevande. Eftersom utredningens utgångspunkt är att social- tjänstdatalagen ska innehålla de bestämmelser som behövs och så lång möjligt omfatta den informationshantering som förekommer i verksamheten, bedömer vi att lagen i tillämpliga delar även bör omfatta behandling av uppgifter rörande avlidna. Det gäller exempelvis för vilka ändamål uppgifter om avlidna får användas eller vilken elektronisk åtkomst som får förekomma till upp- gifterna.

642

SOU 2014:23

En ny lag: socialtjänstdatalag

22.2.4Definition av socialtjänst

Vårt förslag: Den definition av begreppet socialtjänst som i dag återfinns i lagen om behandling av personuppgifter inom social- tjänsten ska, med ett undantag, alltjämt vara gällande. Undan- taget innebär att det med socialtjänst enligt socialtjänstdatalagen inte ska avses verksamhet enligt lagen om utredningar av vissa dödsfall.

Vi har i tidigare avsnitt konstaterat att det inte finns någon enhetlig definition av socialtjänst utan att det finns en rad uppräkningar i olika lagstiftningar. Socialtjänstdatautredningen framhöll i sitt betänkande att det inte var en enkel uppgift att försöka avgränsa vad som i detta sammanhang bör avses med socialtjänst och att situationen kompliceras ytterligare genom att socialnämnderna i kommunerna (som är de som främst hanterar socialtjänsten) i sin tur kan se olika ut från kommun till kommun beroende på kom- munens storlek, folkmängd, organisation och politiska struktur m.m.5

Vi har under vårt arbete utgått från den nuvarande definitionen av socialtjänst i offentlighet- och sekretesslagen (jfr 26 kap. 1 § ). Den definition av socialtjänsten som finns i sekretesslagstiftningen har även stått som förebild för den nuvarande definitionen i lagen om behandling av personuppgifter inom socialtjänsten.

Det är helt nödvändigt att definiera det område som en ny lag om behandling av personuppgifter inom socialtjänsten ska reglera. Utredningen har inte sett behov av att föreslå någon ny definition utan anser att den som förekommer i dag kan kvarstå. Den definition av begreppet socialtjänst som i dag förekommer i lagen om behandling av personuppgifter inom socialtjänsten ska således i stort sett fortsätta att gälla. Ett undantag bör dock göras. Verksamhet enligt lag om utredningar avseende vissa dödsfall ska i stället överföras till en särskild lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall.

5 Socialtjänsten Integritet – Effektivitet, SOU 2009:32 s. 279.

643

En ny lag: socialtjänstdatalag

SOU 2014:23

Närmare om vad som ska avses med socialtjänst

Handläggning av ärenden och faktiskt handlande enligt social- tjänstlagen är att hänföra till socialtjänst. Det kan röra social- nämndens ansvar för omsorg, service, upplysningar, råd, stöd, vård, ekonomiskt bistånd m.m. Även verksamhet enligt lagen om vård av missbrukare i vissa fall och lagen med särskilda bestämmelser om vård av unga omfattas av begreppet socialtjänst. Servicetjänster åt äldre (jfr 2 kap. 7 § lagen [2009:47]om vissa kommunala befogen- heter) ingår i definitionen socialtjänst. Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommun- fullmäktige bestämmer. Särskilda bestämmelser om gemensam nämnd finns i lagen (2009:192) om gemensam nämnd inom vård- och omsorgsområdet(jfr 2 kap. 4 § SoL).

Med socialtjänst ska avses även övrig verksamhet som enligt lag eller förordning bedrivs av socialnämnd. Det inbegriper bl.a. de uppgifter socialnämnden har inom det familjerättsliga området. I föräldrabalken finns t.ex. regler om nämndens medverkan vid fastställande av faderskap, adoption m.m. Vidare ska nämnden enligt andra författningar komma in med yttranden till myndig- heter eller ta emot underrättelser eller vidta åtgärder. Sådana bestämmelser finns t.ex. i lagen (1964:167) om särskilda bestäm- melser om unga lagöverträdare, namnlagen (1982:670), körkorts- förordningen (1998:980), lagen (1991:2041) om särskild person- utredning i brottmål m.m., lagen (1991:1137) om rättspsykiatrisk undersökning och lagen (2007:606) om utredningar av vissa dödsfall.

Den verksamhet som bedrivs av Statens institutionsstyrelse (SiS) är socialtjänst. SiS ansvar för särskilda ungdomshem enligt 12 § LVU och LVM-hem enligt 22 och 23 §§ LVM. Ytterligare uppgifter följer av förordningen (2007:1132) med instruktion för SiS. Även sådan verksamhet som bedrivs i enlighet med förord- ningen är att anse som socialtjänst vid tillämpningen av denna lag. SiS ansvarar även för verkställigheten av sluten ungdomsvård enligt 32 kap. 5 § brottsbalken som ska bedrivas vid sådana särskilda ung- domshem som avses i 12 § LVU (1 § lagen om verkställighet av sluten ungdomsvård).

Verksamhet vid kommunal invandrarbyrå är att betrakta som socialtjänst. En invandrarbyrå är en frivillig kommunal service- inrättning med uppgift att hjälpa invandrare till rätta i samhället och informera olika kommunala förvaltningar och kommun-

644

SOU 2014:23

En ny lag: socialtjänstdatalag

invånare om invandrarnas bakgrund. Det är dock osäkert hur många kommuner som i dag bedriver verksamhet i form av kommunal invandrarbyrå. I de kommuner som inte har en särskild invandrarbyrå, handläggs frågor som rör invandrare inom ramen för socialtjänsten.

Socialtjänst omfattar också handläggning av ärenden om bistånd som lämnas av socialnämnd åt asylsökande och andra utlänningar. I lagen (1994:137) om mottagande av asylsökande m.fl., förkortad LMA, finns bestämmelser om sysselsättning för och bistånd till vissa utlänningar. En socialnämnds verksamhet enligt LMA ska därmed anses som socialtjänst enligt denna lag.

Med socialtjänst avses verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade. Med detta inbegrips även de åtgärder som åläggs kommunen och som regleras i 51 kap. socialförsäkringsbalken angående assistansersättning.

Slutligen som omfattas handläggning av ärenden om tillstånd till parkering för rörelsehindrade av begreppet socialtjänst.

22.2.5Syftet med lagen

Vårt förslag: En bestämmelse om syftet med lagen införs där det anges att informationshanteringen i socialtjänsten ska vara organiserad så att den tillgodoser god kvalitet, rättssäkerhet, och kostnadseffektivitet inom socialtjänsten. Vidare ska lagen särskilt främja att

1.den som arbetar i socialtjänsten säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete, och

2.personuppgifter utformas och i övrigt behandlas så att individers personliga integritet respekteras.

Målet för socialtjänsten är att den på demokratins och solidari- tetens grund ska främja människors ekonomiska och sociala trygg- het, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet. Socialtjänsten ska under hänsynstagande till människans ansvar för sin och andra sociala situation inriktas på att frigöra och utveckla enskildas och gruppers egna resurser. Verksamheten ska bygga på respekt för människors självbestämmanderätt och integritet

645

En ny lag: socialtjänstdatalag

SOU 2014:23

(jfr 1 kap. 1 § SoL). I den nuvarande lagen om behandling av personuppgifter saknas en syftesbestämmelse. Utredningen har kommit fram till att det borde finnas en portalbestämmelse som talar om vad lagen ska åstadkomma. Vi anser att det tydligt ska framgå av en syftesbestämmelse att lagens bestämmelser ska leda till att social omsorg ska vara ska vara organiserad så att den tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet.

Det grundläggande syftet med anteckningar m.m. inom social- tjänsten är att tillgodose en för de enskilda rättssäker och god kvalitet i insatser inom socialtjänsten. Det är även av stor vikt att informationen om de enskilda inte hanteras på ett sätt som äventyrar den enskildes integritet. En reglering bör vara enkel och anpassad till såväl nuvarande och framtida förhållanden.

All behandling av personuppgifter ska utföras på ett sätt som respekterar de registrerades integritet. Det gäller oavsett för vilka ändamål personuppgifter utformas och behandlas. Integritetsfrågan är lika viktig när det gäller andra personer som det kan finnas uppgifter om i socialtjänstens verksamhet, t.ex. anhöriga. Därför ska det framgå att syftet gäller till förmån för samtliga personer som det kan finnas uppgifter om.

Ett grundläggande syfte med hanteringen av personuppgifter inom socialtjänsten är att den som arbetar inom socialtjänsten snabbt och enkelt ska få tillgång till de uppgifter som han eller hon behöver för att kunna utföra sitt arbete. Det gäller i ärende- hantering men framförallt i genomförandeledet. Den som arbetar inom socialtjänsten måste ha nödvändig information för att kunna utföra sitt arbete. Att snabbt och enkelt ha tillgång till rätt information möjliggör att den enskilde får de insatser och den omsorg som man har behov av.

Informationshanteringen inom socialtjänsten kommer således att ha betydelse för den enskilde men även för underlag vid verk- samhetsuppföljning, kontroll och tillsyn eller i rättsliga samman- hang. Även som källmaterial vid forskning och kvalitetssäkring kan personuppgifter inom socialtjänsten få betydelse. Det är därför enligt utredningens bedömning av vikt att en bestämmelse om syftet med lagen ska införas.

646

SOU 2014:23

En ny lag: socialtjänstdatalag

22.2.6Förhållandet till personuppgiftslagen

Vårt förslag: Förhållandet till personuppgiftslagen ska uttryckas på ett sådant sätt att personuppgiftslagen ska gälla om inget annat sägs i socialtjänstdatalagen eller i föreskrifter som med- delas med stöd av lagen. Socialtjänstdatalagen innehåller således de särbestämmelser och förtydliganden i förhållande till person- uppgiftslagen som det bedömts finnas ett behov av.

Personuppgiftslagen är generellt tillämplig på all behandling av personuppgifter och gäller därför för socialtjänstens personupp- giftsbehandling om det inte finns avvikande bestämmelser i lag eller förordning. Utredningen föreslår att en särskild registerlag införs när det gäller behandling av personuppgifter i socialtjänsten. Lagen ska vara generellt tillämplig på all behandling av uppgifter, oavsett om behandlingen av uppgifter görs av en enskild tjänsteman eller i ett register eller en databas där uppgifter och handlingar är gemensamt tillgängliga i verksamheten. Lagens bestämmelser ska tillämpas på all behandling av uppgifter inom socialtjänsten, oavsett om det gäller e-posthantering, enkel ordbehandling eller för- farandet av omfattande gemensamma personregister.

Det framtagna förslaget har utgått ifrån vad som har legat till grund för motsvarande reglering i nu gällande patientdatalag. Det innebär att personuppgiftslagens regler gäller om inte annat följer av det framtagna förslaget. Eftersom socialtjänsten och hälso- och sjukvården i många delar ligger nära varandra och inom vissa områden, såsom när det gäller äldreomsorgen, ibland är integrerade så finns det skäl att beakta regleringen i patientdatalagen. Utred- ningen har därför haft som utgångspunkt att regleringen av behandling av personuppgifter i socialtjänsten och i hälso- och sjukvården bör, i den utsträckning som bedöms lämpligt, vara likartade vad gäller systematik och övergripande innehåll.

Utredningen föreslår att socialtjänstdatalagen endast innehåller de särbestämmelser och förtydliganden som det har bedömts finnas ett behov av. I övrigt ska personuppgiftslagen tillämpas. Det innebär exempelvis att begrepp som exempelvis ”behandling” av personuppgifter och ”personuppgifter” har samma innebörd i socialtjänstdatalgen som begreppen har i personuppgiftslagen. Socialtjänstdatalagen ska dock i tillämpliga delar även gälla i förhållande till avlidna. Vid tillämpningen av lagen gäller även 8 §

647

En ny lag: socialtjänstdatalag SOU 2014:23

första stycket PUL om utlämnande av personuppgifter enligt 2 kap. tryckfrihetsförordningen (TF). Ett uttryckligt förtydligande om detta ska tas in i socialtjänstdatalagen.

Även de grundläggande kraven enligt 9 § PUL ska gälla vid behandling av personuppgifter enligt socialtjänstdatalagen, dock med de begränsningar som kan följa av t.ex. särskilda bestämmelser om bevarande och gallring. Finalitetsprincipen i 9 § första stycket d) PUL gäller inte heller vid behandling av personuppgifter enligt socialtjänstdatalagen.6 Inte heller gäller 9 § andra stycket om att behandling av personuppgifter för historiska, statistiska eller veten- skapliga ändamål inte generellt ska anses som oförenligt med de ändamål för vilka uppgifterna samlades in. Att dessa bestämmelser inte gäller vid tillämpningen av socialtjänstdatalagen följer av den uttömmande ändamålsbestämmelsen som tas i lagens andra kapitel, se avsnitt 23.

Socialtjänstdatalagen anger således uttömmande för vilka ändamål som uppgifter får behandlas inom socialtjänsten. En sådan ordning stärker integritetsskyddet och bidrar till en bättre förutsebarhet för den enskilde registrerade. För att inte låsa utvecklingen föreslår vi samtidigt att personuppgiftsbehandling som är otillåten enligt denna lag ändå får utföras med stöd av den enskildes samtycke, se avsnitt 23.

När det gäller behandling av uppgifter om personnummer (jfr 22 § PUL) kommer enligt socialtjänstdatalagen personnummer att få behandlas om det behövs för ett sådant ändamål som är tillåtet enligt ändamålsbestämmelserna eller i övrigt med stöd av förslaget om verkan av den enskildes samtycke. Vi återkommer i det följande vilka ytterligare bestämmelser i personuppgiftslagen som ska tillämpas vid behandling av personuppgifters om regleras i social- tjänstdatalagen.

Närmare om vilka bestämmelser i personuppgiftslagen som är tillämpliga

Även personuppgiftslagens bestämmelser (33–35 §§) om över- föring av personuppgifter till tredje land ska som huvudregel gälla vid behandling av personuppgifter inom socialtjänsten. När det gäller ärenden om fastställande av faderskap, vårdnad om barn och

6 Finalitetsprincipen innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket de samlades in.

648

SOU 2014:23

En ny lag: socialtjänstdatalag

om internationella adoptioner ska särskilda bestämmelser finnas i socialtjänstdatalagen. En kommunal myndighet får lämna ut uppgifter till tredje land i ärenden om fastställande av faderskap, vårdnad om barn och om internationella adoptioner. Detta regleras i dag i 16 § förordningen om behandling av personuppgifter inom socialtjänsten och en motsvarande bestämmelse ska införas i socialtjänstdatalagen. Bestämmelsen ska således med avseende på dessa ärenden (dvs. fastställande av faderskap, vårdnad om barn och om internationella adoptioner) tillämpas i stället för bestäm- melserna om överföring av personuppgifter till tredje land i 33– 35 §§ PUL.

I den utsträckning som den som är personuppgiftsansvarig har utsett ett personuppgiftsombud blir bestämmelserna i personupp- giftslagen om sådana ombud även tillämpliga på socialtjänstdata- lagens område.

Eftersom socialtjänstdatalagen saknar särskilda bestämmelser om upplysningar till allmänheten om behandlingar som inte har anmälts (42 § PUL) och om befogenheter för tillsynsmyndigheten vid tillsyn över behandling av personuppgifter (43–47 §§) gäller också dessa på socialtjänstdatalagens område.

Bestämmelserna i 48 § PUL om att den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat ska tillämpas på motsvarande sätt vid behandling av personuppgifter i socialtjänsten.

Bestämmelsen i 49 § PUL om ansvar för överträdelser gäller endast vid överträdelser av de paragrafer i personuppgiftslagen som ska gälla och är straffsanktionerade. I praktiken blir bestämmelsen därför tillämplig endast i ett fåtal fall på socialtjänstens område, t.ex. vid uppsåtligt eller grovt oaktsamt lämnande av osann uppgift i ett registerutdrag eller vid uppsåtlig eller grovt oaktsam överföring av personuppgifter till tredjeland i strid med 33–35 §§ PUL.

Även bestämmelserna i 51 § första stycket, 52 § första stycket och 53 § PUL om överklagande ska tillämpas vid behandling av personuppgifter i socialtjänsten.

649

23Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

23.1Bakgrund

Utredningens utgångspunkt är som tidigare nämnts att en lagstift- ning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i socialtjänsten. Det handlar bland annat om att tillförsäkra den enskilde en rättssäker handläggning, men även om att se till att informationshanteringen i sig bidrar till en mer jämlik socialtjänst samt ökad kvalitet och bättre resultat.

Både för den enskilde och för socialtjänstens verksamheter behöver de grundläggande förutsättningarna för informations- hantering och personuppgiftsbehandling vara tydliga. Det innebär bl.a. att socialtjänstdatalagen ska kunna ge svar på vilka person- uppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som socialtjänsten är det dock inte möjligt att i detalj förutse och reglera varje form av person- uppgiftsbehandling. Däremot bedömer vi att det finns goda förut- sättningar att utforma socialtjänstdatalagen som en ramlagstiftning, som i princip anger den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom socialtjänsten. I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom socialtjänstdata- lagens tillämpningsområde.

651

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

23.2Våra överväganden och förslag

Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. socialtjänstdatalagen. Kapitlet innehåller bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka personuppgifter som får behandlas inom socialtjänsten, vilken betydelse individens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i socialtjänsten.

23.2.1Tillåtna ändamål för behandlingen av personuppgifter

Vårt förslag: I socialtjänstdatalagen ska uttömmande anges de ändamål för vilka personuppgifter får samlas in och i övrigt behandlas inom socialtjänsten. Ändamålen ska vara följande

1.att handlägga ärenden som rör enskilda och för att doku- mentera genomförande av beslut om stödinsatser, vård och behandling,

2.att upprätta eller inhämta annan dokumentation som följer av lag, förordning eller annan författning,

3.att systematiskt och fortlöpande utveckla och säkra kvali- teten i verksamheten,

4.administration, planering, uppföljning, utvärdering och till- syn av verksamheten, eller

5.att framställa statistik.

Personuppgifter som behandlas för ändamål 1–5 får även behandlas för att fullgöra uppgiftslämnande som görs i överens- stämmelse med lag eller förordning.

Bestämmelser om för vilka ändamål personuppgifter får behandlas har en central roll i registerförfattningar. Genom att ange ändamål och reglera vilka uppgifter som får behandlas avgränsas och tydlig- görs förutsättningarna för behandling av personuppgifter. Genom att ange ändamål uppfylls det grundläggande kravet att person- uppgifter endast får samlas in för särskilda, uttryckligt angivna

652

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

berättigade ändamål och fortsättningsvis behandlas på sätt som inte är oförenligt med de ändamål för vilka uppgifterna samlades in.1

Reflektioner kring nuvarande reglering m.m.

I dag är de tillåtna ändamålen för behandling av personuppgifter i socialtjänsten olika beroende på vilken aktör som bedriver social- tjänsten. I lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, finns ingen ändamåls- uppräkning utan i lagen anges endast som en grundläggande förutsättning att personuppgifter får behandlas bara om det är nödvändigt för att arbetsuppgifter inom socialtjänsten ska kunna utföras. De närmare ändamålen för tillåten behandling framgår sedan av förordningen (2001:637) om behandling av personupp- gifter inom socialtjänsten, förkortad SoLPULF. Enligt förord- ningen får exempelvis en kommunal myndighet behandla person- uppgifter vid handläggning av ärenden, genomförande av beslut, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten. För en enskilt driven socialtjänst är de tillåtna ända- målen betydligt mer begränsade. Exempelvis får en sådan verksam- het inte behandla personuppgifter för uppföljning, utvärdering och kvalitetssäkring av verksamheten, utan endast för dokumentation av vård, behandling eller omsorg samt administration.

Utredningen anser att den nuvarande regleringen av flera skäl inte är ändamålsenlig för att socialtjänsten ska kunna utföra sin verksamhet på ett tillfredsställande sätt. En brist är att de tillåtna ändamålen inte framgår direkt av lagen utan får sökas i förord- ningen. Det gör regelverket svåröverskådligt och bidrar i övrigt till ett komplicerat förhållande till den grundläggande bestämmelsen i SoLPUL om att personuppgifter får behandlas om det är nöd- vändigt för att arbetsuppgifter i socialtjänsten ska kunna utföras. Ett annat centralt problem är att förutsättningarna för behandling av personuppgifter regleras olika beroende på vilken aktör som bedriver socialtjänst. Enligt utredningens bedömning är detta olyckligt och inverkar negativt på enskilda individers möjligheter att få en jämlik och högkvalitativ socialtjänst oberoende av vilken aktör som står för genomförandet av insatser. Utredningen kan

1 Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) och personuppgiftslagen (1998:204).

653

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

exempelvis inte se att behoven av att behandla personuppgifter för att säkra och utveckla kvaliteten i verksamheten skiljer sig åt mellan en kommunal och en privat eller idéburen utförare av socialtjänst. Det berättigade intresset från medborgarna bör vara att verk- samheter som utför likartade insatser har samma möjligheter att bedriva ett ständigt förbättringsarbete genom en systematisk kvalitetssäkring.

En uttömmande ändamålsbestämmelse som är generellt tillämplig för alla som bedriver socialtjänst

Mot bakgrund av vad som redovisats ovan anser utredningen att det i socialtjänstdatalagen bör tas in en ändamålsbestämmelse som gäller för alla som bedriver socialtjänst, vare sig det handlar om personuppgiftsbehandling inom kommunens myndighetsutövande del eller under genomförandet av insatser hos Statens institutions- styrelse eller kommunal eller privat utförare. För vilka ändamål personuppgiftsbehandling kommer att förekomma bör rimligen avgöras av verksamhetens karaktär och behoven i det enskilda fallet. Av hänsyn till de befogade integritetsintressen som finns, anser utredningen att det bör finnas bestämmelser som preciserar när en behandling är tillåten. Det underlättar för de som ska behandla uppgifterna om det är tydligt när behandling av person- uppgifter inom socialtjänsten är tillåten. I bestämmelsen anges därför en uppräkning över de ändamål som generellt är tillåtna vid behandling av personuppgifter i socialtjänsten. Uppräkningen kan därför sägas utgöra en yttersta ram för när och för vilka syften den som bedriver socialtjänst får behandla personuppgifter.

Vidare anser utredningen att ändamålsbestämmelsen ska vara uttömmande i den meningen att personuppgifter inte ska få behandlas för andra syften än de som framgår av bestämmelsen. Här har utredningen övervägt om det i stället skulle vara lämpligt med en ordning som gör det möjligt för socialtjänsten att behandla personuppgifter även för andra ändamål som eventuellt i ett senare skede kan bli aktuella i verksamheten. Samtidigt bör hänsyn tas till att den föreslagna lagen kommer att gälla uppgifter som typiskt sett är av integritetskänslig natur. Generellt i en sådan lagstiftning bör, som en försiktighetsprincip, en ändamålsbestämmelse vara ut- tömmande om inte särskilda skäl talar för det motstående. Stöd för det senare kan exempelvis föreligga om det är svårt att förutse för

654

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

vilka ändamål personuppgifter kommer att behöva behandlas och risken för oönskade konsekvenser, t.ex. med hänsyn till individers eller allmänna intressen, är uppenbar. Med tanke på socialtjänstens karaktär, uppgifternas känslighet och enskilda individers behov av förutsebarhet och skydd för den personliga integriteten bedömer utredningen dock att ändamålsbestämmelsen bör vara uttöm- mande. Denna bedömning gjordes även av Socialtjänstdatautred- ningen i Betänkandet Socialtjänsten Integritet – Effektivitet.2

Detta är även i linje med flertalet övriga registerförfattningar som reglerar behandling av särskilt integritetskänsliga uppgifter. En innebörd av utredningens förslag är att personuppgiftslagens finalitetsprincip inte kommer att gälla vid behandling av person- uppgifter enligt socialtjänstdatalagen. Finalitetsprincipen i 9 § 1 stycket d personuppgiftslagen (1998:204), förkortad PUL, inne- bär, som tidigare nämnts, att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Även om vårt förslag kan sägas medföra en viss inskränkning av flexibiliteten att behandla personuppgifter för andra ändamål än de insamlade, kan ifrågasättas hur stort utrymme finalitetsprincipen i praktiken har på socialtjänstens område. Social- datautredningen uttalade bl.a. följande om den prövning av de nya ändamålen jämfört med de ursprungliga som skulle behöva göras.3

Enligt utredningens uppfattning bör man vid denna ”oförenlighets- prövning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom EG-direktivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, sär- skilt rätten till privatlivet, i samband med behandling av personupp- gifter. Vid ett sådant förhållande blir det fråga om en restriktiv tillämp- ning av bestämmelsen i 9 § första stycket d personuppgiftslagen och utrymmet för att behandla redan insamlade uppgifter för andra ända- mål blir följaktligen litet.

Den omständigheten att utrymmet för att tillämpa finalitets- principen bedöms vara litet kan i och för sig motivera att principen bör få genomslag även på socialtjänstens område. Av skäl som

2SOU 2009:32.

3SOU 1999:109 s. 160.

655

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

redovisats ovan är utredningens bedömning dock att en uttöm- mande bestämmelse är att föredra. Om en sådan bestämmelse dessutom utformas på ett tämligen generellt sätt anser vi att behovet av en sund balans mellan tydlighet och flexibilitet kan uppnås. Eftersom verksamheten inom socialtjänsten är omfattande och mångskiftande är det därför viktigt att de föreslagna ändamålen är generellt utformade så att inte socialtjänstens verksamhet begränsas på ett oavsiktligt sätt. Denna avvägning gör enligt utred- ningen att de skäl som å ena sidan talar för en uttömmande bestäm- melse och de intressen som å andra sidan finns av att tillhandahålla ett ändamålsenligt regelverk som ger goda förutsättningar för lång tid framöver båda tillgodoses och förenas.

Däremot, och som ett undantag från vad som ovan sägs, anser utredningen att det finns skäl att tillåta personuppgiftsbehandling som i och för sig saknar stöd i den föreslagna lagens ändamåls- bestämmelse men som den enskilde individen samtycker till. Det kommer därmed att vara tillåtet att behandla personuppgifter för andra ändamål än de uppräknade om individen har lämnat sitt sam- tycke. För ytterligare om betydelsen av individens inställning se avsnitt 23.2.4.

Nedan följer en redogörelse för utredningens närmare över- väganden och förslag om tillåtna ändamål för personuppgifts- behandlingen.

Handlägga ärenden och dokumentera genomförande av beslut

Den största delen av behandling av personuppgifter inom social- tjänsten är förstås den som behövs för att handlägga ärenden som rör enskilda. Det kan till exempel handla om den personuppgifts- behandling som utförs när beslut om individuellt behovsprövade insatser fattas. Även dokumentationen för att genomföra verk- ställigheten av beslut om stödinsatser, vård och behandling utgör en stor del av den dokumentation som utförs inom socialtjänsten. Sådan dokumentation ska således omfattas av det aktuella ända- målet. Det innebär att ändamålet ska omfatta sådan behandling av personuppgifter som utförs inom ramen för verkställigheten, exempelvis när omsorg ges på ett särskilt boende eller olika hem- tjänstinsatser genomförs. Det aktuella ändamålet tar sikte på doku- mentation av verkställighet av beslut och därmed omfattas inte sådan rådgivning eller sådant stöd som inte är biståndsbedömt av

656

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

detta ändamål. Därmed görs en tydlig koppling mellan doku- mentationsskyldigheten och möjligheterna att behandla person- uppgifter utan att den enskilde kan motsätta sig det. Sådan person- uppgiftsbehandling som det kan finnas behov av i verksamhet som inte omfattas av dokumentationsskyldighet kan dock göras med stöd av den enskildes samtycke, se vidare avsnitt 23.2.4.

Socialstyrelsen har i sin handbok om handläggning och doku- mentation inom socialtjänsten förklarat ordet handläggning som ett förfarande som börjar med att ett ärende väcks och efter utredning utmynnar i ett beslut.4 Till handläggning av ett ärende avses här även att följa upp en insats så länge insatsen pågår, att göra en omprövning och att handlägga ett överklagande.

Begreppet ärende ska i bestämmelsen ges en vidare innebörd än vad som avses i förvaltningslagen (1986:223) och 11 kap. 1 § social- tjänstlagen (2001:453), förkortad SoL. Även när en socialnämnd ännu inte beslutat att inleda en utredning enligt 11 kap. 1 § SoL ska personuppgifter få behandlas. Det innebär exempelvis att social- nämnden får behandla personuppgifter inom ramen för den för- handsbedömning som görs innan nämnden fattat beslut om att inleda eller inte inleda en utredning.

När det gäller barn och unga regleras i 11 kap. 1 a § SoL att socialnämnden vid anmälan genast ska göra en bedömning av om barnet eller det unge är i behov av omedelbart skydd och att en sådan bedömning ska dokumenteras. I andra stycket framgår att beslut att inleda eller inte inleda utredning ska, om det inte finns synnerliga skäl, fattas inom fjorton dagar efter att anmälan kommit in och att ett sådant beslut inte behöver fattas om det redan pågår en utredning om det barn eller den unge som anmälan avser. I för- arbetena5 framgår att några remissinstanser anser att det är oklart om ställningstagandet att inleda eller inte inleda utredning är ett egentligt beslut. Regeringen föreslog mot den bakgrunden att det i lagen tydligt anges att det är ett formellt beslut som dokumenteras på sedvanligt sätt.

4Socialstyrelsen Handläggning och dokumentation inom socialtjänsten.

5Prop. 2012/13:10 s. 59.

657

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

Upprätta eller inhämta dokumentation som följer av lag eller annan författning

I andra fall än vad som avses när det gäller ändamålen att handlägga ärende kan det finnas en skyldighet för socialtjänsten att lämna ifrån sig uppgifter. Denna skyldighet kan finnas i lag, förordningen eller annan författning. För att kunna fullgöra den skyldigheten måste socialtjänsten göra en särskild personuppgiftsbehandling. I allmänhet bör det vara fråga om utlämnande av sådana uppgifter som uppkommer i ett ärende. I viss mindre utsträckning kan det dock vara nödvändigt med en särskild personuppgiftsbehandling där dokumentationen i stället utformas utifrån hur uppgifts- skyldigheten ska fullgöras. Det behövs därför ett särskilt ändamål som reglerar den här uppgiften.

Det kan till exempel vara sådan personuppgiftsbehandling som görs i samband med att socialnämnden lämnar ut uppgifter enligt 12 kap. 5–10 §§ SoL eller uppgift som lämnas ut till åklagare om ungdomsvård eller ungdomstjänst som någon dömts till och som inte fungerar.

Att säkra och utveckla kvaliteten i verksamheten

Av 3 kap. 3 § SoL framgår att insatser inom socialtjänsten ska vara av god kvalitet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras. Det innebär bland annat att verksamheter inom socialtjänsten ska utveckla metoder för att noga följa och analysera utvecklingen vad gäller kvalitet.

Motsvarande bestämmelser finns i 6 § lagen (2003:387) om stöd och service till vissa funktionshindrade, förkortad LSS, som säger bland annat att en sådan verksamhet ska vara av god kvalitet och bedrivas i samarbete med andra berörda samhällsorgan och myndig- heter. Enligt LSS föreskrivs även att verksamheten ska bygga på respekt för den enskildes självbestämmanderätt och integritet och att kvaliteten ska systematiskt och fortlöpande utvecklas och säkras. Det ska även finnas personal som behövs för att ett gott stöd och en god service och omvårdnad ska kunna ges.

Vad som avses med god kvalitet är svårt att fastställa på ett objektivt sätt eftersom olika behov och förväntningar påverkar förställningarna av vad som är god kvalitet. God kvalitet i social- tjänstens verksamhet har beskrivits som att tjänsterna ska motsvara

658

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

målen i gällande lagstiftning.6 Under de senaste åren har arbete med att ta fram så kallade kvalitetsindikatorer på påbörjats för att kunna belysa flera av aspekter av de sociala tjänsternas kvalitet. Social- styrelsen har beslutat om föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete. Före- skrifterna och allmänna råden ska tillämpas i verksamhet enligt socialtjänstlagen och LSS m.fl. De områden som särskilt har lyfts fram är kvalitetssäkring av bland annat sociala tjänster och hand- läggning och dokumentation.

Mot bakgrund av det allmänna intresset och den stora bety- delsen av att kvaliteten i socialtjänsten hela tiden utvecklas är det centralt att personuppgifter får behandlas för ändamålet. Med utredningens förslag blir det tydligt att även juridiska eller fysiska personer som ansvarar för privat verksamhet inom socialtjänsten får hantera personuppgifter för att utveckla verksamheten och för att säkra kvaliteten i verksamheten.

Kvalitetssäkringsarbete kan göras enlig olika metoder och i olika former. I allmänhet behöver dock arbetet inbegripa någon form av personuppgiftsbehandling. Många gånger handlar det om att upp- gifter som redan är dokumenterade i den mer individinriktade verksamheten för att fatta eller genomföra beslut om stödinsatser, vård eller behandling, senare återanvänds i det systematiska kvali- tetsarbetet. Men det kan i vissa fall även handla om att person- uppgifter samlas in särskilt för kvalitetssäkringsändamål. Som exempel på det kan nämnas olika former av enkäter där enskildas upplevelser av verksamheten och insatsernas resultat efterfrågas och analyseras. Ibland kan det sannolikt även uppstå svårigheter att i praktiken avgöra vad som är det övergripande syftet med en viss behandling av personuppgifter, t.ex. om den görs för genom- förandet av insatserna eller för det systematiska kvalitetsarbetet. Enligt utredningens uppfattning är det helt naturligt att ändamålen ibland överlappar varandra. Det är heller inget problem så länge den som bedriver verksamheten själv är klar över för vilka ändamål som personuppgifter samlas in och behandlas i verksamheten. Detta ska självklart även återspeglas i den information om personuppgifts- behandling som enskilda har rätt att få.

Utredningens förslag till ändamålsbestämmelse tydliggör att personuppgifter får behandlas inom socialtjänsten för ett syste- matiskt kvalitetsarbete. Med stöd av bestämmelsen kan därför t.ex.

6 God kvalitet i socialtjänsten – om ledningssystem för kvalitet i verksamhet enligt SoL, LSS, LVU, LVM, Socialstyrelsen 2008.

659

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

en kommun eller en privat utförare behandla personuppgifter i sin egen verksamhet för att mäta kvaliteten och få underlag till för- bättringsarbeten. Bestämmelsen tar dock inte sikte på eventuella möjligheter för olika aktörer att behandla personuppgifter för en gemensam kvalitetssäkring, t.ex. genom att personuppgifter samlas in från flera aktörer för en samlad behandling och analys. Ett sådant informationsutbyte är även beroende av vad som bedöms möjligt med hänsyn till bestämmelser om sekretess och tystnads- plikt. Här kommer utredningens förslag om en mer ändamålsenlig sekretessreglering i socialtjänsten att föra med sig nya och tydliga möjligheter för den kommun som har det yttersta ansvaret för kvaliteten i socialtjänsten att samla in personuppgifter från olika verksamheter och låta dem ligga till grund för kvalitetsarbetet.

Inom hälso- och sjukvården finns så kallade nationella och regionala kvalitetsregister som syftar till att systematiskt och fort- löpande utveckla och säkra vårdens kvalitet. Inom socialtjänsten finns inte något motsvarande. Utredningen lämnar inte något förslag när det gäller frågan om kvalitetsutveckling med hjälp av nationella kvalitetsregister inom socialtjänsten. Se vidare avsnitt 28.

Administration, planering, uppföljning och utvärdering av verksamheten

Med administration och planering avses på ett mer övergripande plan, till exempel att planera och dimensionera antalet omsorgs- platser, fördela anslag m.m.

Det är av vikt att den som är verksam inom socialtjänsten konti- nuerligt eller vid särskilda tillfällen kan behandla personuppgifter för att administrera, planera, följa upp och utvärdera verksamheten. Det kan röra sig om allt ifrån att planera och dimensionera olika verksamheter till att fördela anslag inom det geografiska ansvars- området. Den administration och planering som avses i bestäm- melsen genomförs därmed på en mer övergripande nivå än vad som avses med ändamålet att handlägga ärenden.

Det är även viktigt att göra det möjligt att använda individ- uppgifter för att följa upp och utvärdera verksamheten. Med ut- värdering avses analys och värdering av kvalitet, effektivitet och resultat av verksamheten i förhållande till de mål som bestämts för densamma. Inom socialtjänsten upprättas personakter men det görs även olika typer av sammanställningar av uppgifter om enskilda

660

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

(från personakt). I nuvarande bestämmelser anges begreppet sam- manställning av personuppgifter som ett ändamål (se avsnitt 23.2.2). Med det avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Med sådana samman- ställningar avses således sådana som upprättas inom socialtjänsten bl.a. för att underlätta administrationen och som utgör register i en mer inskränkt bemärkelse. Sammanställningarna används främst som stöd för handläggning, beslut och i samband med verk- ställigheten av besluten. En sådan sammanställning får anses ingå i ändamålet administration och därför anser utredningen att begrep- pet sammanställning inte behöver anges i lagen.

Med tillsyn avses den interna tillsynen som den som bedriver verksamhet inom socialtjänsten har att göra i sin egen verksamhet. Det kan vara kontroll i individärenden och enskilda verksamheter.

Statistik

För närvarande får en socialnämnd stödja sig på bestämmelserna i personuppgiftslagen om nämnden vill göra sammanställningar av personuppgifter för framställning av statistik.7 Till socialtjänstens uppgifter hör enligt 3 kap. SoL att bland annat göra sig väl förtrogen med levnadsförhållandena i kommunen och att informera om socialtjänsten i kommunen. Vidare ska socialtjänsten genom uppsökande verksamhet och på annat sätt främja förutsättningarna för goda levnadsförhållanden. I den uppsökande verksamheten ska socialnämnden upplysa om socialtjänsten och erbjuda grupper och enskilda sin hjälp. När det är lämpligt ska socialnämnden samverka med andra samhällsorgan och med organisationer och andra föreningar.

Enligt utredningens bedömning är det av vikt att det klart och tydligt framgår av ändamålsbestämmelsen att den som bedriver socialtjänst får behandla personuppgifter även för framställning av statistik. Därför föreslås att personuppgifter ska få behandlas för statistikändamål. Det kan exempelvis vara sådan statistik som kommunen tar fram för att informera invånarna om socialtjänstens olika verksamheter. Men det kan även handla om att privata ut- förare av socialtjänst sammanställer statistik för att underlätta för enskilda som ska välja utförare.

7 prop. 2002/03:36

661

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

Även om det är tillåtet för den som bedriver socialtjänst att behandla personuppgifter för framställning av statistik gäller sam- tidigt det grundläggande kravet på att endast de personuppgifter som behövs för ändamålet får användas. Verksamheten behöver därför göra en noggrann värdering av vilka personuppgifter som är relevanta för ändamålet. Det bör även övervägas om de som har till uppgift att ta fram statistik behöver ha tillgång till direkt utpekande personuppgifter som namn och personnummer eller om det räcker med sådana uppgifter som endast indirekt pekar ut den enskilde. Naturligtvis gäller även att presentation och publicering av statistik från socialtjänsten ska göras på ett sådant sätt att enskilda individer inte röjs.

Vidare ska tydliggöras att detta ändamåls inte tar sikte på sådan behandling som omfattas av lagen (2001:99) om den officiella stati- stiken vid behandling av personuppgifter vid framställning av offi- ciell statistik.

Uppgiftsutlämnande som görs i överensstämmelse med lag eller förordning

Personuppgifter som behandlas i socialtjänsten lämnas i olika sam- manhang ut till enskilda eller till myndigheter och andra organisa- tioner. Om utlämnandet görs för syften som gäller den utlämnande verksamheten, omfattas personuppgiftsbehandlingen av något av de ändamål som har angetts ovan. I själva verket görs dock många utlämnanden för mottagarens räkning. Det kan exempelvis handla om sådant informationsutbyte som behövs i samband med hand- läggning av ärenden eller genomförandet av beslut. Men det kan även handla om att uppgifter lämnas ut till enskilda eller någon denne närstående. Eftersom ett utlämnande i rättslig mening är en personuppgiftsbehandling i sig, behöver den även ha stöd i lag.

För sådan socialtjänst som bedrivs av kommuner och av Statens institutionsstyrelse gäller att utlämnande av allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Det följer av grundlags företräde framför vanlig lag och av 8 § PUL, som också gäller vid behandling av personuppgifter enligt socialtjänstdatalagen. Efter- som sekretess normalt gäller för uppgifter om enskilda i social- tjänsten, krävs även att sekretessen inte hindrar ett utlämnande.

662

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

Samtidigt finns i offentlighets- och sekretesslagen (2009:400), förkortad OSL, bestämmelser som tillåter eller medger att upp- gifter lämnas ut utan hinder av sekretess. En sådan bestämmelse är bl.a. den sekretessbrytande bestämmelse vi föreslår för vissa situa- tioner när den enskilde inte kan samtycka till utlämnandet. Offentlighets- och sekretesslagen innehåller även bestämmelser om att uppgifter utan hinder av sekretess får lämnas till en enskild.

Gemensamt för det uppgiftsutlämnande som det är fråga om i detta fall är att det görs med stöd av författningar som påbjuder eller tillåter ett utlämnande, dvs. ett annat slags uppgiftsutlämnande än det som grundar sig på en uppgiftsskyldighet. För att undanröja några som helst tveksamheter om vad som gäller bör det därför uttryckligen införas en ändamålsbestämmelse som medger att personuppgifter som behandlas med stöd av något eller några av de i tidigare nämnda ändamålen, också får behandlas för sådant upp- giftsutlämnande som görs i överensstämmelse med lag eller förord- ning. Socialtjänstdatalagen gör det därmed möjligt att behandla personuppgifter för att kunna administrera ett utlämnande som är lagligt.

23.2.2Sammanställningar av personuppgifter

Vår bedömning: De nuvarande reglerna om sammanställning av personuppgifter i SoLPUL bör utgå och inte föras över till socialtjänstdatalagen.

Vårt förslag: Som en konsekvens av detta ska utgångspunkten för att beräkna gallringsfrist för sådana sammanställningar, enligt vad som i dag framgår av socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade, utgå. Den gemen- samma utgångspunkt för att beräkna gallringsfristen blir när den sista anteckningen om den enskilde har gjorts i en personakt.

Hos socialtjänsten finns personuppgifter om enskilda framförallt i en personakt. En personakt är en akt med handlingar som rör en eller flera enskilda personer och innehåller handlingar om en eller flera personer som är eller har varit aktuella för utredning eller insats hos socialnämnden. En akt kan innehålla löpande anteck- ningar från samtal som förs med den enskilde i samband med

663

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

planering och genomförande av insatser. Även tidigare utredningar och läkarintyg m.m. kan finnas i en personakt.8 Den del av en personakt där anteckningar av betydelse för handläggning av ett ärende och genomförande av en insats görs kontinuerligt och i kronologisk ordningen kallas journal.9 I dag är det vanligt att personakter förs elektroniskt i ett verksamhetssystem.

Förutom de personakter som upprättas görs även olika typer av sammanställningar av uppgifter om enskilda inom socialtjänsten. I dag används begreppet sammanställning av personuppgifter i SoLPUL. Begreppet sammanställning av uppgifter i personakt har funnits med sedan införandet av personuppgiftslagen. Med begreppet avses sådana sammanställningar som görs i samband med socialtjänstens administration och planering. Registren används i första hand som stöd för handläggningen av de ärenden där social- tjänsten har en utredningsskyldighet och som stöd för de beslut som utredningen utmynnar i.10 Det används även som administra- tivt stöd vid handläggningen av arbetsplaner och utbetalningar av ekonomiskt bistånd. Till viss del används de även som underlag för tillsyn, uppföljning och utvärdering av socialtjänstens verksamhet. Registren underlättar också rapporteringen av uppgifter till Social- styrelsen som under för den offentliga statistiken.

Sammanställningsregister har traditionellt även ansetts skilja sig från personakterna på det viset att de är tillgängliga på ett mer omedelbart sätt än som är fallet med personakter. Sammanställ- ningarna kan mot den bakgrunden framstå som mer integritets- känsliga eftersom de är tillgängliga för ett större antal tjänstemän och lämnar ut uppgifter om den enskilde utan att den nödvändigt- vis samtidigt ges en objektiv beskrivning av den enskildes för- hållanden. Alltsedan socialtjänstlagens tillkomst har det funnits ett förbud för socialnämnderna att ta in uppgifter om ömtåliga person- liga förhållanden i olika typer av sammanställningar av personupp- gifter. Om sådana anteckningar behöver göras så är det nödvändigt att lägga upp en personakt och sedan får en hänvisning till person- akten göras i sammanställningsregistret.

I sammanställningar av personuppgifter får i dag inte tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga personliga förhållanden (jfr 7 a § SoLPUL). Med uppgifter om ömtåliga personliga förhållanden avses förutom känsliga person-

8Socialstyrelsens handbok Handläggning och dokumentation inom socialtjänsten.

9Socialstyrelsens handbok Handläggning och dokumentation inom socialtjänsten.

10Handläggning inom socialtjänsten Clevesköld, Lundgren och Thunved s. 335.

664

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

uppgifter enligt personuppgiftslagen även andra uppgifter om personliga förhållanden som kan förekomma inom socialtjänsten och vars behandling kan anses vara kränkande för den personliga integriteten. Det kan till exempel vara uppgifter om försörj- ningsförmåga och familjeförhållanden.11

Från detta förbud finns undantag för uppgifter om åtgärder som har beslutats inom socialtjänsten som innebär myndighetsutövning och för uppgifter om den bestämmelsen som ett sådant beslut grundar sig på. Vidare undantas uppföljning, utvärdering och kvali- tetssäkring samt tillsynsverksamhet som bedrivs av Inspektionen för vård och omsorg. Undantaget gäller även för administration och tillsynsverksamhet som bedrivs av Statens institutionsstyrelse centralt. Uppgift som avslöjar medlemskap i fackförening får aldrig tas in i sammanställningarna.

Med beaktande av den preciserade uppräkning av de ändamål som personuppgifter får behandlas för, behöver utredningen överväga om sammanställning av personuppgifter i personakt, behöver nämnas som ett särskilt ändamål. Sådana samman- ställningar används för administration, för stöd vid handläggning av enskilda ärenden samt för uppföljning, utvärdering och kvalitets- säkring. I vissa fall även som underlag till Socialstyrelsen för den offentliga statistiken. Enligt utredningens bedömning behöver begreppet sammanställning av personuppgifter i personakt inte särskilt nämnas i ändamålsbestämmelsen eftersom det ryms i de punkter som nyss har räknats upp.

Utredningen föreslår vidare att förbudet mot att i samman- ställningsregister ta in känsliga personuppgifter inte ska finnas kvar. Det bör inte föras över till socialtjänstdatalagen. I dag finns bestämmelser om undantag från förbudet när det gäller uppgifter om åtgärder som har beslutats inom socialtjänsten och uppgifter om den bestämmelse som ett sådant beslut grundar sig på. Vidare finns undantag för uppföljning, utvärdering och kvalitetssäkring. Skälen till att de sistnämnda ska omfattas av undantaget är att det är fråga om tillfälliga sammanställningar som förstörs efter en viss tid och att de enbart blir tillgängliga för ett begränsat antal personer. Undantag finns även för tillsynsverksamhet och för administration som bedrivs av Statens institutionsstyrelse centralt.

Det är enligt utredningens bedömning inte nödvändigt att i den särskilda registerlagstiftning för socialtjänsten som nu föreslås

11 Prop. 2002/03:36 s. 18.

665

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

reglera en viss sort av sammanställning. De grundläggande reglerna om när det är tillåtet att behandla de personuppgifter som behövs för ett av de särskilt uppräknade ändamålen gäller alltid. Detta innebär att det ändå inte är fritt fram att göra vilka typer av sam- manställningar man vill. De grundläggande bestämmelserna om ändamålen och bestämmelserna om ansvar för den som arbetar i socialtjänsten begränsar möjligheterna att behandla personupp- gifter. Den som arbetar inom socialtjänsten får bara ta del av dokumenterade uppgifter om en enskild om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de ändamål som den föreslagna lagen anger. Därmed upprätthålls den enskildes integritetsskydd samtidigt som behovet av att ta del av uppgifter om enskilda kan tillgodoses. I socialtjänstdatalagen kommer det även att finnas bestämmelser som inskränker möjligheten att göra sökningar. Det innebär i princip att de känsliga personuppgifter som avses i 13 § personuppgiftslagen inte får användas som sökbegrepp.

Även vid en jämförelse med den reglering som finns inom hälso- och sjukvårdens område framgår att det för hälso- och sjukvårdens del inte finns några uttryckliga begränsningar i fråga om samman- ställningar, utan de grundläggande reglerna i patientdatalagen anger ramen för det som är tillåtet. Utredningens uppfattning är att det inte är konsekvent eller ändamålsenligt att ha skilda regler för socialtjänsten och hälso- och sjukvården när det gäller samman- ställningar.

Det framgår visserligen av förarbetena att när regeringen övervägde en viss utökning av undantaget från förbudet avseende uppföljning, utvärdering och kvalitetssäkring så ansåg inte regeringen att det fanns fog för att vare sig göra ett generellt undantag eller ta bort förbudet.12

Regeringen uttalade att mot bakgrund av att bestämmelsen om förbud mot s.k. sammanställningsregister i socialtjänstlagen infördes för snart tjugo år sedan fanns det skäl att fråga om bestämmelsen har spelat ut sin roll. Den moderna tekniken att söka information som finns lagrad i datorer är nämligen sådan att informationen, även om den inte finns i ett register, kan tas fram sekundsnabbt med de sökmotorer som numera finns. Regeringen uttalade att det bör, om förbudet i något avseende ska lättas upp, kunna presentera ett starkt behov därav; ett behov som får anses väga tyngre än behovet av att skydda den en- skildes integritet. Det kan därför inte rent allmänt hävdas att bestäm- melsen inte länger fyller någon funktion. Den moderna tekniken och

12 Prop. 2000/01:80 s. 160–161

666

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

dess sökmöjligheter kan t.o.m. medföra att behovet av en sådan bestämmelse är större i dag än tidigare då sådana sökmotorer möjlig- gör att ett sådant sammanställningsregister kan skapas på ett ögon- blick. Naturligtvis får bestämmelsen inte – om det inte finns starka integritetsskäl som talar i den andra riktningen – hindra att personupp- gifter kan behandlas inom socialtjänsten på ett modernt, effektivt och rationellt sätt.

Den tekniska utvecklingen gör att det i dag förs fler personakter elektroniskt än tidigare. Att fler personakter förs elektroniskt innebär att uppgifter är sökbara på ett annat sätt än tidigare. Mot bakgrund av denna utveckling och mot bakgrund av att utred- ningen föreslår en särskild socialtjänstdatalag som reglerar när och hur personuppgifter inom socialtjänsten får användas, anser utred- ningen att det inte längre är ändamålsenligt med ett förbud mot känsliga personuppgifter i s.k. sammanställningsregister. Syftet med det nuvarande förbudet mot att socialtjänsten i sammanställ- ningsregister får ta in känsliga personuppgifter, kan tillgodoses genom tillämpning av de grundläggande bestämmelserna i social- tjänstdatalagen. Det är av vikt att socialtjänsten tillåts kunna utföra sitt uppdrag på ett modernt och effektivt sätt.

Utredningen föreslår därtill (avsnitt 24) tydliga regler om inre sekretess och om vilken personal som får ha tillgång till person- uppgifter samt även bestämmelser om åtkomst- och behörighets- kontroll m.m. Den som bedriver verksamhet inom socialtjänsten bestämmer villkoren för tilldelning av behörighet för åtkomst och även begränsningar av behörighet till vad som behövs för att personal ska kunna utföra sina arbetsuppgifter. Med dessa bestäm- melser säkerställs ett grundläggande skydd för den enskildes integritet.

Närmare om utgångspunkt för gallringsfrist enligt SoL och LSS

Vårt förslag innebär att det inte behövs särskilda bestämmelser när det gäller informationshanteringen för just dessa sammanställ- ningar. Ändamålsbestämmelsen i socialtjänstdatalagen ska vara hel- täckande för den personuppgiftsbehandling som utförs inom socialtjänsten och ska även rymma hanteringen av personuppgifter som gäller aktuella sammanställningar. I både socialtjänstlagen och i LSS finns dock bestämmelser om bevarande och gallring av sådana

667

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

uppgifter som tillhör en sådan sammanställning av uppgifter som avses i SoLPUL.13

Utgångspunkten för gallringsbestämmelserna är att social- nämnden inte bör arkivera mer material än som är nödvändigt för den egna verksamheten. Enligt 12 kap. 1 § första stycket SoL innebär gallringsplikten beträffande personakter att dessa ska gallras ut sedan i aktuellt fall fem år förflutit från den sista kontakten med socialtjänsten. Datum för sista anteckning i akten bildar utgångspunkt för beräknande av fristen. För register som utgör sammanställningar av uppgifter, dvs. register i egentlig mening, bestäms enligt andra stycket samma paragraf utgångs- punkten för gallringsfristen av den tidpunkt då de förhållanden som den antecknade uppgiften avser har upphört, t.ex. avslutande av en kontakt med socialtjänsten. Först då får personakten gallras, om dessutom i aktuellt fall fem år gått från sista anteckningen i personakten. Motsvarande bestämmelser finns för den enskilt bedrivna socialtjänsten (jfr 7 kap. 3 § SoL) samt i verksamhet som avser LSS (jfr 21 c § och 23 a § LSS), med den skillnaden att gallringstiden i enskild verksamhet är satt till två år i stället för fem.

Datum för sista anteckningen bildar således utgångspunkt för tidsberäkningen. För register som utgör sammanställningar av personuppgifter, dvs. register i egentlig mening, bestäms däremot utgångspunkten för gallringsfristen av den tidpunkt då de för- hållanden som den antecknade uppgifter avser har upphört.

De nuvarande bestämmelserna innebär att en uppgift i en sam- manställning om t.ex. en placering i särskilt boende, inte ska gallras förrän två respektive fem år efter det att placeringen har upphört. Först då får personakten gallras, om dessutom två respektive fem år har gått från sista anteckningen i personakten (jfr 12 kap. 1 § SoL).

Vid införandet av den nya socialtjänstlagen från 2001 fördes diskussioner om beräkningen av gallringsfristen och de skillnader som kunde uppstå. Av förarbetena framgår bl.a. följande. 14

Vid beräkningen av gallringsfristen för en personakt är det enligt 60 § socialtjänstlagen tidpunkten för den sista anteckningen i akten som är bestämmande. För register som utgör sammanställningar av uppgifter, dvs. register i egentlig mening, bestäms däremot utgångspunkten för gallringsfristen av den tidpunkt, då de förhållanden som den anteck- nade uppgiften avser har upphört. Om en socialnämnd beslutar om en fortgående åtgärd, t.ex. placering i familjehem, kan vid oförändrade

137 kap. 3 § och 12 kap. 1 § SoL, 21 c § och 23 a § LSS.

14Prop. 1989/90:72 s. 94.

668

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

regler två olika gallringsfrister komma att tillämpas: akten gallras fem år efter beslutet om ingen anteckning görs efter fattat beslut, medan registeruppgiften gallras först fem år efter det att placeringen upphör. Därmed kan följande situation uppstå. En åtgärd fortgår (eller är nyligen avslutad) och socialnämnden håller reda på detta genom sitt register men är, i avsaknad av den redan gallrade akten, okunnig om bakgrunden till åtgärden. En tänkbar lösning på detta problem, vilken föreslås av socialdatautredningen, är att akter alltid tillförs anteckning om fortgående förhållanden. Så torde för övrigt oftast ske. För att undvika eventuella missförstånd och otydligheter vill jag dock i enlig- het med utredningens ställningstagande föreslå en mindre ändring i 60 § socialtjänstlagen. Där bör anges att akten inte får gallras tidigare än en eventuell registeruppgift om ett bestående förhållande.

Som vi tidigare har nämnt ska den föreslagna ändamålsbestämmelsen vara heltäckande för det som utförs inom socialtjänsten och ska även rymma hanteringen av personuppgifter som gäller aktuella samman- ställningar. Enligt vår bedömning finns då inte heller några skäl för att ha skilda utgångspunkter för att beräkna gallringsfristerna. Vid bestående åtgärder inom socialtjänsten behövs oftast löpande anteck- ningar i personakten. Det är utredningens bedömning att reglerna om utgångspunkt för gallringsfrist då har begränsad betydelse.

Om vi tar exemplet ovan t.ex. placering familjehem görs fort- löpande anteckningar i en personakt. Bestämmelser om social- nämndens ansvar för att den unge får god vård finns i socialtjänst- lagen och där regleras även att sådan vård ska bedrivas i samråd med socialnämnden (jfr 6 kap. 1 och 4 §§). Det har även införts bestäm- melser i socialtjänstlagen som tydliggör det ansvar för uppföljning som socialnämnden har (t.ex. 6 kap. 7 b §). Det är svårt att se att sådana uppgifter inte skulle antecknas i en personakt. Många personakter förs i dag elektroniskt. Det kan inte vara vanligt att det finns uppgifter i en sammanställning av personuppgifter som inte finns i en personakt.

Även i andra sammanställningar, t.ex. uppgifter om kontaktperson etc. borde uppgift behövas i den enskildes dokumentation. Utred- ningens bedömning är att det i dag inte finns underlag för att det ska vara en skillnad mellan utgångspunkten när den sista anteckningen gjordes i en personakt eller när de förhållanden som den antecknade uppgiften avser har upphört. Enligt utredningens bedömning finns inte skäl för att ha olika utgångspunkter för att beräkna gallrings- fristen. Utredningen föreslår att hänvisningen till SoLPUL både i social- tjänstlagen och i LSS utgår och att den särskilda utgångspunkten för att beräkna gallringsfristen när det gäller sammanställningar tas bort.

669

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

23.2.3Personuppgifter som får behandlas i socialtjänsten

Vårt förslag: Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs, får behandlas enligt socialtjänstdatalagen. Känsliga personuppgifter som avses i 13 § PUL och uppgifter om lagöverträdelser m.m. får endast behandlas om det är nödvändigt för de ändamål som anges i socialtjänstdatalagen.

Även den som bedriver verksamhet inom socialtjänsten och som inte är myndighet får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m.

Känsliga personuppgifter och uppgifter om lagöverträdelser m.m. får även behandlas om de förekommer i en ansökan, anmälan eller handling som kommer in till socialtjänsten.

Vid handläggning av ärenden som rör parkeringstillstånd m.m. får inte andra känsliga personuppgifter som avses i 13 § PUL än uppgifter som rör hälsa behandlas.

Det är från integritetssynpunkt viktigt att inte andra personupp- gifter behandlas inom socialtjänsten än vad som är befogat utifrån verksamhetens behov och krav. Som vi tidigare har redogjort för behandlas ett stort antal personuppgifter av olika slag inom social- tjänsten. Det är inte möjligt att närmare specificera vilka person- uppgifter som generellt får behandlas i verksamheten inom social- tjänsten eftersom behov skiftar och det kan avse en mängd olika förhållanden.

Av den nuvarande regleringen i SoLPUL följer att socialtjänsten i princip får behandla de personuppgifter som är nödvändiga för verksamheten. Utredningen anser att denna princip alltjämt bör vara gällande och föreslår därför inte några konkreta bestämmelser som anger vilka personuppgifter som får behandlas. Vi föreslår i stället att det är ändamålen som får styra över vilka personupp- gifter som får eller inte får behandlas enligt socialtjänstdatalagen. De personuppgifter som samlas in för tillåtna ändamål får sedan användas för och vidarebehandlas för dessa ändamål. Enligt social- tjänstdatalagen ska därför, som en grundläggande förutsättning, alla personuppgifter som behövs för det ändamål för vilket en behand- ling utförs få behandlas. Det grundläggande kravet på att person- uppgifterna ska behövas för att få behandlas innebär att endast

670

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas.

När det gäller känsliga personuppgifter enligt 13 § PUL och uppgifter om lagöverträdelser m.m. enligt 21 § samma lag, finns dock skäl att överväga att erinra om en försiktighet.

Känsliga personuppgifter och uppgifter om lagöverträdelser

Vid behandling av personuppgifter så anses känsliga personupp- gifter enligt 13 § PUL ha en särställning. Enligt denna bestämmelse är det i princip förbjudet att behandla känsliga personuppgifter utan enskildas samtycken. Vad som avses med känsliga person- uppgifter är uppgifter som avslöjar en persons ras eller etniska ursprung, politiska åsikter, religiösa eller filosofiska övertygelse eller medlemskap i fackförening samt uppgifter som rös hälsa eller sexualliv. I 14–20 §§ PUL anges vissa generella undantag från förbudet mot att behandla känsliga personuppgifter.

Socialtjänstdatautredningen15 föreslog att det inte skulle införas några begränsningar när det gäller vilka kategorier av person- uppgifter som får behandlas inom socialtjänsten. För att social- tjänsten ska kunna klara sina uppgifter finns ett behov av att behandla även personuppgifter som är känsliga i personuppgifts- lagens mening. Det finns otvivelaktigt ett allmänt intresse av att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfred- ställande sätt. Personuppgifterna inom socialtjänsten omgärdas därtill av en mycket sträng sekretess. Enligt utredningens bedöm- ning finns det därmed inte ur integritetssynpunkt något hinder mot att känsliga personuppgifter får behandlas. För att socialtjänsten ska kunna klara sina uppgifter finns ett behov av att behandla även personuppgifter som känsliga i personuppgiftslagens mening. 16

Inom socialtjänstens verksamhet finns, enligt utredningens bedömning, ett behov av att behandla ett stort antal olika person- uppgifter med olika grad av känslighet. Det är därför viktigt att det framgår att socialtjänsten, för att kunna utföra sina uppgifter på ett tillfredsställande sätt, får behandla integritetskänsliga uppgifter när det bedöms vara nödvändigt för verksamheten.

I personuppgiftslagen regleras även särskilt vad som gäller för behandling av personuppgifter om lagöverträdelser. Av 21 § följer

15SOU 2009:32.

16Prop. 2000/01:80 s. 144 ff.

671

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

att det är förbjudet för andra än myndigheter att behandla person- uppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Det råder ingen tvekan om att verksamheter inom socialtjänsten ibland behöver behandla personuppgifter om lagöverträdelser.

Av nuvarande reglering i SoLPUL följer att socialtjänsten får behandla känsliga personuppgifter som avses i 13 § PUL och upp- gifter om lagöverträdelser om uppgifterna har lämnats i ett ärende eller är nödvändiga för verksamheten. Utredningen har inte funnit något skäl för att ändra detta. Känsliga personuppgifter och upp- gifter om lagöverträdelser måste därför också enligt socialtjänst- datalagen få behandlas om det är nödvändigt för ett sådant ändamål som avses i lagen. Att uttryckligen lyfta fram att personuppgifts- behandlingen ska vara nödvändig är ett uttryck för den försiktig- hetsprincip som bör gälla vid behandling av så integritetskänsliga personuppgifter som det här är fråga om. Därutöver gäller dess- utom alltid de grundläggande kraven på att de personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ända- målen samt att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålen får behandlas.

En utgångspunkt för utredningen är att förutsättningarna för att behandla personuppgifter så lång möjligt bör vara samma oavsett i vilken driftsform socialtjänsten bedrivs. När det gäller en sådan välfärdstjänst som socialtjänsten, skulle olika spelregler för olika aktörer kunna medföra negativa konsekvenser för den enskilde och påverka förutsättningarna för en jämlik och högkvalitativ socialtjänst för alla. Inte minst eftersom många individer i dag ges möjlighet att själv välja utförare av biståndsbedömda insatser, är det viktigt att ge samma möjligheter till alla. Om det inte finns starka skäl mot detta, bör därför enskild verksamhet inom socialtjänsten få behandla personuppgifter under samma förutsättningar som myndighet som bedriver sådan verksamhet. Det kan inte uteslutas att även privata och idéburna aktörer som bedriver socialtjänst kan ha behov av att behandla uppgifter om lagöverträdelser, exempelvis vid genom- förandet av insatser för enskilda. Eftersom behandling av uppgifter om lagöverträdelser enligt personuppgiftslagen endast får göras av myndigheter behöver socialtjänstdatalagen uttryckligen ange att även enskilda verksamheter får behandla dessa personuppgifter. Utred- ningen föreslår därför en bestämmelse som tydliggör att enskild verksamhet får behandla uppgifter om lagöverträdelser om det är nödvändigt för ett av de i socialtjänstdatalagen tillåtna ändamålen.

672

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

Uppgifter som kommer in i verksamheten

Av SoLPUL följer bl.a. att känsliga personuppgifter och uppgifter om lagöverträdelser får behandlas om uppgifterna har lämnats i ett ärende. Syftet med bestämmelsen är att uttrycka att sådana upp- gifter som kommer in till verksamheten får behandlas, även om de i och för sig inte skulle vara nödvändiga för verksamheten. Utred- ningen bedömer att denna princip bör vara gällande även vid behandling av personuppgifter enligt socialtjänstdatalagen, dock med språkliga förändringar. Utredningen föreslår således en bestäm- melse som generellt tydliggör att samtliga personuppgifter som förekommer i en ansökan, anmälan eller handling som kommer in i verksamheten alltid får behandlas. Detta undantag gäller inte om uppgifter kommit till socialtjänstens kännedom på något annat sätt, t.ex. genom egna iakttagelser. Undantaget gäller inte heller om uppgifterna inkommer på socialtjänstens egen begäran. I sådana fall gäller dels den grundläggande förutsättningen att personupp- gifterna får behandlas endast om det behövs för ett tillåtet ändamål, dels att känsliga personuppgifter och uppgifter om lagöverträdelser endast får behandlas om det är nödvändigt för sådant ändamål.

Handläggning av parkeringstillstånd m.m.

Av SoLPULF följer att det vid handläggning av ärenden om till- stånd till parkering för rörelsehindrade och som följer av bestäm- melserna i körkortsförordningen inte är tillåtet att behandla andra känsliga personuppgifter än uppgifter som rör hälsa. Utredningen bedömer att detta tillgodoser det behov av behandling av person- uppgifter som behövs vid hantering av aktuella ärenden och före- slår därför att bestämmelsen överförs till socialtjänstdatalagen.

673

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

23.2.4Den enskildes inställning till personuppgiftsbehandlingen

Vårt förslag: Behandling av personuppgifter enligt socialtjänst- datalagen får göras även om den enskilde motsätter sig person- uppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Vissa undantag följer av social- tjänstdatalagen.

Vidare föreskrivs att även sådan personuppgiftsbehandling som går utöver vad socialtjänstdatalagen tillåter får utföras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen och inte annat följer av andra bestämmelser i lagen eller av annan lag eller förordning. Dessutom föreslås regeringen få meddela ytterligare undantag.

I personuppgiftslagen tillmäts den enskildes inställning till person- uppgiftsbehandlingen som huvudregel en avgörande betydelse. Behandling av personuppgifter är enligt personuppgiftslagen exempelvis tillåten, om den enskilde har lämnat sitt samtycke till behandlingen enligt 10 § PUL. Från detta finns dock ett antal undantag. I de fall personuppgiftslagen tillåter personuppgifts- behandling utan den registrerades samtycke, har den registrerade ingen rätt att med rättslig verkan motsätta sig personuppgifts- behandlingen. Det följer av 12 § andra stycket PUL. Det gäller till exempel om behandlingen är nödvändig för att (10 § punkten b) att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldig- het eller (punkten d) för att en arbetsuppgift av allmänt intresse ska kunna utföras.

Enligt nuvarande bestämmelser i SoLPUL har en enskild inte rätt att motsätta sig sådan personuppgiftsbehandling som är tillåten enligt lagen. Vid införandet av bestämmelsen anfördes bland annat följande.17 I vissa fall får personuppgifter behandlas enligt person- uppgiftslagen trots att samtycke från registrerade saknas. En förut- sättning i samtliga fall är att behandlingen är nödvändig för ända- målen.18 Det finns ett allmänt intresse att socialtjänstens verksam- het bedrivs effektivt och säkert. Även med beaktande av den enskildes krav på integritet bör personuppgifter få behandlas i verksamheten utan att den som uppgifterna avser har gett sitt

17Prop. 2000/01:80 Ny socialtjänstlag m.m.

18Prop. 2000/01: 80 avsnitt 13.4.

674

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

samtycke. Behandlingen av personuppgifter inom socialtjänstens område är integritetskänsliga i de flesta fall. Behandlingen kommer därutöver att omfatta även särskilt känsliga uppgifter, t.ex. lag- överträdelser och frihetsberövanden. För att behålla förtroendet för en sådan behandling är det viktigt att grundläggande krav ställs på behandlingen och att den tillgodoser den enskildes integritets- skydd.

Vår bedömning är att denna princip alltjämt ska vara gällande på socialtjänstens område. Den enskilde ska därmed inte kunna motsätta sig sådan personuppgiftsbehandling som är tillåten enligt socialtjänstdatalagen.

Samtidigt kommer vi i det följande att föreslå ett krav på sam- tycke för viss personuppgiftsbehandling. Detta bör framgå redan av socialtjänstdatalagens grundläggande bestämmelser. Se vidare avsnitt 27 om direktåtkomst till personuppgifter mellan olika utförare av socialtjänst.

Regleringen av socialtjänstens verksamhet är omfattande och komplex. Det kan därför inte uteslutas att bestämmelser i annan lag eller förordning ger enskilda rätt att motsätta sig viss personupp- giftsbehandling som i och för sig regleras av socialtjänstdatalagen. Av det skälet bör det av socialtjänstdatalagen framgå att det kan finnas sådana bestämmelser i annan lag eller förordning.

Vad ska gälla om den enskilde samtycker till en personuppgiftsbehandling?

En relevant fråga är i vilken mån en personuppgiftsbehandling, som inte har stöd i socialtjänstdatalagens bestämmelser, ändå ska få utföras om den enskilde lämnat sitt uttryckliga samtycke till den.

Ett samtycke gör i princip alltid personuppgiftsbehandling tillåten enligt personuppgiftslagen. I förarbetena till lagen berördes frågan om artikel 8.2 i dataskyddsdirektivet och möjligheterna att i lagstiftning bestämma att förbudet mot behandling av känsliga personuppgifter inte kan upphävas genom den registrerades sam- tycke. Regeringen var dock inte av den åsikten utan hade upp- fattningen att det, när någon har lämnat ett samtycke till en viss personuppgiftsbehandling, inte finns något integritetsskydds- intresse som gör det befogat att förbjuda den behandling som den registrerade och den personuppgiftsansvarige är överens om.19

19 Prop. 1997/98:44 s. 69.

675

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

Vår bedömning är att regeringens resonemang har principiell karaktär och bör vara vägledande även på socialtjänstens område. Därför finns det skäl att tillåta även sådan personuppgiftsbehand- ling som avviker från socialtjänstdatalagens bestämmelser, om den enskilde lämnar sitt uttryckliga samtycke till behandlingen. Med ett uttryckligt samtycke kan personuppgifter exempelvis samlas in och behandlas för ett ändamål som inte anges i socialtjänstdatalagens ändamålsbestämning. Som vi redovisar i det följande kan principen även ha betydelse för socialtjänstens behandling av personuppgifter i verksamhet som ges i form av råd och service, dvs. sådant som inte är individuellt behovsbedömt.

Mot utredningens förslag kan anföras att en enskild kan befinna sig i ett utsatt läge eller annars i en svag position i sina kontakter med socialtjänsten. Det skulle därför kunna finnas en risk för att han eller hon skulle kunna känna sig tvingad till att samtycka till en personuppgiftsbehandling eller till att godta den utan att kunna överblicka konsekvenserna. Utredningen gör dock bedömningen att denna möjlighet inte skulle missbrukas av den som bedriver verksamhet inom socialtjänsten. Som vi redogjort för i det tidigare bygger socialtjänsten på den enskildes frivilliga val och verksam- heten ska bygga på respekt för den enskildes självbestämmande och integritet. Vi föreslår därför att även sådan personuppgifts- behandling som går utöver vad socialtjänstdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det.

Utredningen föreslår vidare att det från den huvudregeln ska finnas ett undantag, som innebär att samtycket har rättslig verkan endast om inte annat följer av annan lag eller förordning. Dessutom föreslår vi att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt social- tjänstdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Utgångspunkten för att meddela sådana föreskrifter bör vara att skydda enskilda från integritetskränkningar.

676

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

23.2.5Behandling av personuppgifter vid råd och service

Vår bedömning: Behandling av personuppgifter i samband med genomförandet av sådan verksamhet som inte är individuellt behovsbedömd, t.ex. råd och service, får som en konsekvens av utredningens förslag om tillåtna ändamål, utföras om den enskilde har lämnat ett uttryckligt samtycke till behandlingen.

Utredningen föreslår att behandling av personuppgifter som inte är tillåten enligt socialtjänstdatalagen ändå ska få utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det ska gälla om inte annat framgår av lag eller förordning. Bestämmelsen bedöms bl.a. ha betydelse för sådan personuppgiftsbehandling som utförs inom ramen för råd och service, dvs. i verksamhet som inte omfattas av dokumentationsskyldighet enligt socialtjänstlagen och inte heller är individuellt behovsbedömd.

För tydlighets skull ska nämnas att särskilt stöd och särskild service som behovsprövas enligt LSS omfattas av ändamålen i 2 kap. 5 § i den föreslagna lagen.

Inom socialtjänsten har det i dag kommit att bli allt mer vanligt att kontakter förekommer och insatser utförs utan att den enskilde har ansökt om insatsen och sedan fått den biståndsbedömd. Det kan exempelvis handla om olika former av förebyggande insatser. Det förekommer att rådgivning och andra stödinsatser utförs inom ramen för missbruksvården eller i samband med familjerådgivning utan att ett biståndsbeslut har meddelats. Enligt socialtjänstlagen följer ingen skyldighet att dokumentera rådgivning t.ex. vid alkohol- eller narkotikamottagning samt familjerådgivning. Ett av de främsta skälen till att rådgivnings- och stödverksamheter ligger utanför dokumentationsskyldigheten är att det annars skulle kunna avhålla personer från att kontakta socialtjänsten och få stöd i utsatta situationer. Det faktum att en biståndsbedömning inte krävs innebär vidare att socialtjänsten blir mer lättillgänglig för den enskilde som är i behov av råd eller stöd. Det finns stora skillnader i hur olika kommuner bedriver verksamhet inom ramen för råd och stöd. I en del kommuner erbjuds enskilda ett fåtal besök utan biståndsbeslut medan individer i andra kommuner kan ha många kontakter med socialtjänsten utan behovet om bistånd bedöms. Det kan konstateras att det finns olika tolkningar vilket utrymme dagens bestämmelser ger för att dokumentera i aktuell verksamhet.

677

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

Det kan dock finnas behov av att på individnivå dokumentera insatser inom de öppna verksamheterna som inte är individuellt behovsprövade. Dokumentationsbehovet kan finnas både för ändamål i den individinriktade verksamheten och för att kunna utvärdera, kvalitetssäkra och följa upp den icke biståndsbedömda verksamheten.

Enligt vårt förslag till ändamålsbestämmelse får personuppgifter bl.a. behandlas för att handlägga ärenden som rör enskilda och för att dokumentera genomförande av beslut om bistånd, stödinsatser, vård och behandling. Verksamhet inom råd och service faller utan- för detta eftersom det vare sig handlar om ärendehandläggning rörande enskilda eller genomförandet av sådana beslut som avses. Inte heller finns någon annan föreslagen ändamålsbestämmelse som tar sikte på den aktuella personuppgiftsbehandlingen. Eftersom bestämmelsen med tillåtna ändamål är uttömmande är således personuppgiftsbehandling inom råd och service som huvudregel otillåten. Samtidigt bedömer utredningen att det inte kan uteslutas att det kan finnas ett behov av att behandla personuppgifter även i sådan service, råd och stöd som inte är individuellt behovsbedömd.

Utredningen föreslår dock att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i lagens ända- målsbestämning, om den enskilde har lämnat ett uttryckligt sam- tycke till detta. Det finns inga formkrav för ett sådant samtycke, vilket t.ex. innebär att det inte behöver vara skriftligt. Det är ett uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Bestäm- melsen ger exempelvis den som är verksam inom socialtjänsten en möjlighet att behandla personuppgifter i sådan verksamhet som inte är biståndsbedömd, om den enskilde lämnat ett uttryckligt sam- tycke till behandlingen. Med stöd av den enskildes samtycke kan således en personuppgiftsbehandling göras även exempelvis inom ramen för sådan familjerådgivning, ungdomsmottagning, miss- bruks- och beroendevård m.m. som inte är biståndsbedömd. Vid sådan behandling gäller självklart de grundläggande bestäm- melserna i den föreslagna lagen vilket innebär att personuppgifter ska utformas och behandlas så att enskilda individers personliga integritet respekteras. Vidare gäller de grundläggande kraven i personuppgiftslagen om att endast de personuppgifter som behövs med hänsyn till ändamålet får behandlas.

Utredningens förslag ger således socialtjänsten en möjlighet att i enskilda fall behandla personuppgifter utan att det för den skull

678

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

bidrar till att avhålla enskilda från att i utsatta situationer vända sig till socialtjänsten. Personuppgiftsbehandling kan dock aldrig vara en förutsättning för att en enskild ska få tillgång till en insats inom ramen för råd och stöd, utan det ska helt och hållet bygga på den enskildes fria vilja. Om socialtjänsten bedömer att en viss insats eller åtgärd inom ramen för det som i dag betraktas som råd och stöd inte kan genomföras utan att personuppgifter behandlas, får socialtjänsten i stället tillhandahålla insatsen eller åtgärden med stöd av ett biståndsbeslut efter en individuell behovsbedömning.

Vårt förslag innebär endast att den som bedriver socialtjänst får en möjlighet att behandla personuppgifter med stöd av den enskildes samtycke. När det kommer till dokumentationens utformning m.m. får de allmänna förvaltningsrättsliga principerna gälla. I socialtjänstdatalagen ska inte finnas några bestämmelser om handläggning och dokumentation, utan detta ska även fortsätt- ningsvis regleras i de nu befintliga lagstiftningarna som t.ex. SoL, LSS och förvaltningslagen.

23.2.6Personuppgiftsansvar

Vårt förslag: Den som bedriver socialtjänstverksamhet är personuppgiftsansvarig för den behandling av personuppgifter som den utför.

Av 3 § PUL följer att med personuppgiftsansvar avses den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandling av personuppgifter. I registerförfattningar är det vanligt att på ett tydligt sätt peka ut vem som är ansvarig för den behandling som regleras i de särskilda författningarna. Utred- ningen anser att det är lämpligt att göra så även i den nu föreslagna lagen.

Utredningen föreslår en grundläggande bestämmelse om personuppgiftsansvar. Motsvarande bestämmelse i nu gällande patientdatalag har tjänat som förebild. Den som bedriver verk- samhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet.

Det är inte kommunen som sådan som är personuppgifts- ansvarig utan i en kommun är varje myndighet eller sådana kom-

679

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

munala bolag som avses i 2 kap. 3 § OSL som bedriver socialtjänst personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller bolaget utför. Personuppgiftsansvaret i enskilda verksamheter ligger på den juridiska eller fysiska person som yrkesmässigt bedriver och ansvarar för socialtjänstverksamheten.

Personuppgiftsansvaret omfattar även sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter, se vidare avsnitt 27.2.5.

23.2.7Sökbegrepp

Vårt förslag: Uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller rör sexualliv får inte användas som sökbegrepp.

Regeringen får meddela föreskrifter om att en kommunal myndighet får använda uppgifter om etniskt ursprung som sökbegrepp för att vissa slags sammanställningar.

Med sökbegrepp avses i så kallade registerförfattningar vanligtvis begrepp som används som urvalskriterier för att söka fram hand- lingar eller för att med begreppet som utgångspunkt göra samman- ställningar av olika slag. Vilka sök- och sammanställnings- möjligheter som finns har även betydelse för frågan om vilka hand- lingar som kan anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsförordningen.

En grundläggande fråga när det gäller integritetsskydd är på vilket sätt personuppgifter kan sammanställas. Med fler möjligheter att sammanställa uppgifter om enskilda blir risken större för ett otillbörligt intrång i den personliga integriteten. Det är framför allt när det gäller känsliga personuppgifter enligt 13 § PUL som det av integritetsskäl finns anledning att ha begränsningar för vilka uppgifter som får användas vid sökning efter personuppgifter.

Den nu gällande regleringen av känsliga personuppgifter som sökbegrepp finns i 7 a § SoLPUL angående sammanställning av personuppgifter. Av bestämmelsen framgår att det i sammanställ- ningar av personuppgifter inte får tas in känsliga personuppgifter eller uppgifter i övrigt om ömtåliga förhållanden. Undantag och

680

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

därmed möjlighet att göra sökningar m.m. gäller dock i vissa i bestämmelsen angivna situationer. Det anges uttryckligen att uppgifter som avslöjar medlemskap i fackförening inte får tas in.

Vidare finns i SoLPULF bestämmelser om vilka sökbegrepp som får användas vid sökning efter uppgifter eller i samband med sammanställningar. Bestämmelserna är olika utformade beroende på om det är en kommunal myndighet, Statens institutionsstyrelse eller en privat verksamhet som ska utföra personuppgiftsbehand- lingen. För kommunala myndigheter finns inga som helst begräns- ningar av vilka personuppgifter som får användas som sökbegrepp i samband med uppföljning, utvärdering, kvalitetssäkring och admi- nistration av verksamheten. Vid handläggning av ärenden och i samband med genomförandet av beslut får dock endast uppgift om namn eller person-, samordnings- eller ärendenummer användas.

Detta kan jämföras med hälso- och sjukvården, där patientdata- lagen anger ett förbud mot att behandla sådana känsliga personupp- gifter som anges i 13 § PUL som sökbegrepp. Till förbudet finns även ett undantag som innebär att uppgift om hälsa och uppgift om att någon varit föremål för vissa tvångsingripanden ändå får användas som sökbegrepp.

Det är enligt utredningen av allmänt intresse att socialtjänstens verksamhet kan utföras på ett tillfredställande sätt. Informations- hantering och behandlingar av personuppgifter är en av de grund- läggande uppgifterna i socialtjänstens verksamhet. Det finns inom socialtjänsten behov av att kunna göra sammanställningar vid verk- samhetsuppföljning, kvalitetssäkring, planering av verksamheten m.m. Till exempel inom det individinriktade arbetet är det väsent- ligt att vid verksamhetsuppföljningar kunna göra sammanställ- ningar utifrån sökkriterier såsom insatser och vissa fall sjukdomar och andra mer hälsorelaterade uppgifter. Samtidigt är det viktigt att sökbegrepp övervägs noga så att otillbörliga integritetsintrång kan förhindras.

I dag kan man använda vilket sökbegrepp som helst för ända- målen tillsyn, uppföljning, utvärdering, kvalitetssäkring och admi- nistration av kommunal verksamhet och hos Statens Institutions- styrelse. När det gäller enskild verksamhet får däremot bara sök- begreppen namn, personnummer eller ärendenummer användas. Vi föreslår att bestämmelserna om sökbegrepp både ska begränsas och utvidgas i jämförelse med vad som gäller i dag. Den bestämmelse om sökbegrepp som vi föreslår, ska gälla för alla som bedriver socialtjänst, vare sig det är en kommunal myndighet eller en enskild

681

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

verksamhet. Den nya socialtjänstdatalagen ska gälla även för upp- gifter som hanteras manuellt. Detta innebär att lagen även omfattar personuppgifter som finns i kronologiska pärmar. Om de är sök- bara på mer än ett kriterium, omfattas registren av socialtjänst- datalagen.

Utredningen har valt att reglera vilka begrepp som inte får användas som sökbegrepp. Det innebär att det inte ska vara tillåtet att göra sådana sökningar. Vissa känsliga personuppgifter, ska som huvudregel, inte få användas som sökbegrepp. Det gäller fram för allt uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Vi har inte heller sett att det finns ett behov av att använda dessa uppgifter som sökbegrepp.

Sammanfattningsvis föreslår utredningen att uppgifter som avslöjar ras, etniskt ursprung, religiös eller filosofisk övertygelse, medlemskap i fackförening eller rör sexualliv inte får användas som sökbegrepp. Samtidigt ges regeringen möjlighet att meddela före- skrifter om att en kommunal myndighet får använda uppgifter om etniskt ursprung som sökbegrepp för att vissa slags sammanställ- ningar.

Nedan redogörs närmare för användandet av vissa uppgifter som sökbegrepp.

Närmare om hälsa som sökbegrepp

När det gäller sökbegreppet hälsa kan detta behöva användas som sökbegrepp för att man snabbt och effektivt ska kunna finna rele- vanta journalanteckningar från en enskilds tidigare aktualitet inom socialtjänsten. Det kan således finnas behov att använda hälsa som sökbegrepp i det individinriktade arbetet. Men det kan även finnas behov av att använda hälsa som ett sökkriterium vid verksamhets- uppföljningar m.m. Socialtjänsten har ett brett uppdrag och ska medverka i samhällsplaneringen och informera om socialtjänstens verksamhet (jfr 3 kap. 1 § SoL). Ett syfte med socialtjänstens upp- sökande verksamhet, förutom att ge information om vad social- tjänsten kan erbjuda för de som behöver hjälp, är ska skaffa en god kännedom om människors situation i kommunen så att väsentliga behov kan tillgodoses. För att kunna fullgöra dessa uppgifter kan det vara nödvändigt att använda sökbegrepp som rör hälsa vid verksamhetsplaneringen. Det kan t.ex. behövas när socialtjänsten

682

SOU 2014:23

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

ska bevaka att åtgärder vidtas för att skapa en god samhällsmiljö och goda förhållanden för barn och ungdom, för äldre och för andra grupper som har behov av samhällets särskilda stöd (jfr 3 kap. 2 § SoL).

Närmare om politiska åsikter som sökbegrepp

En fråga som särskilt har behandlats vid tidigare lagstiftnings- arbeten är om politiska åsikter ska få behandlas i socialtjänstens verksamhet.20 Regeringen har bl.a. i förarbetena till SoLPUL uttalat att det är ett viktigt allmänt intresse att socialtjänsten ska kunna utföra sina arbetsuppgifter på ett tillfredställande sätt. I nämnda arbete ansåg såväl Lagrådet som regeringen att det var klart motiverat att socialtjänsten skulle få behandla personuppgifter som avslöjar politiska åsikter. Det framhölls att behandlingen kan gälla ungdomar som på grund av sina politiska åsikter ägnar sig åt krimi- nalitet eller annat beteende som föranleder att en socialnämnd behöver veta vilken gruppering en viss individ tillhör för att und- vika att enskilda placeras tillsammans med politiska motståndare och riskerar att råka illa ut.

Utredningen ansluter sig till de avvägningar som har gjorts i tidigare lagstiftningsarbeten och anser att det finns starka skäl för att behandla personuppgifter av sådan karaktär i socialtjänsten. Utredningen föreslår därför att politiska åsikter ska kunna användas som sökbegrepp. Det innebär självklart inte att det ska göras slentrianmässigt. Sådana uppgifter ska i första hand behandlas i de fall det har särskild betydelse för att garantera framför allt ung- domar nödvändig vård eller behandling.

Närmare om lagöverträdelser som sökbegrepp

Vidare kan uppmärksammas att bestämmelsen inte gör något undantag vad gäller möjligheterna att inom socialtjänsten använda uppgifter om lagöverträdelser m.m. som avses i 21 § PUL som sökbegrepp. Anledningen till detta är att det inom socialtjänsten finns ett generellt behov av att behandla uppgifter om lag- överträdelser och om administrativa frihetsberövanden som t.ex. tvångsingripande enligt lagen (1990:52) med särskilda bestäm-

20 Jfr prop. 2000/01:80 s. 144 f och SOU 2009:32.

683

Grundläggande bestämmelser om personuppgiftsbehandling inom socialtjänsten

SOU 2014:23

melser om vård av unga, förkortad LVU, lagen (1988:870) om vård av missbrukare i vissa fall, förkortad LVM, lagen (1991:1128) om psykiatrisk tvångsvård, förkortad LPT, och lagen (1991:1129) om rättspsykiatrisk vård, förkortad LRV. Såväl myndigheter som enskilda verksamheter inom socialtjänsten kan ha behov av att kunna söka efter uppgifter om lagöverträdelser.

I förarbetena till nuvarande lag om behandling av personupp- gifter inom socialtjänsten21 anförs att det finns ett behov inom socialtjänsten för såväl myndigheter som andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administra- tiva frihetsberövanden och att lagen bör tillåta även sådana upp- gifter får behandlas inom socialtjänsten. När det gäller admini- strativa frihetsberövanden kan nämnas tvångsingripanden enligt LVU och LVM.

I patientdatalagen har det tagits in bestämmelser om att upp- gifter om att någon har varit föremål för tvångsingripanden enligt LPT eller LRV får användas som sökbegrepp.

Närmare om etnicitet som sökbegrepp

Bakgrunden till att etnicitet, efter beslut från regeringen, ska kunna få användas som sökbegrepp är att en kommunal myndighet kan behöva planera, utföra och följa upp socialtjänstverksamheten utifrån invånarnas etniska ursprung. Med beaktande av de inte- gritetsskyddsintressen som finns vid behandling av sådana person- uppgifter bör det dock inte införas en generell möjlighet för kommunala myndigheter att använda etnicitet som sökbegrepp.

Om det visar sig att det för kommunerna finns ett väsentligt behov av att använda etnicitet som sökbegrepp innebär den här lös- ningen att regeringen kan meddela föreskrifter som tillåter det. Det ger en bra balans mellan enskildas behov av skydd för den person- liga integriteten och socialtjänstens behov av behandla relevanta personuppgifter för att kunna planera och utföra verksamheten på ett tillfredställande sätt. Därför föreslås att regeringen ska kunna meddela föreskrifter om att en kommunal myndighet får använda etnicitet som sökbegrepp.

21 Prop. 2000/01:80 s. 144 f.

684

24Säker och ändamålsenlig hantering av personuppgifter

24.1Bakgrund

Dokumentationen i socialtjänsten är i allmänhet av mer integritets- känslig karaktär än information i många andra sammanhang. Informationen rör inte sällan enskildas privata förhållanden om sådant som exempelvis hälsa och sociala och ekonomiska för- hållanden. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i socialtjänsten hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för socialtjänstens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt som leder till att den enskilde får sina behov tillgodosedda. Dokumenterade personuppgifter behöver därför hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för enskilda individer.

Grundläggande förutsättningar för en ändamålsenlig informa- tionshantering är bland annat att uppgifter finns tillgängliga när de behövs för att utreda, fatta beslut eller genomföra insatser för enskilda. En annan förutsättning är att de uppgifter som doku- menteras om enskilda förvaras och hanteras på ett sådant sätt att behoven av integritetsskydd tillvaratas. Det handlar exempelvis om att se till att obehöriga inte kan komma åt uppgifter om enskilda, att uppgifter inte sprids utanför verksamheten, att de informa- tionssystem som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras m.m.

685

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Inom socialtjänstens område saknas i dag uttryckliga författ- ningsbestämmelser om detta som ibland kallas för inre sekretess. Visserligen finns i socialtjänstlagen (2001:453), förkortad SoL, och i lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, bestämmelser om att handlingar som rör enskildas personliga förhållanden ska förvaras så att obehöriga inte får tillgång till dem. Däremot innehåller varken lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL eller förordningen (2001:637) om behandling av person- uppgifter inom socialtjänsten, förkortad SoLPULF, uttryckliga bestämmelser om de närmare kraven på hur personuppgifter i enlighet med detta ska hanteras och skyddas. Ledning på detta område får i stället sökas i personuppgiftslagens (1998:204), förkortad PUL, bestämmelser, t.ex. i 31 § om säkerhetsåtgärder, och i praxis från Datainspektionen.

Detta kan jämföras med hälso- och sjukvården som såväl i patientdatalagen (2008:355) som i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården har ett antal bestämmelser som just tar sikte på en säker och ändamålsenlig hantering av personuppgifter.

24.2Våra överväganden och förslag

Vår bedömning: Socialtjänstdatalagen bör innehålla ett kapitel om en säker och ändamålsenlig hantering av personuppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i socialtjänsten ska kunna utföras på ett sätt som tillgodoser enskildas behov m.m.

Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom social- tjänsten. Det är även viktigt att det i en verksamhet inom socialtjänsten finns ett integritetsskydd avseende hanteringen av uppgifter om enskilda. I det följande används begreppet inre sekretess vid överväganden om hur känsliga uppgifter om t.ex. enskildas personliga förhållanden bör hanteras inom en verksamhet för att motverka intrång i den personliga integriteten.

686

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

För att tydliggöra vikten av att uppgifter endast är tillgängliga när det behövs för dem som behöver det och i övrigt hanteras på ett säkert sätt bör socialtjänstdatalagen innehålla grundläggande bestämmelser om detta. Vi föreslår därför ett särskilt kapitel som samlar dessa bestämmelser och tydliggör vilket ansvar som ligger dels på den som arbetar i socialtjänsten, dels på den som bedriver själva verksamheten.

En uttrycklig reglering av den inre sekretessen är även en förut- sättning för våra förslag exempelvis om förändrade sekretess- gränser mellan kommunala myndigheter inom socialtjänstens område. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat flöde av uppgifter inom socialtjänsten. Detta sätt att reglera sekretess- och dataskyddet skulle då även komma att likna vad som redan i dag gäller för hälso- och sjukvården.

Den som bedriver verksamhet inom socialtjänsten har det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäkerhet handlar i detta avseende om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser de enskildas behov av integritetsskydd. Tillgång till personuppgifter inom socialtjänsten vid rätt tillfälle är en förut- sättning för att en enskild ska få säkra insatser av hög kvalitet. Mot den bakgrunden anser vi att socialtjänstdatalagen även ska uttrycka den övergripande skyldigheten för den som bedriver verksamheten att se till att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och de enskilda, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i socialtjänsten.

687

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

24.2.1Ansvar för den som arbetar i socialtjänsten – inre sekretess

Vårt förslag: I socialtjänstdatalagen ska det finnas bestämmelser som tydliggör när den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om enskilda. Det är tillåtet endast när han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen.

I nuvarande lagstiftning finns ett antal bestämmelser som har direkt eller indirekt betydelse för informationshanteringen inom den egna verksamheten, exempelvis inom den verksamhet som en enskild eller offentlig utförare av socialtjänst bedriver. Av grund- läggande betydelse är framför allt bestämmelserna i 1 kap. 1 § SoL och i 6 § LSS om att verksamheten ska vara grundad på respekt för den enskildes självbestämmande och integritet.

Vidare följer av 11 kap. 5 § 2 st. SoL och 21 a § LSS att handlingar som rör enskildas personliga förhållanden ska förvaras så att inte obehöriga får tillgång till dem. Handlingar får enligt bestäm- melserna inte vara fritt tillgängliga inom den egna verksamheten. Något förenklat kan bestämmelserna sägas innebära att den som inte har behov av handlingarna för att kunna utföra sitt arbete inte heller ska ha tillgång till dem. De är att betrakta som obehöriga i bestämmelsens mening. Dessa regler slår därmed fast en s.k. inre sekretess som kompletterar det integritetsskydd som följer av bestämmelser om sekretess i offentlighets- och sekretesslagen (2009:400), förkortad OSL, och om tystnadsplikt i SoL och LSS.

I nuvarande lagstiftning om behandling av personuppgifter inom socialtjänsten saknas dock bestämmelser som uttrycker de närmare kraven på hur detta ska tillgodoses vid användandet av elektroniska verksamhets- och journalsystem. Utredningens bedömning är att kraven på inre sekretess bör konkretiseras genom bestämmelser som riktar sig till den personuppgiftsansvarige, men även genom bestämmelser som uttryckligen reglerar när den som arbetar inom socialtjänsten får ta del av uppgifter om enskilda som finns inom den egna verksamheten. Det innebär inte att vi ifrågasätter den medvetenhet i frågor om sekretess och tystnads- plikt som vi har upplevt vid våra kontakter med företrädare från

688

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

socialtjänsten. Däremot anser vi att elektronisk utveckling med en potentiell tillgång till uppgifter som generellt är större än vid en helt manuell hantering, ger upphov till nya och delvis ökade risker för integritetsintrång. En integritetsskyddslagstiftning som den föreslagna socialtjänstdatalagen bör därför, enligt vår bedömning, innehålla bestämmelser som särskilt syftar till att motverka sådana otillbörliga integritetsintrång som en otillåten åtkomst till upp- gifter ger upphov till. Vi tror också att det är till fördel, inte minst ur pedagogisk synvinkel, att det klargörs när personal inom socialtjänsten får ta del av uppgifter om enskilda. Inte minst med tanke på de straffbestämmelser som finns om s.k. dataintrång, är det viktigt att det för personalens del så långt möjligt är tydligt vad som är lagligt och vad som inte är det i fråga om åtkomst till personuppgifter.

Mot bakgrund av detta föreslår utredningen att det införs en grundläggande bestämmelse om inre sekretess som gäller oavsett om uppgifter hanteras manuellt eller elektroniskt. Bestämmelsen ska ange att den som arbetar hos någon som bedriver verksamhet inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten. Som en ytterligare förutsättning ska uppgifterna behövas för något av de ändamål som är tillåtna enligt lagen.

Den som arbetar inom socialtjänsten, vare sig det är i en kommunal myndighet eller i en enskild verksamhet eller på Statens institutionsstyrelse, får alltså ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom socialtjänsten och uppgifterna ska användas för något av de tillåtna ändamålen. Detta ska gälla all personal eller motsvarande oavsett var han eller hon arbetar och oavsett för vilka syften uppgifterna behövs. Det är endast när en anställd eller en uppdragstagare behöver uppgifter för att kunna utföra sina arbets- uppgifter som denne får ta del av uppgifter om enskilda individer. Av bestämmelsen följer vidare att den anställde eller motsvarande endast får ta del av just de uppgifter som i det enskilda fallet behövs.

Bestämmelsen om inre sekretess tydliggör att den som arbetar i socialtjänsten exempelvis får ta del av de uppgifter i verksamheten som behövs för att handlägga ärenden om enskilda eller i nästa skede, de uppgifter som behövs för att genomföra beslut om stöd- insatser, vård eller behandling. På motsvarande sätt får den som

689

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

arbetar i socialtjänsten ta del av de uppgifter som behövs för det systematiska kvalitetsarbetet, för administration och planering av verksamheten etc. En grundläggande förutsättning är naturligtvis att den anställde eller motsvarande har i uppdrag att utföra sådana arbetsuppgifter.

Syftet med bestämmelsen är att bidra till att stärka integritets- skyddet och upprätthålla förtroendet för informationshanteringen i socialtjänsten samt göra det tydligt för den som arbetar i social- tjänsten när man får bereda sig åtkomst till uppgifter i verksam- heten. Bestämmelsen kompletteras även av regler om den personuppgiftsansvariges ansvar för tilldelning av behörighet för elektronisk åtkomst till uppgifter om enskilda och om ansvar för kontroll av den åtkomst som har förekommit till uppgifter i verksamheten. Se mer om de förslagen i det följande.

Av betydelse för gällande rätt om inre sekretess är vidare att olovligt intrång och olovligt efterforskande i elektroniska informa- tionssystem kan vara straffbart enligt straffbestämmelser om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning kan enligt 4 kap. 9 § brottsbalken dömas för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är tillämplig då någon använder sig av sin behörighet till åtkomst till ett elektroniskt journalsystem för att läsa uppgifter om en enskilde utan detta behövs från arbets- synpunkt, t.ex. på grund av nyfikenhet.1

24.2.2Ansvar för att uppgifter är tillgängliga när de behövs

Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter är tillgängliga för den som arbetar i verksamheten när uppgifterna behövs för arbetets utförande.

Själva syftet med att dokumentera handläggningen av ärenden och genomförandet av beslut i socialtjänsten går förlorad om upp- gifterna inte finns tillgängliga när det behövs. Därför måste den som bedriver verksamheten vara medveten om detta ansvar och

1 Prop. 2007/08:126 s. 143.

690

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter mm.

Ytterst är det fråga om rättsäkerhet för den enskilde att personal inom socialtjänsten som till exempel fattar beslut eller genomför insatser har tillgängliga och aktuella uppgifter för att kunna utföra insatser inom socialtjänst av god kvalitet. Att ha tillgång till uppdaterade uppgifter om en enskild och övrigt underlag är en förutsättning för att personal ska kunna leva upp till socialtjänst- lagens grundläggande krav på att insatserna inom socialtjänsten ska vara av god kvalitet.

Mot denna bakgrund föreslår vi en bestämmelse som uttrycker ansvaret för att rätt information faktiskt finns tillgängliga för rätt personer inom socialtjänsten så att kraven på god kvalitet och rättssäkerhet kan tillgodoses. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.

24.2.3Ansvar för att skydda uppgifterna vid överföring via internet m.m.

Vårt förslag: I socialtjänstdatalagen ska tas in bestämmelser om att den som bedriver verksamhet inom socialtjänsten ska se till att dokumenterade personuppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt socialtjänstdatalagen, ska den som bedriver verksamhet inom socialtjänsten se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.

Vi föreslår att det i socialtjänstdatalagen tydligt uttrycks ett ansvar för att inte obehöriga kan ta del av uppgifter om enskilda. Visserligen anges såväl i socialtjänstlagen som i lagen om stöd och service till vissa funktionshindrade krav på att handlingar som rör enskildas personliga förhållanden ska förvaras så att inte obehöriga

691

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

får tillgång till dem.2 Vi menar dock att denna princip är så central i en integritetsskyddslagstiftning att den även bör komma till uttryck i socialtjänstdatalagen. Den är även något annorlunda formulerad eftersom bestämmelsen ska tydliggöra ansvaret inte bara för förvaringen av uppgifterna, utan för att uppgifter rent generellt hanteras så att obehöriga inte kan få tillgång till dem.

Ansvaret innebär bl.a. att den som bedriver verksamhet inom socialtjänsten måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten. Även om upp- gifterna finns tillgängliga inom verksamheten så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. I linje med det ska den som bedriver verksamhet inom social- tjänsten ge tydliga anvisningar om vilka förväntningar som ställs på personalens hantering av personuppgifter. Det ska vara tydligt för den anställde eller motsvarande vad som ingår i dennes arbets- uppgifter och vilken information som han eller hon förväntas ta del av för att sköta sitt arbete.

Överföring av personuppgifter över internet eller andra jämförliga nät

I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika kommunala verksamheter inom socialtjänsten och om sådan överföring som görs till mottagare utanför den egna organisationen. Som exempel på det senare kan nämnas sådant informationsutbyte som kan komma att göras mellan kommunens beslutande nämnd och en utförare i enskild verksamhet eller utbyte av information med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.

Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata

2 11 kap. 5 § SoL och 21 a § LSS.

692

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns dock ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.3

Avgörande för frågan om ert intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.

Det är enligt vår bedömning inte möjligt att i socialtjänstdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämp- ningen kan hämtas ur Datainspektionens uttalande ovan. Den som bedriver verksamhet inom socialtjänsten behöver därför göra en bedömning av om de nät, utöver internet, som används för över- föring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.

I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen gäller särskilda begränsningar för behandling av s.k. känsliga personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk över- tygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana personuppgifter överförs via internet

3 Datainspektionen, dnr. 1409-2012.

693

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.

Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöver- trädelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om upp- gifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden. Ekonomisk hjälp eller vård inom socialtjänsten är, enligt allmänna råd från Datainspektionen, exempel på personuppgifter som normalt sett är att anse som känsliga.4

Mot bakgrunden av ovanstående kan konstateras att uppgifter inom socialtjänsten många gånger är att betrakta som känsliga enligt 13 § PUL, exempelvis om de rör enskildas hälsa. Vidare konstateras att uppgifter i socialtjänsten, för det fall uppgifterna inte är att betrakta som känsliga i personuppgiftslagens mening, åtminstone är av sådan integritetskänslig karaktär att de ska omfattas av särskilda säkerhetsåtgärder vid överföring över internet eller andra jämförliga nät. Utredningens bedömning är således att personuppgifter som behandlas enligt socialtjänstdatalagen är så pass integritetskänsliga att de, med avseende på säkerhetsåtgärder vid kommunikation över internet, bör skyddas på samma sätt alldeles oavsett om personuppgifterna är sådana som avses i 13 § PUL eller inte.

När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.

För socialtjänstens del finns i dag ingen särskild bestämmelse om säkerhet vid behandling av personuppgifter, vilket innebär att

4 Datainspektionens allmänna råd, Säkerhet för personuppgifter (2008), s. 18.

694

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

det är bestämmelserna i personuppgiftslagen som gäller. Av dessa bestämmelser framgår inte uttryckligen vilka säkerhetsåtgärder eller vilken säkerhetsnivå som ska uppnås i olika situationer, utan det framgår i allt väsentligt av Datainspektionens praxis. Utred- ningen bedömer att detta är en inte helt tillfredsställande lösning med avseende på den omfattande behandlingen av integri- tetskänsliga personuppgifter som görs inom socialtjänsten. Vidare är utredningens utgångspunkt att socialtjänstdatalagen ska vara så uttömmande som möjligt ifråga om de integritetsskydds-bestäm- melser som det bedöms finnas särskilt behov av för socialtjänstens del. Därför anser vi att det i socialtjänstdatalagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.

I sammanhanget kan noteras att det för hälso- och sjukvårdens del finns motsvarande bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patientuppgifter föregås av stark autentisering.

Sammantaget föreslår utredningen således att det i socialtjänst- datalagen ska tas in en bestämmelse som tydliggör kraven på säker- hetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om den som bedriver verksamhet inom socialtjänsten använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt socialtjänstdata- lagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste överföras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.

695

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

24.2.4Ansvar för informationssystemens utformning

Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver verksamhet inom socialtjänsten ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbete i socialtjänsten, underlättar arbetet med kvalitetsutveckling, underlättar samverkan och utbyte av uppgifter samt är utformade på sådant sätt att de enskildas integritetsskydd tillgodoses.

Den som bedriver verksamhet inom socialtjänsten har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Enligt 3 kap. 3 § SoL ska insatser inom socialtjänsten vara av god kvalitet och för utförande av uppgifter inom socialtjänsten ska det finnas personal med lämplig utbildning och erfarenhet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras (tredje stycket ovan nämnda paragraf). Motsvarande bestämmelser finns även i 6 § LSS.

Den som bedriver verksamhet inom socialtjänsten är således skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att det som bedriver verksamhet inom social- tjänsten med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egen- kontroll och hantering av avvikelser.

Som utredningen tidigare har konstaterat har den tekniska utvecklingen i vissa delar inte kommit lika långt inom socialtjänsten som inom hälso- och sjukvården och att det fortfarande före- kommer en del manuell informationshantering inom socialtjänsten. Utredningens bedömning är dock att det pågår en hel del utvecklingsarbeten för att förbättra informationshanteringen. I många kommuner och hos enskilda utövare av socialtjänst finns ett it-stöd för den dokumentation som görs inom verksamheten. Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t.ex. underlätta för yrkesutövaren att göra rätt och förhindra att fel görs både i systemet och vid utförandet av insat- serna inom socialtjänsten. Ett användarvänligt informationssystem

696

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

kan öka kvaliteten för enskilda och för personal samt minska kostnaderna för den som bedriver verksamhet inom socialtjänsten.

Vi föreslår en bestämmelse som konkretiserar några av de grundläggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas inom socialtjänsten. Den som bedriver verksamhet inom socialtjänsten ansvarar för att insatser inom socialtjänsten är av god kvalitet och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att ställa krav på och i förekommande fall upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.

Vi föreslår att bestämmelsen ställer ett uttryckligt krav på att den som bedriver verksamhet inom socialtjänsten ska se till att de informationssystem som innehåller personuppgifter är lätta att använda och är ett stöd i det dagliga arbetet. Detta krav finns även uttryckt som ett av målen för Nationell Ehälsa.5

Vård- och omsorgspersonal ska ha tillgång till välfungerande och sam- verkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nöd- vändig och strukturerad information ska finnas tillgänglig som under- lag för beslut om insatser och behandlingar.

Vi föreslår också att bestämmelsen ska omfatta krav på den som bedriver verksamhet inom socialtjänsten att se till att informations- systemen underlättar kvalitetetsarbetet. Att ta del av person- uppgifter för att säkra och följa upp resultatet av insatser inom socialtjänsten är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. I avsnitt 28 ger vi en samlad bild av hur våra förslag sammantaget ökar möjligheterna att bedriva ett ändamålsenligt kvalitetsarbete. En av flera förutsättningar för att kunna ta tillvara de möjligheterna handlar om informations- systemens utformning. Enligt utredningens bedömning bör informationssystemen bland annat vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verksamheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritets- skydd tas tillvara vid kvalitetsarbetet. Bland annat måste den som

5 Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg.

697

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

bedriver verksamhet inom socialtjänsten verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler personuppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.

Vi föreslår även att den som bedriver verksamhet inom social- tjänsten ska ansvara för att systemen möjliggör samverkan med andra enheter och verksamheter och andra som bedriver verk- samhet inom socialtjänsten samt möjliggör utbyte av uppgifter. För att lyckas med detta måste den som bedriver verksamhet inom socialtjänsten arbeta med informationssystemens struktur och innehåll. Stöd i detta arbete kan exempelvis hämtas från Social- styrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.

Vidare innebär det övergripande ansvaret för de informations- system som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritets- skyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för den som bedriver verksamhet inom socialtjänsten för flera aspekter av informationssäkerhet vid behandlingen av personuppgifter i social- tjänsten. Det är alltså ett ansvar för att lagens intentioner kan genomföras.

24.2.5Ansvar för behörighetstilldelning

Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver verksamhet inom socialtjänsten ska bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till personupp- gifter. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar i socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om tilldelning av behörigheter.

698

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

På socialtjänstens område saknas i dag uttryckliga bestämmelser om krav på styrning av behörighet och kontroll av åtkomst till uppgifter. Enligt utredningens bedömning är det en brist, inte minst mot bakgrund av att socialtjänsten är en verksamhet med en omfattande hantering av integritetskänsliga personuppgifter.

Behörighetsstyrning av elektronisk åtkomst till personuppgifter inom socialtjänsten regleras för närvarande av säkerhetsbestäm- melserna i 31 § PUL. Den bestämmelsen anger dock endast de generella och övergripande kraven på säkerhetsåtgärder. Vad som gäller för behörighetsstyrning anges inte heller uttryckligen i personuppgiftslagen, utan detta område har framför allt fått sin tydlighet genom praxis och vägledande uttalanden från Data- inspektionen. Tilldelade behörigheter ska enligt etablerad praxis motsvara befattningshavarens aktuella arbetsuppgifter. Det behövs därför väl avpassade rutiner för tilldelning, förändring, borttagning och regelbunden uppföljning av behörigheter. 6

För att ytterligare stärka individens behov av integritetsskydd anser utredningen att starka skäl talar för att införa författnings- bestämmelser för behörighetsstyrning och åtkomstkontroll i den nya socialtjänstdatalagen. Sådana bestämmelser saknas i dag och skulle bidra till att tydliggöra kraven och därigenom stärka integritetsskyddet samt upprätthålla förtroendet för informations- hanteringen i socialtjänsten.

Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i socialtjänstens verksamhetssystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörig- heten efter användarens behov för att kunna utföra sitt arbete. Den som arbetar inom socialtjänsten ska tilldelas en individuell behörighet för åtkomst till uppgifter om enskilda. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempe- lvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd eller motsvarande över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall inte heller vara elektroniskt tillgängliga för den anställde. Behörigheten

6 Datainspektionens beslut den 7 december 2011, dnr 876-2010.

699

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Den föreslagna bestämmelsen kompletterar bestäm- melsen om inre sekretess, som utredningen också föreslår.

I verksamheter som hanterar en stor mängd mycket integritets- känsliga uppgifter, som socialtjänsten, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörighets- styrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten vara att komma så nära som möjligt. Samtidigt är det viktigt att inte behörigheten blir för snäv och på så sätt bidrar till att uppgifter inte är tillgängliga för användaren när det behövs. Behörighetsstyrningen behöver därför innehålla moment av både risk- och behovsanalys.

Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt endast vad användaren kan göra, dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större blir skillnaden mellan vad användarna kan göra och vad de får göra. En sådan situation ställer stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är det som föreslås i det följande, dvs. systematiska och fortlöpande kontroller av användarna åtkomst till uppgifter om enskilda.

Vidare bedömer utredningen att närmare föreskrifter om behörighetsstyrning med fördel ska meddelas på myndighetsnivå. Utredningen förutsätter att det är Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.

700

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

24.2.6Ansvar för kontroll av elektronisk åtkomst

Vårt förslag: I lagen ska det anges att den som bedriver verk- samhet inom socialtjänsten ska se till att åtkomst till uppgifter om enskilda som förs helt eller delvis automatiserat doku- menteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt uppgifterna utförs. Rege- ringen eller den myndighet regeringen bestämmer får meddela föreskrifter om dokumentation och kontroll av åtkomst.

Precis som när det gäller frågan om behörighetsstyrning, saknas i dagsläget uttryckliga bestämmelser inom socialtjänstens område som tydliggör kravet på kontroll av den åtkomst till uppgifter som förekommit i verksamheten. Samtidigt får det av Data- inspektionens praxis vid tillämpningen av 31 § PUL redan i dag anses följa ett krav på den som bedriver verksamhet inom socialtjänsten att logga åtkomsten till uppgifter och att kontrollera om obehörig åtkomst har ägt rum.

Utredningen bedömer dock att det inte är en helt tillfreds- ställande lösning att kraven på spårbarhet och åtkomstkontroll för socialtjänstens del endast framgår av Datainspektionens praxis. Dessa krav är enligt vår bedömning så pass grundläggande att de bör regleras uttryckligen i den föreslagna socialtjänstdatalagen. I lagen bör därför införas bestämmelser som ställer krav på att de anställdas åtkomst till uppgifter om enskilda dokumenteras (loggas). Det som bedriver verksamhet inom socialtjänsten ska även säkerställa att det görs systematiska och återkommande kontroller av om obehörig åtkomst har förekommit. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela närmare föreskrifter om dokumentation och kontroll av åtkomst. Som jämförelse kan nämnas att det i patientdatalagen finns motsvarande reglering för hälso- och sjukvårdens del.

Dokumentation av åtkomsten (behandlingshistorik)

En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att åtkomsten till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorisk som behövs för att kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det

701

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.

Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt uppgifterna användes. Utred- ningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll med fördel meddelas på myndig- hetsnivå och att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen. För hälso- och sjukvårdens del återfinns bestämmelser om detta exempelvis i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informations- hantering och journalföring i hälso- och sjukvården.

Åtkomstkontroll

Enligt utredningens förslag ska den som bedriver verksamhet inom socialtjänsten genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om enskilda. Det räcker därmed inte att göra kontroller vid särskilda fall när obe- hörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande. Genom att införa en bestämmelse i social- tjänstdatalagen tydliggörs detta ansvar.

För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Utredningen bedömer att checklistan, i tillämpliga delar, med fördel även kan användas av den som bedriver verksamhet inom socialtjänsten. Av checklistan framgår bland annat följande.7

7 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning.

702

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.

Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.

Bestäm urval och omfattning och utforma en verkningsfull rutin.

Följ rutinen och dokumentera resultatet av granskningen.

Utvärdera och utveckla rutinen.

I checklistan förmedlar Datainspektionen även det viktiga budskapet att det inte endast är antalet loggkontroller som avgör hur verknings- fullt arbetet med åtkomstkontroll är. I linje med Datainspektionens uttalande nedan anser utredningen att även socialtjänstens aktörer behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verkningsfull för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomst- kontrollen.

Bestäm med vilken omfattning (antal och tidsintervall) loggupp- följningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.

Utöver ovanstående bedömer utredningen att den enskildes till- gång till loggar, t.ex. via internet, om den åtkomst som har före- kommit till uppgifter om den enskilde själv, kan vara ett komplement till den personuppgiftsansvariges arbete med åtkomstkontroller. Sådan tillgång för den enskilde förändrar dock inte det rättsliga ansvar för åtkomstkontrollen som följer av utredningens förslag.

703

25Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

25.1Bakgrund

Dagens utveckling med ökad mångfald av aktörer i socialtjänst och hälso- och sjukvård, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.

För socialtjänstens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Det kan vara fråga både om personuppgifts- behandling som görs i socialtjänstens kärnverksamhet, t.ex. vid genomförandet av insatser, eller sådan personuppgiftsbehandling som görs i kontakter med invånare.

Ett ytterligare exempel på gemensamma lösningar är framväxten av regionala och nationella tjänsteplattformar för att kunna hantera och utbyta information. En tjänsteplattform förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom social- tjänsten. Varje tjänst som vill ansluta sig till en viss tjänsteplattform följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan i stället

705

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

genom tjänsteplattformen, som sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis den som bedriver verksamhet inom socialtjänsten. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet som en s.k. punkt-till-punktintegration av system medför.

Ett annat exempel som kan nämnas är projektet Effektiv informationsförsörjning, EIF. Projektet drivs av Centrala studie- stödsnämnden på uppdrag av E-delegationen och genomförs i samverkan mellan Sveriges Kommuner och Landsting, Försäkrings- kassan, Arbetsförmedlingen, Centrala studiestödsnämnden, Skatte- verket, Pensionsmyndigheten och Arbetslöshetskassornas samar- betsorganisation. Syftet är att bygga en tjänst som möjliggör för kommuner att via sina verksamhetssystem elektroniskt inhämta information från flera myndigheter samt Arbetslöshetskassornas samarbetsorganisation. Det kan därmed liknas vid en tjänsteplatt- form med ett gemensamt regelverk som gör att samtliga kom- muner kan inhämta information från dessa olika myndigheter och organisationer på ett strukturerat och likartat sätt.

På den nationella arenan finns alltså flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara kommuner, landsting, myndigheter, leverantörer, intresseorganisationer, sam- verkansorgan m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för regionala och nationella utvecklings- arbeten väcker därför nya frågor relaterat till ansvaret för behand- lingen av de personuppgifter som hanteras i de gemensamma lös- ningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funktioner och åtgärder som utgör själva basen för den gemensamma personuppgifts- behandlingen och som alla inblandade är beroende av och behöver rätta sig efter.

Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där hundratals och kanske så småningom tusentals aktörer inom

706

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

socialtjänsten kan komma att samverka kring gemensamma lös- ningar för att ta del av personuppgifter hos centrala myndigheter eller för att utbyta uppgifter med varandra eller för att göra upp- gifter från socialtjänsten tillgängliga över internet för invånare. Det kan inte heller uteslutas att en rad nya områden och utvecklings- arbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.

Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fast- ställa hur informationssäkerheten och skyddet för personupp- gifterna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fast- ställa krav och nivåer för grundläggande informationssäkerhets- aspekter som tillgänglighet, riktighet, konfidentialitet och spårbar- het. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.

25.1.1Vårt uppdrag m.m.

I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering. Tidigare har vi redovisat för vårt förslag att i socialtjänst- datalagen införa bestämmelser om personuppgiftsansvar. Enligt den grundläggande bestämmelse som föreslås ska den som bedriver verksamhet inom socialtjänsten vara personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som utförs i dess verksamhet. Av bestämmelsen följer vidare att i en kommun är varje myndighet som bedriver socialtjänst personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Det kan utöver detta finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av person- uppgifter i socialtjänsten. En central fråga är om det i vissa sam- arbeten kan, vid en analys av de faktiska omständigheterna, fast- ställas att en av de samverkande aktörerna har ett personuppgifts-

707

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

ansvar för övergripande frågor om tekniska och organisatoriska säkerhetåtgärder.

Vi har på hälso- och sjukvårdens område lämnat en närmare och mer omfattande redogörelse för frågor om personuppgiftsansvar och skydd för personuppgifter vid samverkan mellan flera person- uppgiftsansvariga. I avsnitt 10 finns redovisningar av gällande rätt, vägledningar från tidigare utredningar och exempel från Data- inspektionens tillsyn. De beskrivningar som ges i det avsnittet har även grundläggande relevans för våra bedömningar i samma fråga på socialtjänstens område. I stället för att i detta sammanhang upp- repa bakgrunds- och problembeskrivningen m.m. hänvisar vi i stället till vad som anges i det avsnittet.

25.2Våra överväganden och förslag

25.2.1Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar

Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver verksamhet inom socialtjänst och som medger andra som bedriver sådan verksamhet direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.

Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna

När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Tidigare har vi bland annat redogjort för vårt förslag om möjlig- heter till direktåtkomst mellan olika utförare i socialtjänsten samt motsvarande möjligheter för myndigheter inom socialtjänsten i

708

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

samma kommun. Inte minst vid sådana samarbeten där personupp- gifter lämnas ut genom direktåtkomst är det nödvändigt att vidta åtgärder för att säkra skyddet av personuppgifterna.

Utförare i socialtjänsten som exempelvis lämnar ut personupp- gifter genom direktåtkomst har ett självklart intresse av att skyddet för personuppgifterna garanteras hos mottagande utförare och att denne har förutsättningar för att behandla personuppgifter på ett sätt som stämmer överens med integritetsskyddsbestämmelserna.

För samverkande aktörer inom socialtjänst handlar det bland annat om att se till att informationssäkerheten anpassas till legala krav i socialtjänstdatalagen, men även till exempelvis offentlighets- och sekretesslagen (2009:400), arkivlagen (1990:782) och social- tjänstlagen (2001:453). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare vill- koren för samarbetet och hur de legala kraven ska tillgodoses.

Enligt vår bedömning riskerar avsaknaden av krav på överens- kommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bak- grunden föreslår vi att socialtjänstdatalagen ska innehålla uttryck- liga krav på överenskommelser i dessa avseenden. Personupp- giftsansvarig som medger andra direktåtkomst eller på annat sätt samarbetar vid behandling av personuppgifter ska därför komma överens med andra personuppgiftsansvariga hur informations- säkerheten och skyddet för personuppgifterna ska tillgodoses. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklingsarbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som utförs inom ramen för utlämnanden genom direktåtkomst till enskilda eller grund- läggande funktioner som regionala eller nationella tjänste- plattformar.

Överenskommelsen mellan de personuppgiftsansvariga ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de samverkande aktörernas organisatoriska och tekniska förutsättningar att skydda personuppgifterna. Risk- och sårbar- hetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhets- analysen även resultera i att en av aktörerna, eller de samverkande

709

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

aktörerna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direktåtkomst eller innan annat samarbete avseende behandling av personuppgifter inleds. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande aktörerna saknar väsentliga förutsättningar att skydda person- uppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direktåtkomst får medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande aktörernas förutsättningar att leva upp till social- tjänstdatalagens krav på behörighetsstyrning och åtkomstkontroll. Den som bedriver verksamhet inom socialtjänsten ska göra risk- och sårbarhetsanalysen och överenskommelsen innan samarbetet med de andra aktörerna inleds.

Hur överenskommelsen ska tecknas är upp till parterna att avgöra. Allt för detaljerade anvisningar från lagstiftarens sida riskerar att låsa in socialtjänstens aktörer i lösningar som inte är tillräckligt flexibla med hänsyn till den komplexa situation och de olika slags samarbeten som det kan vara fråga om. Det finns inget som hindrar att överenskommelsen utgörs av en kombination av flera olika åtgärder, t.ex. ett anslutningsavtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Begreppet överenskommelse ska därmed ges en vidsträckt innebörd. Det handlar enligt vår bedömning inte i första hand om hur överenskommelsen rent formellt konstrueras utan fokus bör i stället sättas på frågorna i sak, dvs. hur en tillfredsställande informationssäkerhet och hur skyddet för personuppgifterna ska tillgodoses.

I sammanhanget kan nämnas att Myndigheten för samhälls- skydd och beredskap, MSB, tillsammans med några andra myndig- heter har formulerat en strategi för ökad informationssäkerhet i vård och omsorg. Syftet med strategin är att skapa förutsättningar för att vård och omsorg ska kunna bedrivas med rätt nivå av informationssäkerhet för att kunna tillgodose medborgare, pati- enters och samhällets behov av insyn, delaktighet, patientsäkerhet och personlig integritet. Strategin ska ge stöd för att hantera de nya risker som inte enbart kan åtgärdas av de enskilda sjukvårds- huvudmännen.1 Om den strategin så småningom utmynnar i ett

1 Myndigheten för samhällsskydd och beredskap, 2012-06-20, Strategi för stärkt informa- tionssäkerhet inom vård och omsorg.

710

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

förslag till ett mer detaljerat regelverk skulle det kunna vara ett exempel på ett sådant gemensamt regelverk som de som bedriver socialtjänst och andra aktörer kan ansluta sig till.

Det är i detta sammanhang inte möjligt att uttömmande ange vad en överenskommelse enligt vårt förslag ska innehålla, eftersom de samarbeten som här avses kan visa upp betydande skillnader i omfattning och innebörd. Syftet är att överenskommelsen ska omfatta samtliga områden som behövs för att skydda personuppgifterna och de olika former av resurser som används för att behandla personuppgifter samt det som behövs för att se till att personuppgiftsbehandlingen kan bedrivas på ett sätt som upprätthåller en god och säker vård. På en övergripande nivå berör det grundläggande informationssäkerhetsaspekter som tillgäng- lighet, riktighet, konfidentialitet och spårbarhet.

Den överenskommelse som här avses kan, för det fall det är lämpligt, även innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att, om det är tillämpligt, få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. I stället för att den enskilde exempelvis ska behöva vända sig flera av de inblandade utförarna i socialtjänsten kan det finnas skäl för dessa att komma överens om och praktiskt arrangera det på sådant sätt att den enskilde endast behöver vända sig till en aktör för att få loggutdraget. En sådan insats behöver naturligtvis inte administreras av de inblandade aktörerna, utan kan mycket väl skötas ett personuppgiftsbiträde. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.

Att i lagen ställa krav på överenskommelse mellan de som bedriver verksamhet inom socialtjänst bidrar enligt vår bedömning till en förstärkning av integritetsskyddet och till en uppmärksamhet kring grundläggande informationssäkerhetsfrågor. För ett sådant samhällsviktigt område som socialtjänsten är informationssäkerheten en grundläggande förutsättning för att kärnverksamheten ska kunna fungera optimalt och på ett sätt som reducerar säkerhetsrisker som kan medföra negativa konsekvenser

711

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

för enskilda. Medborgare ska kunna känna trygghet och förtroende för att informationshanteringen utformas på ett sådant sätt att behovet av integritetsskydd förenas med möjligheterna att ge en rättssäker socialtjänst av god kvalitet, oavsett vilken av de inblandade aktörerna som den enskilde möter.

Kravet på överenskommelse innebär att samverkande aktörer, innan det faktiska samarbetet avseende behandlingen av personuppgifter inleds, behöver arbeta aktivt tillsammans för att identifiera vad överenskommelsen behöver innehålla för att informationssäkerheten och skyddet för den personliga integri- teten ska kunna tillgodoses. För tillsynsmyndigheten blir det förhoppningsvis även, till skillnad från i dag, ett underlag för att mer effektivt kunna bedöma reella integritetsskyddsrisker och vidtagna åtgärder i sådana samarbeten inom socialtjänsten. Det bidrar även till att upprätthålla förtroendet för socialtjänstens informationshantering och reducera riskerna för sådana omoti- verade och ofrivilliga integritetsförluster som annars kan uppstå om ett gemensamt grepp över dessa frågor saknas.

Ett tydligt tillämpningsområde för den föreslagna bestämmelsen är de samarbeten som förekommer på lokal och regional nivå när olika utförare utbyter personuppgifter genom direktåtkomst. De som bedriver socialtjänst har därför ett ansvar för att inte lämna ut uppgifter genom direktåtkomst till varandra om inte en sådan överenskommelse finns.

Ett tydliggörande av personuppgiftsansvaret

Generellt bedömer vi att det för skyddet av den enskildes person- liga integritet finns starka skäl för att tydliggöra ansvaret för över- gripande tekniska och organisatoriska åtgärder i sådana samarbeten där flera aktörer använder samma lösningar för att bland annat behandla personuppgifter. Förutom att det blir tydligt för den enskilde vilken aktör som den enskilde ska vända sig till i över- gripande frågor, blir ansvaret även tydligt för de inblandade aktö- rerna själva. I dag kan detta ansvar ibland vara höljt i dunkel. Inte minst i sådana samarbeten där hundratals aktörer samverkar. Ett tydliggörande av personuppgiftsansvarets fördelning kan bland annat leda till att det fastställs att samtliga inblandade tillsammans har personuppgiftsansvar för övergripande säkerhetsåtgärder, men det kan även innebära att en eller ett fåtal av aktörerna anses ha

712

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

detta ansvar. Enligt utredningens uppfattning borde det senare, mot bakgrund av de faktiska omständigheterna inte vara en alltför ovanlig situation i de samarbeten som det kan vara fråga om.

I dessa samarbeten ingår aktörer som har vitt skilda förut- sättningar att agera i frågor som rör de närmare villkoren för övergripande frågor. Det kan exempelvis ifrågasättas vilka reella möjligheter en privat utförare av socialtjänst har att utföra åtgärder för att påverka övergripande säkerhetsfrågor i system som utveck- lats av en eller flera stora kommuner tillsammans. Inte sällan kan dessutom den privata utföraren vara mer eller mindre hänvisad till att använda en viss teknisk funktion eller ett visst system för den aktuella personuppgiftsbehandlingen. Motsvarade frågor aktuali- seras även på en högre nivå, där det på samma sätt kan finnas skäl att analysera vilka faktiska möjligheter en mindre kommun har att påverka i frågor om t.ex. säkerhetsåtgärder relaterat till gemen- samma lösningar för det som utvecklas inom ramen för projektet Effektiv informationsförsörjning.

Att vid behov tydligt peka ut en aktör som ansvarig för de över- gripande åtgärderna skulle synliggöra ansvaret för de övergripande säkerhetsåtgärderna och bättre överensstämma med de faktiska förutsättningarna. Vi bedömer att detta behov, i takt med en mer gemensam utveckling, kommer att bli större än tidigare. Utveck- lingen i socialtjänsten går, liksom i hela den offentliga e-förvalt- ningen, mot att många behöver samarbeta för att åstadkomma en informationshantering som är kostnadseffektiv, säker och ger en bra service till medborgarna. Inte sällan är dessa samarbeten i praktiken även en förutsättning för jämlika förhållanden för med- borgare i olika delar av landet.

För att inte enskilda ska riskera att lida omotiverade integritets- förluster på grund av att personuppgiftsansvaret är oklart eller odefinierat till sitt innehåll anser utredningen att det finns skäl att i större utsträckning än vad som förekommit hittills tydliggöra personuppgiftsansvaret för övergripande säkerhetsåtgärder. Vår utgångspunkt är att frågor om personuppgiftsansvar i första hand bör hanteras av den eller de personuppgiftsansvariga själva. Det är de inblandade som har bäst kännedom om de bakomliggande fakto- rerna och de faktiska omständigheterna. Av den anledningen finns det skäl att stimulera de inblandade aktörerna att själva aktivt analysera och ta ställning till frågan om någon eller några anses ha ett personuppgiftsansvar för övergripande säkerhetsåtgärder. Det skulle i allt väsentligt vara en positiv utveckling ur ett integritets-

713

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

skyddsperspektiv. Därför föreslår vi en grundläggande bestäm- melse som anger att flera som bedriver socialtjänst och som utbyter uppgifter genom direktåtkomst, eller på annat sätt samverkar vid behandling av personuppgifter, genom överenskommelse ska tydliggöra hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder. Syftet med bestämmelsen är att stimulera de inblandade aktörerna att analysera det närmare samarbetet och tydliggöra personuppgifts- ansvaret utifrån de faktiska omständigheterna. Resultatet av överenskommelsen kan således vara att samtliga aktörer tillsam- mans anses ha personuppgiftsansvar för övergripande säkerhets- åtgärder, eller att en eller ett fåtal av de samverkande anses ha detta ansvar.

Enligt vår bedömning behövs ingen särskild författnings- reglering som tydliggör att en av de inblandade aktörerna kan ha ett personuppgiftsansvar för övergripande frågor. Det följer redan av personuppgiftslagens (1998:204) principer och definitionen av personuppgiftsansvar. Inte heller hindrar bestämmelserna i för- slaget till socialtjänstdatalag detta. Den grundläggande regleringen i socialtjänstdatalagen handlar närmast om på vilken organisatorisk nivå personuppgiftsansvaret ska ligga, snarare än att göra ett avsteg från den grundläggande principen om att personuppgiftsansvaret utgår ifrån de faktiska omständigheterna. Det faktum att den som bedriver socialtjänst är personuppgiftsansvar för den behandling av personuppgifter som utförs i dess verksamhet utesluter därför enligt vår bedömning inte att det kan finnas någon annan som också har ett personuppgiftsansvar i fråga om delar av den kedja av personuppgiftsbehandlingar som aktualiseras i samarbeten mellan utförare som bedriver socialtjänst m.fl.

Det är enligt vår bedömning inte möjligt att i lag fastslå vad ett ansvar för de övergripande säkerhetsåtgärderna innebär. Som tidigare påpekats handlar det om samarbeten av vitt skilda slag, av olika omfattning och för olika syften. Organisation, samarbets- former och övriga faktiska omständigheter blir således avgörande för vad som mer specifikt kan anses ingå i ett sådant ansvar. Ut- gångspunkten bör dock vara ett personuppgiftsansvar för över- gripande säkerhetsåtgärder exempelvis i förhållande till sådana funktioner och förutsättningar som utgör basen för den gemen- samma personuppgiftsbehandlingen och som samtliga inblandade aktörer är beroende av och måste rätta sig efter. Som exempel på

714

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

sådana åtgärder som i olika utsträckning kan tänkas ingå i ett över- gripande ansvar kan följande nämnas.

Organisatoriska och administrativa åtgärder som risk- och sår- barhetsanalyser och kontinuerlig övervakning av de centrala tjänsterna.

Kontroll över att de ingående aktörernas följer de gemensamma rutiner, regelverk och villkor som gäller för samarbetet.

Ansvar för att förvalta och utveckla de centrala funktioner och tjänster som används för att skydda personuppgifterna.

Kontinuerliga tester för att analysera att informationssäkerhets- kraven uppfylls.

Kontroll av personuppgiftsbiträden och underleverantörer.

Ansvar för att personuppgiftsbiträdesavtal och instruktioner finns med förekommande externa leverantörer som behandlar personuppgifter för sådana ändamål som har att göra med de övergripande frågorna.

Utredningen anser således att frågan om fördelningen av person- uppgiftsansvar för övergripande säkerhetsåtgärder ska avgöras med hänsyn till de faktiska omständigheterna i det enskilda fallet. Det är således upp till de samverkande personuppgiftsansvariga att analy- sera situationen och tydliggöra hur personuppgiftsansvaret är fördelat. Vi har i avsnitt 10 belyst frågan om hur ett övergripande personuppgiftsansvar kan identifieras utifrån de faktiska om- ständigheterna. I stället för att i detta sammanhang upprepa detta, hänvisar vi till det avsnittet. Samtidigt finns skäl att även här ge exempel på några konkreta omständigheter som enligt vår bedöm- ning kan tyda på att en, eller ett fåtal, av de inblandade aktörerna har ett särskilt ansvar för övergripande säkerhetsåtgärder.

Om en aktör dikterat villkoren för övrigas medverkan.

Om en aktör har faktiska möjligheter och befogenheter att vidta åtgärder med avseende på den övergripande säkerheten för personuppgiftsbehandlingen.

Om en aktör ansvarar för kravställning, utveckling, driftsättning och förvaltning av sådant som avser den övergripande säker- heten för personuppgiftsbehandlingen.

715

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Om det av avtal mellan de samverkande aktörerna framgår att en av dem har en dominerande och självständig ställning i frågor som rör övergripande säkerhetsåtgärder.

Samtidigt råder i många samarbeten naturligtvis helt andra förut- sättningar än de som räknas upp ovan. Exemplen ska endast betraktas som vägledande just för frågan om någon av de inblandade kan anses ha ett ensamt personuppgiftsansvar för de övergripande säkerhetsåtgärderna. Oavsett om de inblandades bedömning resulterar i att personuppgiftsansvaret för frågor om organisatoriska och tekniska säkerhetsåtgärder är gemensamt eller om det ligger på en av aktörerna, ska det enligt vårt förslag framgå av överenskommelsen hur personuppgiftsansvaret är fördelat.

716

26Elektroniskt utlämnande av personuppgifter

26.1Bakgrund

Utredningen har i tidigare avsnitt redogjort för vilka ändamål personuppgifter ska få behandlas hos den som bedriver verksamhet inom socialtjänsten. Inom ramen för dessa ändamål kan det många gånger bli att aktuellt att behandla personuppgifter i form av att lämna ut uppgifter till någon utanför den egna verksamheten. Utlämnande kan t.ex. avse personuppgifter som begärs utifrån av en annan som bedriver verksamhet inom socialtjänsten eller föranledas av en särskilt reglerad uppgiftsskyldighet. Det kan t.ex. också avse sådana uppgifter som ska lämnas ut för att den egna verksamheten ska kunna fullgöra sina uppgifter, t.ex. i samband med samverkan mellan socialtjänsten och hälso- och sjukvården.

Personuppgifter kan lämnas ut på olika sätt. Ett sätt är via pappersutskrifter från en dator som postas eller sänds per telefax. Utlämnande kan också göras i elektronisk form t.ex. på medium för automatiserad behandling eller genom direktåtkomst. Den elektroniska formen inrymmer i sig ett stort antal variationer, t.ex. användning av e-post, lagring på diskett eller cd-rom, direkt överföring till ett datorsystem till ett annat via telenätet eller att en mottagare ges elektroniskt tillgång till det utlämnande organets datorsystem (direktåtkomst). Alla dessa olika varianter utgör behandling av personuppgifter enligt det begrepp som definieras i 3 § personuppgiftslagen (1998:204), förkortad PUL.

Personuppgiftslagen och dataskyddsdirektivet saknar bestäm- melser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form.1 I lagen om behandling av person-

1 Personuppgiftslagen (1998:204) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av person- uppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

717

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

uppgifter inom socialtjänsten (2001:454), förkortad SoLPUL, anges inte heller några närmare förutsättningar för tillvägagångs- sättet vid utlämnanden. Däremot anges i lagens 8 § att det vid ut- lämnande gäller de begränsningar som följer av offentlighets- och sekretesslagen (2009:400), förkortad OSL, socialtjänstlagen (2001:453), förkortad SoL, och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. För vissa utläm- nanden av uppgifter till tredje land finns en bestämmelse i förord- ningen (2001:637) om behandling av personuppgifter inom social- tjänsten, förkortad SoLPULF.

Enligt utredningens bedömning innebär den särskilda tekniken för utlämnande i elektronisk form att det kan uppstå risk för ett otillbörligt intrång i integriteten. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet görs på papper. Utlämnande genom direktåtkomst innebär t.ex. att en mottagare har elektronisk tillgång till någon annans infor- mationssystem eller databas och på egen hand kan söka efter information.

Grundläggande bestämmelser om utlämnande bör införas i den nya socialtjänstdatalagen för att upprätthålla höga krav på att ett utlämnande görs under säkerhetsmässigt godtagbara former.

26.2Våra överväganden och förslag

26.2.1Utlämnande på medium för automatiserad behandling

Vårt förslag: I socialtjänstdatalagen ska anges att en personupp- gift som får lämnas ut, kan lämnas ut på medium för automati- serad behandling. Regeringen eller den myndighet som rege- ringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som ska gälla vid sådant utlämnande.

Vår utgångspunkt är att personuppgifter ska kunna lämnas ut på medium för automatiserad behandling om de får lämnas ut. Den nuvarande regleringen i SoLPUL medför inga hinder för social- tjänsten att lämna ut personuppgifter elektroniskt på detta sätt, under förutsättning att utlämnandet kan göras utan att sekretessen hindrar det och om personuppgiftsbehandlingen som sådan är laglig. Om uppgifter överhuvudtaget får lämnas ut bestäms av

718

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

bestämmelserna i offentlighets- och sekretesslagen samt av bestämmelserna om tystnadsplikt. Inom socialtjänsten råder en sträng sekretess och tystnadsplikt, vilket innebär att det alltid måste prövas om ett utlämnande över huvud taget kan göras eller inte. För att tydliggöra att personuppgifter får behandlas för ändamålet utlämnande har vi lämnat förslag på en uttrycklig bestämmelse i socialtjänstdatalagen. Bestämmelsen innebär att personuppgifter, som behandlas för ett tillåtet ändamål, också får behandlas för att fullgöra ett uppgiftslämnande som är lagligt.

Det finns enligt vår bedömning inget skäl att begränsa sådan användning av modern teknik som i dag finns i hela samhället. Utredningen har inte uppfattat något hinder mot att uppgifter kan lämnas ut från socialtjänsten på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis göras genom olika former av filöverföring eller på USB-minne. Det är upp till den som bedriver verksamhet inom socialtjänsten att efter en lämplighetsprövning ta ställning till valet mellan en automatiserad överföring och annan överföring.

Under utredningens arbete har det blivit tydligt att det både i socialtjänsten och i hälso- och sjukvården finns behov av att utveckla och implementera it-stöd som gör det möjligt att admi- nistrera elektroniska utlämnanden på ett ändamålsenligt och säkert sätt. Det skulle kunna förenkla och effektivisera sådana utläm- nanden som görs mellan olika verksamheter inom socialtjänsten, exempelvis i kommunikationen mellan den beslutande nämnden och den utförare som den enskilde väljer. Andra användnings- områden kan vara sådana utlämnanden som görs till enskilda eller som görs för forskningsändamål. Som ett exempel på ett område där utlämnanden på medium för automatiserad behandling regel- mässigt görs kan den samordnade vårdplaneringen nämnas. De flesta kommuner och landsting har i dag möjlighet att kom- municera elektroniskt vid sådan samordnad vårdplanering som vid vissa tillfällen ska genomföras när patienter skrivs ut från slutenvården och är i behov av insatser från socialtjänsten och den kommunala hälso- och sjukvården.

Vid elektroniska utlämnanden är det viktigt att överföringen av uppgifter görs under former som garanterar en hög säkerhetsnivå. Utlämnande av personuppgifter på medium för automatiserad behandling är en form av behandling som omfattas av den före- slagna regleringen men även av personuppgiftslagen. Det innebär bl.a. att den personuppgiftsbehandling som utlämnandet innebär

719

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

måste vara tillåten enligt de ändamålsbestämmelser och de informa- tionssäkerhetskrav som finns i den föreslagna lagen. Det innebär till exempel att utlämnande av känsliga personuppgifter över öppet nät, t.ex. internet, får göras om det endast är den avsedda mottagaren som kan ta del av uppgifterna och om uppgifterna är krypterade vid en eventuell överföring. Enligt utredningens bedömning bör det finnas närmare krav på säkerhetsåtgärder vid utlämnande i föreskrifter. Mot den bakgrunden föreslår vi att regeringen eller den myndighet som regeringen föreslår får meddela föreskrifter om krav på säkerhetsåtgärder vid utlämnanden på medium för automatiserad behandling. Enligt vår uppfattning bör vara Socialstyrelsen som, efter samråd med Datainspektionen, meddelar föreskrifter i ämnet.

26.2.2Utlämnande genom direktåtkomst

Vårt förslag: I socialtjänstdatalagen ska anges att utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. I socialtjänstdata- lagen regleras vissa fall av tillåten direktåtkomst.

Vår bedömning: Med direktåtkomst avses i socialtjänstdata- lagen en form av elektroniskt utlämnande av personuppgifter till mottagare utanför den som bedriver verksamhet inom social- tjänstens organisation.

Det är i dag svårt att finna ett entydigt svar på frågan om vad som är skillnaden mellan direktåtkomst respektive utlämnande på medium för automatiserad behandling. Frågan är föremål för en översyn av Informationshanteringsutredningen (Ju 2011:11), som enligt sina direktiv ska överväga om det finns skäl att i register- författningar behålla åtskillnaden mellan olika former av elektro- niskt utlämnande. Uppdraget ska redovisas 1 december 2014 och av direktiven framgår bland annat följande.2

Den tekniska utvecklingen har inneburit att det numera finns betydligt fler sätt att överföra uppgifter elektroniskt än tidigare och nya åtkomstmetoder tillkommer alltjämt. Detta har medfört att det uppfattas som oklart hur begreppen direktåtkomst och utlämnande på

2 Dir. 2011:86 s. 19.

720

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

medium för automatiserad behandling ska tillämpas på modernare metoder för informationsutbyte. Gränsdragningsproblematiken illu- streras bl.a. i en rapport som har tagits fram av E-delegationens expert- grupp för rättsliga frågor (Vägledning för direktåtkomst och utläm- nande på medium för automatiserad behandling). De aktuella begrep- pen används inte heller på ett enhetligt sätt i de olika register- författningarna och utöver nu nämnda begrepp förekommer andra begrepp, t.ex. ”elektronisk åtkomst” (SOU 2010:4 s. 364 f.).

Mot den angivna bakgrunden ska utredaren analysera vilka effekti- vitetsvinster och integritetsrisker som är förknippade med olika former av elektroniskt informationsutbyte samt ta ställning till om det finns skäl att i registerförfattningarna upprätthålla en skillnad mellan direktåtkomst och andra former av elektroniskt utlämnande eller om denna åtskillnad bör utmönstras. Om utredaren anser att en åtskillnad mellan olika former av elektroniskt utlämnande även i fortsättningen bör upprätthållas, ska denne lämna förslag på vilka begrepp som bör användas samt hur dessa bör definieras.

Även om frågor om direktåtkomst är under översyn finns ett behov för socialtjänstens del att i detta sammanhang så långt möjligt beskriva vad dessa begrepp innebär och vad som skiljer olika former av utlämnanden åt. Eftersom vi föreslår ett antal bestämmelser om direktåtkomst i socialtjänstlagen är det därför nödvändigt att tydliggöra vad vi avser med direktåtkomst.

Det finns inte någon legaldefinition av begreppet direktåtkomst. En vedertagen uppfattning får dock anses vara att det innebär att en mottagare har elektronisk tillgång till någon annans informations- system eller databas, t.ex. via internet, och på egen hand kan söka efter och ta del av information. Vanligtvis innebär direktåtkomst ingen möjlighet för mottagaren att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser.3 Ibland kan mottagaren dock ha en möjlighet att kopiera eller på olika sätt ladda ner och hämta hem informationen till sitt eget system för fortsatt personuppgiftsbehandling.4

Frågan om vad som bör anses som direktåtkomst berördes bland annat av patientdatautredningen och i denna del ansluter vi oss till den utredningens resonemang. Inte minst eftersom det finns behov av ett harmoniserat regelverk mellan hälso- och sjuk- vården och socialtjänsten är det viktigt att detta begrepp inte skiljer sig åt för de olika verksamheterna. Patientdatautredningen anförde bland annat följande.5

3Prop. 2000/01:33 s. 110 f.

4Se t.ex. Prop. 2001:02:144 s. 35 eller SOU 2001:100 s. 149.

5SOU 2006:82 s. 217.

721

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

I begreppet direktåtkomst ligger också att den som är ansvarig för registret eller databasen inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Det innebär t.ex. att om vårdgivare A har direktåtkomst till samtliga uppgifter i ett register eller en databas hos vårdgivare B, så kan A själv välja vilka uppgifter den vill ta del av vid ett visst tillfälle, utan att B, d.v.s. den som är ansvarig för registret eller databasen, först fattar ett beslut om att just dessa uppgifter ska överföras till A. Beslutet om varje överföring fattas i stället av mottagaren.

Direktåtkomst innebär att någon egentlig sekretessprövning hos B inte sker varje gång någon hos A använder direktåtkomsten för att ta del av en uppgift. Sekretessprövningen sker istället då B bestämmer vilka uppgifter som skall vara möjliga för A att ta fram via direkt- åtkomsten. Direktåtkomst kan därvid avse all information som finns samlad i ett datasystem eller endast en på förhand bestämd del av denna.

Regeringen uttalar även i förarbetena till patientdatalagen att det med direktåtkomst avses ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vård- givares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.6

Mot denna bakgrund anser utredningen att med direktåtkomst ska i socialtjänstdatalagen avses en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför den organisation som bedriver verksamhet inom socialtjänsten. Direktåtkomst skiljer sig från andra typer av elektroniska utläm- nanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informationen utan att den som lämnar ut informa- tionen vidtar någon åtgärd med informationen vid överförings- tillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt automatiskt utlämnande.

Sammantaget kan konstateras att direktåtkomst medför helt andra risker för integritetsskyddet än andra former av utlämnande som t.ex. innebär att beslut om utlämnande fattas vid varje givet överföringstillfälle. Därför bör det i socialtjänstdatalagen framgå att utlämnande genom direktåtkomst endast är tillåten i den utsträck- ning som anges i lag eller förordning. I linje med detta finns även skäl att här tydliggöra att bestämmelser om direktåtkomst inte anses ha en sekretessbrytande effekt enligt offentlighets- och sekretesslagen. Bestämmelser om direktåtkomst har en annan funktion än sekretessbrytande regler. Medan sekretessbrytande

6 Prop. 2007/08:126 s. 76.

722

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

regler anger i vilken mån sekretessbelagda uppgifter över huvud taget får lämnas från en myndighet till en annan, tar bestämmelser om direktåtkomst sikte på själva formerna för utlämnandet. Om en myndighet ska få ha direktåtkomst till uppgifter som omfattas av sekretess hos en annan myndighet måste bestämmelser om direkt- åtkomst därför kompletteras med en sekretessbrytande bestäm- melse. I anslutning till våra resonemang om möjligheter till direkt- åtkomst inom socialtjänsten och mellan hälso- och sjukvården och socialtjänsten berörs denna fråga ytterligare.

Vidare kan konstateras att det i dag finns ett antal lagar som medger tillgång till uppgifter genom direktåtkomst för social- nämndens räkning. Som exempel kan nämnas att en socialnämnd under vissa förutsättningar har rätt att ta del av vissa uppgifter hos Centrala studiestödsnämnden, Försäkringskassan och arbets- förmedlingen genom direktåtkomst. I dessa fall är det dock registerförfattningarna för de respektive myndigheterna som reglerar förutsättningarna för den utlämnande myndigheten att medge direktåtkomst för socialnämnden. Det regleras således inte av socialtjänstdatalagen.

Genom vårt förslag får den som bedriver verksamhet inom socialtjänsten lämna ut personuppgifter genom direktåtkomst endast i den utsträckning som anges i lag eller förordning. I socialtjänstdatalagen ska vissa typer av tillåten direktåtkomst regleras, t.ex. mellan olika verksamheter som samtidigt genomför insatser rörande den enskilde eller i integrerade verksamheter för personer med sammansatta behov av hälso- och sjukvård och socialtjänst. Vidare föreslår vi att den som bedriver socialtjänst ska få medge en enskild direktåtkomst till personuppgifter om sig själv. Förslaget behandlas i avsnitt 33, tillsammans med ett antal övriga frågor som rör kommunikationen mellan socialtjänsten och enskilda.

26.2.3Utlämnande av uppgifter till tredje land

Vårt förslag: Nuvarande bestämmelse i SoLPULF om överföring av uppgifter till tredje land i ett ärende om fastställande av faderskap och om internationella adoptioner överförs till social- tjänstdatalagen. Även bestämmelsen i SoLPUL om regeringens möjligheter att meddela föreskrifter om när personuppgifter får föras över till tredje land överförs till socialtjänstdatalagen.

723

Elektroniskt utlämnande av personuppgifter

SOU 2014:23

I personuppgiftslagen finns en bestämmelse om förbud mot över- föring av personuppgifter till tredje land (33–35 §§). Med tredje land förstås en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbetsområdet. Förbudet är inte undantagslöst utan i PUL finns en uppräkning av i vilka fall det är tillåtet att föra över personuppgifter till tredje land.

I SoLPUL finns en bestämmelse som föreskriver att regeringen får meddela föreskrifter om när personuppgifter får föras över till tredje land. Regeringen har i SoLPULF sedan föreskrivit att en kommunal myndighet får föra över uppgifter till tredje land i ett ärende om fastställande av faderskap och om internationella adoptioner (16 §). Möjligheterna att kunna överföra uppgifter i nämnda ärenden om faderskap och internationella adoptioner till tredje land är fortfarande aktuella och bör enligt utredningens bedömning tas in i den föreslagna socialtjänstdatalagen.

Vi föreslår även att bestämmelsen i SoLPUL om regeringens möjlighet att meddela föreskrifter om när personuppgifter får föras över till tredje land överförs till socialtjänstdatalagen.

26.2.4Vissa bestämmelser om utlämnande från Statens institutionsstyrelse

Vårt förslag: Nuvarande bestämmelser i 10 a § SoLPULF om vissa utlämnanden från Statens institutionsstyrelse till Försäk- ringskassan, Pensionsmyndigheten och Rikspolisstyrelsen förs över till lag (1998:603) om verkställighet av sluten ungdoms- vård.

I nuvarande 10 a § SoLPULF finns bestämmelser om uppgifts- skyldighet för Statens institutionsstyrelse att lämna ut uppgifter till Försäkringskassan, Pensionsmyndigheten och Rikspolisstyrelsen. Det gäller personer som är intagna i särskilt ungdomshem med stöd av lagen (1998:603) om verkställighet av sluten ungdomsvård. Statens institutionsstyrelse ska fortlöpande lämna uppgifter om dagen för verkställighetens början och slut samt eventuell ändrad slutdag. Uppgifter ska även lämnas till Rikspolisstyrelsen, om dagen för verkställighetens början om den sammanlagda vårdtiden är minst ett år. Det finns även bestämmelser om skyldighet att i

724

SOU 2014:23

Elektroniskt utlämnande av personuppgifter

andra fall lämna uppgifter till Rikspolisstyrelsen i 34 § förord- ningen (1999:1134) om belastningsregister. Den uppgiftsskyldighet som är i fråga i aktuella fall hör ihop med bestämmelserna i lagen (1998:603) om verkställighet av sluten ungdomsvård och ska därför flyttas över till den lagen.

725

27Nya möjligheter till informationsutbyte i socialtjänsten

27.1Bakgrund

Vi har tidigare redogjort för de senaste årens strukturförändring inom socialtjänstens område. Antalet aktörer som bedriver social- tjänst har ökat väsentligt och enskilda har fått en ökad valfrihet att välja utförare för olika insatser. Utvecklingen medför behov av nya samarbeten och nya samarbetsformer på olika nivåer. För att samverkan ska bli ändamålenlig och bidra till en rättsäker social- tjänst av god kvalitet behöver informationshanteringen i den individinriktade verksamheten arrangeras på sätt som möjliggör detta. Det krävs naturligtvis insatser på en rad olika områden för att åstadkomma en ändamålsenlig och sammanhållen informations- hantering i socialtjänsten. Det handlar bland annat om faktorer som ledning och styrning, arbetssätt, it-utveckling och olika former av kunskaps- och komptensstödjande insatser. Informa- tiken, dvs. frågor om gemensamt fackspråk och informations- struktur är ytterligare ett exempel på ett nödvändigt utvecklings- område.

Utöver detta är det naturligtvis även angeläget att socialtjänsten har legala förutsättningar som stimulerar och möjliggör en ända- målsenlig samverkan och informationshantering i den individ- inriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. För social- tjänstens del saknas dock lagstiftning som möjliggör informa- tionsutbyte genom direktåtkomst exempelvis mellan olika utförare av socialtjänst eller mellan olika myndigheter på socialtjänstens områden inom samma kommun. Socialtjänsten har således inte

727

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

några möjligheter att utbyta information på ett sätt som motsvarar de möjligheter olika vårdgivare inom hälso- och sjukvården har att dela information i system för sammanhållen journalföring.

Vårt uppdrag i denna del handlar om hur lagstiftningen om personuppgiftbehandling i socialtjänsten kan utformas för att möta individens behov av rättssäkerhet och god kvalitet i en tid som präglas av valfrihet, mångfald och samverkan. Ur ett samhälls- perspektiv handlar det även om frågan hur lagstiftningen kan bidra till att informationshanteringen i socialtjänsten kan arrangeras mer kostnadseffektivt, t.ex. genom att uppgifter kan behandlas och utbytas med moderna tekniska lösningar.

27.2Våra överväganden och förslag

27.2.1Direktåtkomst mellan myndigheter i samma kommun

Vårt förslag: En bestämmelse ska införas i socialtjänstdatalagen som anger att om en kommun bedriver socialtjänst genom flera myndigheter eller sådana kommunala bolag som avses i 2 kap. 3 § offentlighet- och sekretesslagen (2009:400), förkortad OSL, får en sådan myndighet eller bolag ha direktåtkomst till person- uppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun.

Utredningen har i avsnittet om en mer ändamålsenlig sekretess- reglering i socialtjänsten föreslagit en sekretessbrytande bestäm- melse om att socialtjänstsekretess inte ska hindra att en uppgift lämnas ut från en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. För att förslaget i praktiken ska få avsedd effekt krävs att det kompletteras med en särskild bestämmelse som tillåter nämnderna och bolagen att ha direktåtkomst till varandras personuppgifter. Detta behövs efter- som det enligt förslaget till socialtjänstdatalag endast ska vara tillåtet med direktåtkomst i den utsträckning det framgår av lag eller förordning. En sådan bestämmelse är i konsekvens med motiven till sekretessgenombrottet och innebär att socialtjänst- datalagen inte samtidigt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom kommuner som valt eller som överväger att dela upp socialtjänstverksamheten på olika nämnder. Stora tillämpningsproblem skulle i så fall kunna uppstå i frågor om

728

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

informationshanteringen. Därutöver riskerar sådana regler att låsa fast nämndstrukturerna i kommunen.

Utredningen föreslår därför att det införs bestämmelser som möjliggör för en kommun som bedriver socialtjänst genom flera myndigheter eller sådana kommunal bolag som avses i 2 kap. 3 § OSL, att ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun. Det innebär att en kommun som väljer att organisera socialtjänsten på flera olika nämnder och bolag kan lämna ut personuppgifter mellan nämnderna och bolagen genom direktåtkomst.

Motsvarande förutsättningar finns redan i dag inom hälso- och sjukvårdens område, både för kommunala och landstings- kommunala nämnder. Som motivering till förslaget om att kommunala nämnder som bedriver hälso- och sjukvård ska kunna utbyta uppgifter genom direktåtkomst anfördes bland annat följande av patientdatautredningen.1

En sådan bestämmelse är i konsekvens med motiven till sekretess- genombrottet och innebär att patientdatalagen inte parallellt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom sådana landsting eller kommuner som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Stora tillämpnings- problem torde i annat fall kunna uppstå. Då skulle uppgiftsflöde genom direktåtkomst mellan nämnderna i ett sådant landsting eller kommun enbart få ske med stöd av våra förslag om sammanhållen journalföring. Vad skulle då gälla när ett landsting, som satsar på att införa ett journalsystem under en nämnd, av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder? Sannolikt skulle det kräva en reglering för sådana fall av huruvida all befintlig vårddokumentation skall presumeras vara spärrad mellan nämnderna tills varje patients inställning klargjorts eller huruvida presumtionen ska vara omvänd. Man kan fråga sig om en reglering med sådana konsekvenser inte låser fast nämndstrukturerna i landsting och kommuner på ett olyckligt sätt. Våra förslag innebär att det i praktiken inte kommer att vara någon väsentlig skillnad i patient- datahanteringen om ett landsting eller en kommun bedriver hälso- och sjukvård genom en eller flera myndigheter.

Vår bedömning är att patientdatautredningens motivering, som regeringen sedan anslöt sig till i propositionen till patientdatalagen (2008:355), även gör sig gällande inom socialtjänstens område. Vi anser att det finns skäl att tillåta direktåtkomst mellan nämnder inom socialtjänsten i samma kommun. I annat fall skulle reglerna i

1 SOU 2006:82 s. 407 f

729

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

socialtjänstdatalagen ställa upp hinder som förslagen i sekretess- delen syftar till att undanröja.

Att medge direktåtkomst mellan kommunala nämnder innebär en ändamålsenlig flexibilitet och att de organisatoriska förutsätt- ningarna inte tillåts styra flödet av information. I sammanhanget kan även konstateras att de kommuner som i dag i allt väsentligt har organiserat socialtjänsten i en och samma nämnd, redan har stora möjligheter till ett sådant ändamålsenligt och effektivt informationsutbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar, som vi ser det, ytterst om att öka förutsättningarna för en jämlik social- tjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i olika kommuner ser ut.

Det är inte i fråga om att tillåta någon okontrollerad spridning av uppgifter. Den grundläggande bestämmelsen om inre sekretess, dvs. att den som arbetar i socialtjänsten endast får ta del av de uppgifter som behövs för arbetets utförande, gäller alltid. Vi har tidigare redogjort för ett antal andra förslag som bl.a. syftar till att stärka integritetsskyddet i socialtjänsten jämfört med vad som är fallet i dag. Våra förslag om sekretessbrytande regler och tillåten direktåtkomst ska därför även läsas i ljuset av förslagen som förtydligar det ansvar för en säker hantering av personuppgifter som den som bedriver verksamhet inom socialtjänsten har, liksom i ljuset av bestämmelserna om inre sekretess, behörighetsstyrning, åtkomstkontroll m.m. Exempelvis ska den som ansvarar för verk- samheten i socialtjänsten genom behörighetsstyrning se till att behörig personal får tillgång till de uppgifter som behövs för att utföra arbete och samtidigt se till att begränsa behörigheten just efter detta behov. Socialtjänstdatalagen ska även tydliggöra ansvaret för fortlöpande och systematiska kontroller av åtkomsten till uppgifter om enskilda. Vidare har den som bedriver verksamhet i socialtjänsten alltid ett grundläggande ansvar för att se till att dokumenterade uppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Dessutom innebär det övergripande ansvaret för de system som innehåller personuppgifter ett krav på att utforma systemen på ett sådant sätt att integritetsskyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritets- skyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd genom teknik ger ökade förutsättningar för ett starkt integritetsskydd.

730

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

Utredningens sammantagna bedömning är att de integritets- skyddande bestämmelserna tillsammans med dessa nya möjligheter till informationsutbyte ger en bra balans mellan de olika intressen som behöver värnas.

Med vårt förslag får alla kommuner – oavsett hur den interna myndighetsstrukturen ser ut – samma grundläggande möjlighet att ordna informationshanteringen på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, tillåts utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretess- prövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, dvs. att samma uppgift behöver doku- menteras flera gånger på flera ställen, minskar. Detta eftersom uppgifterna så fort de har dokumenterats kan hållas potentiellt tillgängliga för de behöriga användare som i enskilda situationer har ett behov av uppgifterna för att kunna utföra sitt arbete. Genom förslaget kan sådana verksamheter inom socialtjänsten som kom- munen driver i egen regi utbyta viktig information om enskilda utan fördröjning. Inte minst för enskilda som på grund av sitt hälsotillstånd växelvis kan få insatser tillgodosedda t.ex. i hemmet, på korttidsboende eller i särskilt boende medför reglerna om direktåtkomst att insatserna alltid kan utföras med stöd av korrekt och aktuell information.

Genom att tillgången till uppgifter blir tillåten utifrån det behov som föreligger, snarare än utifrån vilken organisatorisk del i kommunens socialtjänstverksamhet som uppgifterna dokumen- terats i, får kommunen även väsentligt förbättrade möjligheter att bedriva ett systematiskt kvalitetsarbete och att planera och följa upp verksamheten. Exempelvis kan med vårt förslag uppgifter sambearbetas oavsett om uppgifterna finns utspridda i olika system i kommunens verksamhet och oavsett om uppgifterna finns hos ett kommunalt bolag eller myndighet inom socialtjänsten. Det sagda gäller förstås under förutsättning att socialtjänstdatalagens och personuppgiftslagens (1998:204), förkortad PUL, övriga bestäm- melser följs. Det innebär t.ex. att uppgifter som kan härledas till en enskild bara får användas om det verkligen behövs för att t.ex. göra uppföljningen ändamålsenlig. Vidare kan det många gånger vara lämpligt att bygga in integritetsskyddande funktioner i IT- systemen som exempelvis gör att personuppgifter kan behandlas på

731

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

systemnivå utan att några direkt utpekande personuppgifter expo- neras i sammanställningar eller underlag som ska användas för exempelvis kvalitetsarbete eller annan uppföljning av verksam- heten.

27.2.2Direktåtkomst mellan olika utförare i socialtjänsten

Vårt förslag: I socialtjänstdatalagen införs en reglering som innebär att olika utförare som bedriver verksamhet inom social- tjänst – under vissa förutsättningar – kan få direktåtkomst till personuppgifter hos varandra. Direktåtkomsten ska begränsas till personuppgifter som behandlas för dokumentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Som ytterligare förutsättningar ska gälla att upp- gifterna rör en enskild som är föremål för genomförande av insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten. Dessutom ska krävas att den enskilde samtycker till utlämnandet genom direktåtkomst.

Utlämnande genom direktåtkomst på detta sätt ska endast få göras så länge den enskilde är föremål för genomförande av insatser hos den utlämnande verksamheten.

Ifråga om överenskommelser för att fastställa hur informations- säkerheten och skyddet för personuppgifterna ska tillgodoses vid utlämnande genom direktåtkomst, se vidare avsnitt 25.

Inledning

På hälso- och sjukvårdens område har det sedan år 2008 varit möjligt för olika vårdgivare att under vissa förutsättningar utbyta vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring. För socialtjänstens del saknas motsvarande möjlig- heter. I dag är det inte tillåtet för olika utförare inom socialtjänsten att ha direktåtkomst till varandras personuppgifter. Behov kan t.ex. finnas när den enskilde har insatser från en utförare på dagen och en annan på kvällen eller när flera olika utförare samtidigt står för olika insatser som den enskilde har rätt till.

Vi har i tidigare avsnitt redogjort för den kraftfulla ökningen av antalet aktörer inom socialtjänstens område som har ägt rum under de senaste åren. Även den ökade valfriheten för enskilda att välja

732

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

utförare för olika insatser har medfört behov av nya samarbeten och samarbeten på nya nivåer. Det är därför angeläget att socialtjänsten också har legala förutsättningar som möjliggör en ändamålsenlig samverkan i den individinriktade verksamheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. Det handlar om ett behov av en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för den enskildes behov av kontinuitet och säkerhet kan tillgång till rätt information i rätt tid vara avgörande.

Mot denna bakgrund föreslår vi en reglering som innebär att olika utförare som bedriver socialtjänst kan – under vissa förut- sättningar – få direktåtkomst till personuppgifter hos varandra. Det rör sig således om en möjlighet att på frivillig väg utbyta information om enskilda. Vidare bör regleringen utformas på ett sätt som både motsvarar verksamheternas behov och möjligheter att utbyta uppgifter samt enskildas behov av skydd för den personliga integriteten.

Några utgångspunkter

Det finns en mängd olika tänkbara alternativ för att reglera en sådan direktåtkomst som det är fråga om här. Vi ställer oss dock tveksamma till motsvarande lösning som finns inom hälso- och sjukvården eftersom behoven i socialtjänsten är delvis annorlunda. Inom hälso- och sjukvården behöver uppgifter ofta färdas före patienterna. Detta beror bland annat på att patienterna är rörliga och när som helst kan vända sig till vilken vårdgivare som helst med sitt hälsoproblem. I praktiken behöver uppgifter därför finnas potentiellt tillgängliga på den plats behovet av uppgifter kan komma att uppstå, redan innan detta behov rent faktiskt infinner sig. Det kan vara en fråga om liv eller död att uppgifterna finns snabbt tillgängliga.

Någon sådant omedelbart behov av uppgifter är det oftast inte fråga om inom socialtjänsten. Inom socialtjänsten initieras normalt ett ärende efter en kontakt med den enskilde. En behovs- bedömning görs och ett biståndsbeslut fattas. Därefter väljer den enskilde utförare eller blir tilldelad en eller flera utförare. Det finns

733

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

i socialtjänsten helt andra förutsättningar att i samband med handläggningsprocessen och den enskildes val av utförare planera och ordna det informationsutbyte som behövs när väl behovet uppstår. Enligt vår bedömning finns därför inte något behov av att generellt låta uppgifter vara potentiellt tillgängliga för ett ospe- cificerat antal utförare.

Mot bakgrund av detta är utredningens utgångspunkt att direktåtkomsten, dvs. den potentiella tillgången till uppgifter om enskilda, ska vara begränsad till att avse endast de enskilda som faktiskt och för tillfället är föremål för insatser hos både utläm- nande och mottagande utförare. Det innebär vidare att direkt- åtkomsten endast ska omfatta det informationsutbyte som behövs i samband med genomförandefasen i socialtjänsten. Vi har under arbetets gång övervägt om det även skulle vara tillåtet med direktåtkomst mellan en utförande privat verksamhet och kom- munens myndighetsutövande del. Vi har dock inte funnit över- vägande skäl som talar för en sådan direktåtkomst. Även om det naturligtvis i vissa situationer finns ett behov av informations- utbyte mellan t.ex. den biståndshandläggande verksamheten och en privat utförare, betraktar vi behovet som mer avgränsat och tillfälligt än vad som är fallet i genomförandefasen.

I sammanhanget ska även nämnas att den uppgiftsskyldighet som vi föreslår för enskilda verksamheter i förhållande till kom- munen som huvudman, kommer att ge nya möjligheter jämfört med vad som gäller i dag. Kommunen får med vårt förslag bättre möjligheter att använda personuppgifter som dokumenterats i enskilda verksamheter för att fullgöra huvudmannens ansvar för kvaliteten i socialtjänsten. Ett sådant uppgiftsutbyte kan även göras elektroniskt på medium för automatiserad behandling, t.ex. genom filöverföring. Sammantaget anser vi därför att de förslag som vi lägger i andra delar motsvarar de behov som kommunens myndig- hetsutövande del har av uppgifter från enskilda utförare.

Genom att införa en bestämmelse som tillåter direktåtkomst görs det exempelvis möjligt för olika verksamheter, kommunala som enskilda, att vid behov ha direktåtkomst till uppgifter rörande en enskild som är föremål för insatser av de olika verksamheterna. Det kan exempelvis handla om att företaget A som står för hemtjänstinsatser dagtid och företaget B som står för motsvarande insatser under kvällstid, kan medge varandra direktåtkomst till uppgifter om den enskilde brukaren som dokumenteras i respektive

734

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

organisation. Det kan göras oavsett om insatser utförs till förmån för en enskild i ordinärt eller i särskilt boende.

För att medge direktåtkomst enligt bestämmelsen ställs ett antal grundläggande krav för att skydda den enskildes personliga integri- tet. Bestämmelsen kan på inget sätt ge stöd för ett okontrollerat flöde av uppgifter mellan verksamheter som saknar eller har vaga behov av tillgång till uppgifterna. Tillämpningsområdet handlar snarast om de verksamheter som redan i dag kan utbyta uppgifter mellan varandra när bestämmelserna om sekretess och tystnads- plikt ger stöd för det, dvs. när utlämnandet bedöms kunna göras utan att den enskilde lider men av det. I sådana fall ska, med vårt förslag, även modern, säker och effektiv teknik kunna användas.

Vidare riktar sig bestämmelsen till alla som bedriver verksamhet inom socialtjänsten, dvs. både kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse.

Bestämmelser om direktåtkomst är inte sekretessbrytande. Av den anledningen föreslår utredningen att det, som en konsekvens av förslaget om direktåtkomst mellan olika utförare, införs en sekretessbrytande bestämmelse som gör detta möjligt. Se vidare avsnitt 27.2.7.

Den enskilde ska vara aktuell i båda verksamheterna

Enligt utredningens förslag får direktåtkomst endast medges till uppgifter som i den utlämnande verksamheten behandlas för dokumentation av genomförande av beslut om bistånd, stöd- insatser, vård eller behandling. Vidare krävs att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten. Genom detta krav tydliggörs att direktåtkomst aldrig får medges till uppgifter rörande enskilda som vid utlämnandetillfället inte är föremål för insatser i respektive verksamhet. Den som bedriver verksamhet inom socialtjänsten får därmed inte genom direktåt- komst ha potentiell tillgång till uppgifter om individer som inte är aktuella i den egna verksamheten.

Till skillnad mot vad som gäller för hälso- och sjukvården enligt reglerna om sammanhållen journalföring får olika verksamheter inom socialtjänsten inte genom direktåtkomst hålla personupp- gifter rörande individer som möjligen kan bli aktuella i verksam- heten tillgängliga för varandra. Mot bakgrund av socialtjänstens

735

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

karaktär saknas det behovet i princip helt. I socialtjänsten finns tid att i samband med biståndshandläggning och val av utförare hantera frågor om behov av informationsöverföring mellan olika verksamheter.

Vår bedömning är att detta krav innebär att behovet av en ändamålsenlig informationshantering balanseras mot behovet av skydd för den personliga integriteten. En enskild som samtycker till denna typ av direktåtkomst ska känna trygghet inför att upp- gifterna endast kan nås av den utförare som faktiskt utför insatser för individens räkning. Någon potentiell tillgång, dvs. teknisk möjlighet, att ta del av uppgifterna för andra utförare är således inte tillåtet.

Den enskildes samtycke är en förutsättning

Eftersom de uppgifter som hanteras i socialtjänsten ofta är av integritetskänslig natur är det rimligt att ge den enskilde en rätt att själv ta ställning till frågan om direktåtkomst mellan olika utförare. Det ligger även i linje med den grundläggande principen om frivillighet inom socialtjänsten. Vidare finns, som redovisats ovan, i socialtjänsten inte motsvarande brådskande skäl att hålla person- uppgifter tillgängliga som det ofta kan vara fråga om i hälso- och sjukvården. I socialtjänsten är det i allmänhet tillräckligt och fullt möjligt att inhämta ett samtycke under handläggningsprocessen och inför att genomförandet av beslutade insatser startas. Den enskildes delaktighet gör tillsammans med processen i social- tjänsten att det finns goda förutsättningar, t.ex. i form av tid och kontakter, att även låta samtycket ligga till grund för den direktåtkomst som föreslås.

Mot den bakgrunden föreslår vi att en förutsättning för direktåtkomst mellan utförare i socialtjänsten är att den enskilde har lämnat sitt samtycke till detta. Redan i dag inhämtas samtycke i många situationer i socialtjänsten, vilket gör att det bör finnas förutsättningar att inhämta även detta samtycke inom ramen för de befintliga rutinerna.

Det ett sådant samtycke som följer av personuppgiftslagen som avses i vårt förslag. Det innebär att samtycket ska vara frivilligt, särskilt och informerat. Kravet på att samtycket ska vara särskilt innebär att ett helt generellt samtycke till behandling av person- uppgifter inte godtas. Det bör egentligen vara oproblematiskt i

736

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

detta fall eftersom det här handlar om den specifika och särskilda situationen när uppgifter behandlas genom att lämnas ut genom direktåtkomst. Dessutom är den tillåtna behandlingen begränsad till den tid när den enskilde får insatser utförda av den som lämnar ut uppgifterna. När insatserna upphör ska inte utlämnande genom direktåtkomst längre få förekomma.

Den som bedriver socialtjänst ska informera den enskilde om vilka slags uppgifter det är fråga om och vilket som är ändamålet med att lämna ut uppgifterna genom direktåtkomst. Först när information har lämnats och den enskilde gett sitt samtycke får personuppgiftsbehandlingen inledas (informerat samtycke). Innan dess får uppgifterna inte göras potentiellt tillgängliga för en annan utförare. Samtycket ska således inhämtas av den personuppgifts- ansvarige som står i begrepp att lämna ut personuppgifterna genom direktåtkomst. Många gånger kan det dock finnas behov för två utförare att ömsesidigt lämna ut personuppgifter till varandra genom direktåtkomst. Det finns i sådana fall inget hinder mot att utförarna samarbetar i fråga om rutiner, tillvägagångssätt och praktiskt genomförande för att inhämta samtycke. Många gånger kan det ur den enskildes perspektiv även vara lämpligt. Som redovisats ovan kan det även vara möjligt att ordna samtyckes- hanteringen på sådant sätt att det kan göras redan i samband med eller i anslutning till att biståndsbeslutet beviljas och den enskilde väljer utförare av insatserna. Samtycket kan också inhämtas först när den enskilde möter och har kontakt med utförarna av insatserna, t.ex. i samband med hemtjänst i ordinärt eller särskilt boende.

Det krävs inte att samtycket är skriftligt, men vid en eventuell tvist har den personuppgiftsansvarige bevisbördan för att ett giltigt samtycke har inhämtas. Det är således upp till parterna att avgöra om situationen är sådan att ett skriftligt samtycke är att föredra eller inte. Oavsett om den enskilde lämnar samtycke muntligt eller skriftligt, kan det finnas skäl att den personuppgiftsanvarige dokumenterar att samtycke har inhämtats.

Tiden för direktåtkomst är begränsad

För att säkerställa den enskildes integritet föreslår utredningen att den som lämnar ut uppgifter om en enskild genom direktåtkomst får göra det så länge den enskilde är föremål för genomförande av

737

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

bistånd, stödinsatser, vård eller behandling hos den utlämnande verksamheten. När den enskilde inte längre är aktuell i verksam- heten ska således utlämnandet genom direktåtkomst upphöra. Syftet med bestämmelsen är att åstadkomma en situation som innebär att personuppgifter inte behandlas för utlämnande genom direktåtkomst längre än vad som behövs med hänsyn till ändamålet med behandlingen. Bestämmelsen förhindrar därmed att olika verksamheter har direktåtkomst till uppgifter i varandras system om enskilda som inte längre är föremål för de olika verksam- heternas insatser. Den potentiella tillgången till uppgifter ska därmed vid varje given tidpunkt inte vara större än vad som är motiverat för individens och verksamhetens behov.

27.2.3Personer med nedsatt beslutsförmåga

Vårt förslag: Den som bedriver verksamhet inom socialtjänsten får medge en annan sådan verksamhet direktåtkomst till person- uppgifter som behandlas för att dokumentera genomförandet av beslut om bistånd, stödinsatser, vård eller behandling om en enskild som inte endast tillfälligt saknar förmåga att lämna samtycke om

1.den enskilde är föremål för genomförande av insatser hos både utlämnande och mottagande verksamhet inom social- tjänsten, och

2.uppgifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.

Även personer med nedsatt beslutsförmåga, som inte kan samtycka till att information utbyts genom direktåtkomst, har behov av att nödvändig information finns tillgänglig vid en insats. Behovet av tillgång till aktuell information vid rätt tillfälle kan väga tyngre än den enskildes behov av ett sådant skydd för den personliga integriteten som ett exkluderande från dessa möjligheter skulle kunna innebära.

Utredningen har under sitt arbete uppfattat att många enskilda redan i dag förutsätter att viktig information finns tillgänglig vid själva utförande av insatsen. Enligt utredningens bedömning ska det avgörande inte vara i vilken organisation uppgifterna är doku- menterade utan i vilken vård- eller omsorgssituation uppgifterna

738

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

behövs. Detta är än mer nödvändigt när den enskilde inte själv kan redogöra för viktiga detaljer kring sitt tillstånd.

I den föreslagna socialtjänstdatalagen finns antal krav som särskilt syftar till att tillförsäkra den enskilde ett starkt integritets- skydd. Därutöver omfattas den som arbetar i socialtjänsten av bestämmelser om sekretess och tystnadsplikt. Den som bedriver socialtjänst har ett tydligt ansvar för att vidta tekniska och organisatoriska åtgärder för att tillgodose behovet av skydd för den personliga integriteten. Detta kommer bl.a. till utryck genom de bestämmelser om inre sekretess, behörighetsstyrning, åtkomst- kontroll m.m. som utredningen föreslår. Det grundläggande integritetsskyddet ska vara starkt för alla som är i behov av socialtjänstens stöd.

Frågan om hur lagstiftaren ska hantera personer som saknar förmåga att ta ställning till en viss personuppgiftsbehandling är komplex och ger upphov till svåra avvägningar. Samtidigt anser vi att lagstiftaren har ett särskilt ansvar för att se till att den grupp människor som kanske har allra mest att vinna på ett smidigt och ändamålsenligt informationsutbyte mellan olika utförare, också omfattas av de möjligheter som gäller för de personer som själva kan föra information vidare och ta ställning i dessa frågor.

Utredningen anser att det finns skäl att möjliggöra direkt- åtkomst även om den enskilde saknar förmåga att ta ställning till det, men att det samtidigt måste ställas krav på en aktiv bedömning av om det finns något behov av ett sådant informationsutbyte. I det följande redovisas de närmare förutsättningarna enligt vårt förslag.

Om enskild inte endast tillfälligt saknar förmåga att samtycka får, enligt vårt förslag, den som bedriver verksamhet inom social- tjänsten medge en annan sådan verksamhet direktåtkomst till personuppgifter som behandlas för att dokumentera genom- förandet av beslut om bistånd, stödinsatser, vård eller behandling för personer som inte endast tillfälligt saknar förmåga att samtycka. Även denna bestämmelse uppställer krav på att uppgifterna rör en enskild som är föremål för genomförande av sådana insatser hos både den utlämnande och mottagande verksamheten inom social- tjänsten.

Enligt utredningens bedömning ska vidare krävas att upp- gifterna som omfattas av utlämnande genom direktåtkomst måste bedömas nödvändiga med hänsyn till den enskildes omsorgsbehov eller hälsotillstånd. Det handlar om att de uppgifter som lämnas ut ska bedömas vara nödvändiga med beaktande av den enskildes

739

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

behov och för att uppnå god kvalitet i de insatser som utförs. Detta ställer krav på att den som bedriver verksamhet inom socialtjänsten vid olika situationer dels tar ställning till vilken typ av uppgifter som är nödvändiga att utbyta genom direktåtkomst, dels skapar tekniska förutsättningar för att lämna ut just den för ändamålet relevanta informationen. Bestämmelsen kan därför sägas ge uttryck för målsättningen att se till att rätt information finns på rätt plats, varken mer eller mindre.

Enligt utredningens bedömning är det viktigt att en enskild som inte endast tillfälligt saknar beslutsförmåga ska kunna omfattas av bestämmelserna om direktåtkomst. Behovet av att nödvändiga uppgifter finns tillgängliga i samband med insatser för denna grupp individer går inte att ifrågasätta och väger tyngre än det intrång i den enskildes integritet som dessa bestämmelser kan innebära. Utredningen anser att det inte skulle vara försvarbart att ställa denna grupp av enskilda utanför denna möjlighet till ändamålsenlig informationshantering. Det skulle inte heller vara förenligt med de grundläggande målen i socialtjänstlagen (2001:453), förkortad SoL, om att främja människors sociala trygghet och jämlikhet i levnadsvillkor. Genom kravet på att det för sådan direktåtkomst krävs att uppgifterna behövs för insatser som är nödvändig med hänsyn till den enskildes behov, säkerställs att direktåtkomsten bara är tillåtet i vissa speciella situationer. För att den som arbetar inom socialtjänsten sedan ska få ta del av uppgifterna i ett aktuellt fall krävs att uppgifterna behövs för att kunna genomföra beslut om bistånd, stödinsatser, vård eller behandling. Bestämmelserna om behörighetstilldelning och åtkomstkontroll innebär ett ytterligare skydd för den enskildes integritet.

27.2.4Tillåtna ändamål vid direktåtkomst till uppgifter hos annan verksamhet

Vårt förslag: I socialtjänstdatalagen ska anges att den som bedriver verksamhet inom socialtjänsten får ta del av uppgifter om en enskild som har gjorts tillgängliga genom direktåtkomst, endast om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att syste- matiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser, vård eller behandling som har genomförts. I paragrafen ska även tas in en påminnelse om att bestämmelserna om

740

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

behörighetstilldelning och åtkomstkontroll även gäller vid direktåtkomst till uppgifter hos en annan verksamhet.

Vår bedömning: I praktiken tydliggörs genom bestämmelsen att den som arbetar inom socialtjänsten får ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direkt- åtkomst endast om uppgifterna behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådan verksamhet.

Tillåtna ändamål

I avsnittet ovan har vi redogjort för när direktåtkomst över- huvudtaget får göras möjligt. För att motsvara de högt ställda kraven för att tillvarata den enskildes integritet anser utredningen att dessa bestämmelser måste kompletteras med en bestämmelse om vad direktåtkomsten får användas till, dvs. för vilka ändamål den som bedriver verksamhet inom socialtjänst får ta del av uppgifter hos annan som bedriver sådan verksamhet. Bestämmelsen riktar sig till den som ansvarar för verksamheten, men ska också ge närmare vägledning för de som arbetar i socialtjänsten och tydliggöra för vilka skäl de kan ta del av uppgifter genom direkt- åtkomst.

Syftet med bestämmelserna om direktåtkomst är att förbättra omhändertagandet om den enskilde genom att de som arbetar inom socialtjänsten får tillgång till rätt information på ett snabbt och tekniksäkert sätt. Den som arbetar hos någon som bedriver verk- samhet inom socialtjänsten ska därför få ta del av sådana uppgifter om en enskild som gjorts tillgängliga genom direktåtkomst, om uppgifterna behövs för att genomföra beslut om bistånd, stöd- insatser, vård eller behandling. Bestämmelsen bygger på social- tjänstdatalagens grundläggande ändamålsbestämmelse, där ett tillåtet ändamål är personuppgiftsbehandling för genomförande av beslut om bistånd, stödinsatser, vård eller behandling.

Vidare anser utredningen att verksamheter som har ett nära samarbete kring en enskild också måste kunna utvecklas och förbättras. Behoven av att kvalitetssäkra och utveckla socialtjänsten är inte mindre i dessa situationer jämfört med situationer där individens alla insatser tillgodoses av en och samma aktör. För att inte förutsättningarna för att kvalitetssäkra den socialtjänst

741

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

enskilda får i dessa fall ska vara sämre än motsvarande förutsätt- ningar i den egna verksamheten, krävs att reglerna om informa- tionshantering inte sätter upp hinder för detta. Mångfalden av utförare och ökade möjligheter för enskilda att fritt välja utförare gör också att allt fler aktörer är involverade i de insatser som enskilda blivit beviljade. För att enskilda ska tillförsäkras en socialtjänst av hög kvalitet behöver det finnas goda legala möjlig- heter att bedriva ett effektivt kvalitetssäkringsarbete vid sådana samarbeten.

Mot den bakgrunden föreslår utredningen att direktåtkomst också ska få användas för att systematiskt och fortlöpande utveckla och säkra kvaliteten av sådana insatser, vård och behandling som enskilda har fått. Det handlar därmed om att kvalitetssäkra den egna verksamheten i relation till enskilda som är föremål för flera olika aktörers insatser och samverkan.

Utredningens förslag innebär således en begränsning av för vilka ändamål den som bedriver verksamhet inom socialtjänsten genom direktåtkomst får ta del av uppgifter hos annan som bedriver sådan verksamhet, jämfört med vad som gäller för personuppgifts- behandling i den egna verksamheten.

I övrigt ska dock enskilda yrkesutövare göra samma bedömning som gäller när yrkesutövaren tar del av uppgifter i den egna verksamheten. Det betyder att den grundläggande bestämmelsen om inre sekretess även gäller vid sådan direktåtkomst som de här är fråga om. Det är således endast den som har behov av uppgifterna för att kunna genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser m.m. som har en laglig rätt att ta del av dem.

Behörighetsstyrning och åtkomstkontroll

Det är viktigt att framhålla att de grundläggande bestämmelserna om behörighetsstyrning och åtkomstkontroll gäller för personalens åtkomst till uppgifter som annan verksamhet gjort tillgängliga genom direktåtkomst. Det innebär exempelvis att den som bedriver verksamhet inom socialtjänsten måste analysera vilka anställda som behöver tillgång till vilka uppgifter som gjorts tillgängliga av andra verksamheter och därefter utforma och tilldela behörigheter som är begränsade till den respektive anställdes behov av uppgifter.

742

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

Det uppställs även krav på dokumentation av åtkomst och kontroll av åtkomst när personal genom direktåtkomst tar del av uppgifter som en annan verksamhet gjort tillgängliga.

Utredningen föreslår att en påminnelse om att socialtjänst- datalagens bestämmelser om behörighetstilldelning och åtkomst- kontroll även gäller vid direktåtkomst till uppgifter hos en annan verksamhet, tas in i den här aktuella paragrafen om direktåtkomst.

27.2.5Personuppgiftsansvar

Vårt förslag: Den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personupp- gifter inom socialtjänsten som utförs i dess verksamhet. Det omfattar även sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.

Enligt den grundläggande bestämmelsen i socialtjänstdatalagen om personuppgiftsansvar gäller att den som bedriver verksamhet inom socialtjänsten är personuppgiftsansvarig för den behandling av personuppgifter som utförs i dess verksamhet. Utredningens bedömning är att motsvarande bestämmelse ska gälla även vid sådan personuppgiftsbehandling som utförs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst som nu är aktuell lämnar ut personuppgifter eller genom direktåtkomst tar del av personuppgifter som annan sådan verksamhet gjort tillgängliga.

Detta innebär att bl.a. att den som gör en personuppgift tillgänglig genom direktåtkomst har personuppgiftsansvar för att det görs i enlighet med de grundläggande bestämmelserna. Vilket innebär att det ska avse genomförande av beslut om bistånd, stödinsatser, vård eller behandling om det avser en enskild som är föremål för genomförande av sådana insatser hos både utlämnande och mottagande verksamhet. Den enskilde ska även samtycka till det. På motsvarande sätt är den som bedriver verksamhet inom socialtjänsten och som genom direktåtkomst tar del av person- uppgifter som gjorts tillgängliga, personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär. Det personuppgifts- ansvaret omfattar således ett ansvar för att de grundläggande

743

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

förutsättningarna för att få använda direktåtkomsten är uppfyllda. Ansvaret omfattar även att säkerställa att kraven på behörighets- tilldelning och åtkomstkontroll tillgodoses.

27.2.6Bevarande och gallring

Vårt förslag: När personuppgifter genom direktåtkomst är tillgängliga för flera som bedriver verksamhet inom social- tjänsten gäller skyldigheten att bevara uppgifterna endast den som ansvarar för uppgiften. Om en uppgift är tillgänglig för en kommunal myndighet och Statens institutionsstyrelse bara genom direktåtkomst och myndigheten inte ansvarar för upp- giften, får myndigheten gallra den från sitt arkiv.

Grundläggande bestämmelser om bevarande och gallring av upp- gifter i socialtjänsten finns i socialtjänstlagen och i lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS. Dessutom gäller bestämmelserna i arkivlagen (1990:782) för beva- rande och gallring av allmänna handlingar. När direktåtkomst nu föreslås behöver det klargöras vem som har skyldighet att bevara uppgifterna. När personuppgifter är tillgängliga genom direkt- åtkomst för flera som bedriver verksamhet inom socialtjänsten så ska skyldigheten att bevara uppgifterna endast gälla den som ansvarar för uppgifterna. Detta ansvar har alltså inte den som endast har potentiell tillgång till dessa uppgifter. Det innebär i princip att det för respektive uppgift som görs tillgänglig genom direktåtkomst endast är en verksamhet som har ansvaret för att uppgiften bevaras, arkiveras och gallras.

Om en uppgift bara är tillgänglig för en kommunal myndighet och Statens institutionsstyrelse genom direktåtkomst och myndig- heten inte ansvarar för uppgiften ska myndigheten få gallra den från sitt arkiv. Den här gallringsregeln behövs bland annat för att inte någon av de deltagande myndigheterna ska bli arkivansvariga för enskilda verksamheters uppgifter som myndigheten har poten- tiell tillgång till.

744

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

27.2.7Sekretessbrytande regel

Vårt förslag: En bestämmelse ska införas i 26 kap. OSL och ange att sekretess enligt 26 kap. 1 § inte hindrar att uppgift lämnas till en myndighet som bedriver verksamhet socialtjänst eller till en enskild verksamhet på socialtjänstens område enligt vad som föreskrivs om direktåtkomst i 5 kap. socialtjänst- datalagen.

Vår bedömning: Bestämmelsen syftar till att möjliggöra den direktåtkomst mellan olika verksamheter i socialtjänsten som föreslås i socialtjänstdatalagen. Någon motsvarande bestämmelse som bryter tystnadsplikten i privat verksamhet bedöms inte behövas. Inte heller behövs någon bestämmelse om absolut sekretess som liknar den som i dag gäller vid direktåtkomst mellan vårdgivare i hälso- och sjukvården (25 kap. 2 § OSL).

Utredningen har föreslagit bestämmelser i socialtjänstdatalagen som möjliggör att en kommun, som bedriver socialtjänst genom flera myndigheter eller sådana kommunala bolag som avser i 2 kap. 3 § OSL, ska kunna ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet eller bolag i samma kommun (se avsnitt 27.2.1). Direktåtkomst ska även vara möjligt för olika utförare inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till annan som bedriver verksamhet inom socialtjänsten (avsnitt 27.2.2).

Utredningen har även konstaterat att förslagen om sekretess- genombrott (avsnitt 27.2.1) inte upphäver sekretessgränser mellan en myndighet inom socialtjänsten i en kommun till en annan sådan myndighet i samma kommun. Det innebär bland annat att det fortfarande är fråga om ett utlämnande enligt tryckfrihetsförord- ningens och offentlighets- och sekretesslagens mening när upp- gifter utbyts mellan nämnderna och att det krävs en särskild bestämmelse som tillåter nämnderna att ha direktåtkomst till varandras uppgifter.

Vid direktåtkomst blir personuppgifter potentiellt tillgängliga för myndigheter eller andra som bedriver verksamhet inom socialtjänst och det görs ett utlämnande i tryckfrihetsförord- ningens och offentlighets- och sekretesslagens mening. Redan i detta skede måste en myndighet göra en prövning av om det finns

745

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

något hinder enligt offentlighets- och sekretesslagen mot att uppgifterna lämnas ut till samtliga mottagare som har tillgång till uppgifterna.

Socialtjänstsekretessen har ett omvänt rekvisit som förutsätter en prövning i varje enskilt fall av om socialtjänstdokumentation kan lämnas ut utan men för den enskilde eller någon närstående till honom eller henne. 2 Det är inte möjligt att använda de sekretess- brytande undantagen som i övrigt finns i offentlighets- och sekre- tesslagen när det är fråga om direktåtkomst eftersom grunden är att uppgifterna ska finnas potentiellt tillgängliga under de förutsätt- ningar som anges i socialtjänstdatalagen. Den så kallade general- klausulen i 10 kap. 27 § OSL, som inskränker i vissa delar sekretes- skyddet, omfattar inte socialtjänstsekretess. Bestämmelsen i 10 kap. 2 § OSL som säger att sekretess inte utgör hinder mot att en uppgift lämnas ut till en enskild eller till en annan myndighet om det är nödvändigt för att den myndighet som lämnar ut uppgiften ska kunna göra fullgöra sin egen verksamhet kan inte användas. Inte heller finns det någon uppgiftsskyldighet som avses i 10 kap. 28 § samma lag som skulle möjliggöra nu aktuellt utlämnade.

Bestämmelserna om direktåtkomst enligt 5 kap. socialtjänst- datalagen innebär att den enskilde ska vara föremål för genom- förande av beslutade insatser både hos utlämnande och mottagande verksamhet inom socialtjänsten och att den enskilde ska samtycka till direktåtkomsten. Den enskildes samtycke innebär bara att direktåtkomst får användas men innebär inte ett samtycke i varje enskilt fall, vilket krävs för att ett utlämnande ska få göras med stöd av samtycke enligt offentlighets- och sekretesslagen.3

Socialtjänstsekretessen utgör därmed ett hinder mot att möjlig- göra direktåtkomst, om det inte införs en sekretessbrytande regel. Det krävs alltså ändringar i offentlighets- och sekretesslagen för att föreslaget om direktåtkomst ska kunna tillämpas. Utredningen föreslår därför att en sekretessbrytande regel tas in i offentlighets- och sekretesslagen för att möjliggöra föreslagen om direktåtkomst.

Utredningens bedömning är att det inte finns några skäl ur integritetssynpunkt som talar emot förslaget om sekretessbrytande regel när det gäller direktåtkomst, eftersom förslaget ska ses tillsammans med övriga förslag till integritetskyddande regler i socialtjänstdatalagen. Som framgår av avsnitt 27.2.4 ska direktåt-

226 kap. 1 § offentlighets- och sekretesslagen (2009:400).

3Jfr 12 kap. 2 § offentlighets- och sekretesslagen.

746

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

komst bara vara möjligt då den enskilde är föremål för genom- förande av beslutade insatser hos både utlämnande och mottagande verksamhet inom socialtjänsten och när den enskilde samtycker till direktåtkomsten. Det införs även bestämmelser om att det ska göras en risk- och sårbarhetsanalys och en överenskommelse om informationssäkerhet m.m. innan direktåtkomst möjliggörs samt om att direktåtkomsten ska begränsas i tid. I de fall den enskilde inte kan samtycka på grund av att denne inte endast tillfälligt saknar beslutsförmåga, får direktåtkomst medges bara om upp- gifterna kan antas ha betydelse för att genomföra de insatser som är nödvändiga med hänsyn till den enskildes behov.

För att ytterligare stärka individens behov av integritetsskydd har utredningen även föreslagit att författningsbestämmelser om inre sekretess, behörighetsstyrning och åtkomstkontroll införs i den nya socialtjänstdatalagen (se avsnitt 24). Bestämmelserna saknas i dag och bidrar enligt utredningens bedömning till att stärka integritetsskyddet och upprätthålla förtroendet för infor- mationshanteringen i socialtjänsten. I socialtjänstdatalagen föreslås också bestämmelser om en enskilds rätt att kontrollera vilken åtkomst som faktiskt har förekommit till dokumentationen. Utredningens bedömning är att de bestämmelser som föreslås i socialtjänstdatalagen sammantaget ger ett gott integritetsskydd som klart uppväger den föreslagna lättnaden sekretessen.

Tystnadsplikten i enskild verksamhet

Offentlighets- och sekretesslagen gäller bara för den allmänna socialtjänsten. För personal inom den enskilda verksamheten inom socialtjänsten gäller tystnadsplikt enligt 15 kap. 1 § SoL och 29 § LSS. Tystnadsplikten innebär att den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet som avser insatser enligt socialtjänstlagen och lagen om stöd och service till viss funktionshindrade inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskildas personliga förhållande.

Som obehörigt röjande anses inte att någon fullgör sådan upp- giftsskyldighet som följer av lag eller förordning. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i offentlighets- och sekretesslagens regler.4

4 Jfr prop. 2005/06:141 s. 63 och prop. 2005/06:161 s. 82 och 93.

747

Nya möjligheter till informationsutbyte i socialtjänsten

SOU 2014:23

Mot bakgrund av att en sekretessbrytande regel införs i offentlighets- och sekretesslagen och med hänsyn till att det i socialtjänstdatalagen anges förutsättningarna för när direktåtkomst kan medges gör utredningen bedömningen att tystnadsplikten i den yrkesmässigt bedrivna enskilda verksamheten inte utgör något hinder mot den direktåtkomst som föreslås.

Bestämmelse om absolut sekretess behövs inte

För myndigheters del innebär en potentiell tillgång till uppgifter genom direktåtkomst att uppgifterna anses som en förvarad och inkommen allmän handling, i enlighet med tryckfrihetsför- ordningens bestämmelser, hos varje myndighet som är ansluten till systemet med direktåtkomst. Därför uppkommer vissa särskilda frågor om sekretess. Även uppgifter som genom direktåtkomst görs tillgängliga för myndigheter av enskilda, privata, verksamheter blir redan vid tillgängliggörandet inkomna allmänna handlingar hos samtliga myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.

En konsekvens av detta är att en begäran om att få del av allmänna handlingar ur systemet för direktåtkomst kan riktas till vem som helst av de anslutna myndigheterna. För hälso- och sjukvårdens del finns därför en bestämmelse om absolut sekretess i 25 kap. 2 § OSL. Bestämmelsen har bedömts nödvändig eftersom hälso- och sjukvårdssekretessen inte är absolut. Vid avsaknaden av bestämmelser om absolut sekretess skulle därför en vårdgivare som är ansluten till ett system för sammanhållen journalföring, om någon begär att uppgifter i systemet lämnas ut, vara tvungen att ta del av uppgifterna för att kunna pröva om de kan lämnas ut, oavsett om vårdgivaren har någon patientrelation till den aktuella pati- enten. För att förhindra sådan omotiverad åtkomst till uppgifter endast för att kunna ta ställning till frågan om utlämnande finns därför en bestämmelse om absolut sekretess. Bestämmelsen innebär att absolut sekretess gäller hos en vårdgivande myndighet för uppgifter som en annan vårdgivare har gjort tillgänglig för myndigheten i ett system för sammanhållen journalföring i sådana situationer då de förutsättningar för behandling av uppgifterna som anges i 6 kap. patientdatalagen inte är uppfyllda. När myndigheten saknar befogenhet enligt patientdatalagen att behandla uppgifterna ska uppgifterna således omfattas av absolut sekretess och

748

SOU 2014:23

Nya möjligheter till informationsutbyte i socialtjänsten

myndigheten skulle då inte behöva ta del av de närmare uppgifterna om personen för att kunna konstatera att så är fallet.

Även vårt förslag om direktåtkomst mellan de som bedriver socialtjänst innebär att uppgifter som är tillgängliga genom direkt- åtkomst är att anse som allmänna handlingar enligt tryckfrihets- förordningen. Vi har därför övervägt om det även för social- tjänstens del behövs en motsvarande bestämmelse om absolut sekretess. I denna del har vi dock kommit fram till att det, på grund av konstruktionen av förslaget om direktåtkomst i socialtjänst- datalagen, inte är motiverat. Till skillnad mot vad som gäller i system för sammanhållen journalföring får de som bedriver social- tjänst endast ha direktåtkomst, dvs. teknisk möjlighet att ta del av uppgifter, avseende enskilda som är föremål för genomförande- insatser i verksamheten. Någon potentiell tillgång till uppgifter rörande enskilda som inte är aktuell i verksamheten är det därför inte fråga om. Mot den bakgrunden bedömer vi att det inte är motiverat med bestämmelser om absolut sekretess för direkt- åtkomst mellan utförare i socialtjänsten.

749

28Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

28.1Bakgrund

Verksamhet inom socialtjänsten ska enligt grundläggande bestäm- melser i 3 kap. 3 § i socialtjänstlagen (2001:453), förkortad SoL, vara av god kvalitet. Av bestämmelsen följer även att det för utfö- randet av arbetsuppgifter i socialtjänsten ska finnas personal med lämplig utbildning och erfarenhet. Vidare anges att krav på att kvaliteten i verksamheten systematiskt och fortlöpande utvecklas och säkras. Motsvarande krav ställs även i lagen (1993:387) om stöd och service till vissa funktionshindrade.

Socialstyrelsen har sedan i föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete närmare preciserat kraven på socialtjänsten. Bland annat ska den som bedriver socialtjänst ha ett ledningssystem som ska användas för att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten. Ledningssystemet ska vidare ge stöd åt ett fortlöpande systematiskt förbättringsarbete, där vikt läggs vid förebyggande åtgärder som riskanalyser för att kunna hindra att enskilda tar skada eller att missförhållanden eller andra avvikelser inträffar. I föreskrifterna definieras kvalitet som att en verksamhet uppfyller de krav och de mål som gäller för verksamheten enligt lagar och andra föreskrifter om socialtjänst och stöd och service till vissa funktionshindrade och beslut som har meddelats med stöd av sådana föreskrifter.

Lagstiftningen och Socialstyrelsens föreskrifter innebär att socialtjänsten måste arbeta systematiskt med att utveckla och säkra

751

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

SOU 2014:23

kvaliteten i alla nivåer av verksamheten. Kvalitetsbegreppet omfattar därmed socialtjänstens strukturinriktade, allmänt inrik- tade och individinriktade verksamhet. Vidare gäller kraven på god kvalitet för alla som bedriver socialtjänst, offentliga som enskilda verksamheter.

Utredningen har under arbetets gång kunnat konstatera att det pågår flera olika utvecklingsprojekt, både lokal, regionalt och nationellt, för att stödja kvalitetsutvecklingen inom socialtjänsten. I detta sammanhang kan exempelvis nämnas de olika satsningar som görs inom ramen för regeringens och Sveriges Kommuner och Landstings, SKL, överenskommelse om evidensbaserad praktik. Regeringen och SKL ingick 2010 en överenskommelse om en plattform för arbete med att utveckla en evidensbaserad praktik inom socialtjänsten. Målet är att enskilda ska få ta del av insatser som bygger på bästa tillgängliga kunskap. Med evidensbaserad praktik innebär, enligt överenskommelsen från 2013, en medveten och systematisk användning av flera kunskapskällor för beslut om insatser. Tanken är att den enskilde och yrkesutövarna utifrån bästa tillgängliga kunskap, den enskildes erfarenheter och profes- sionernas expertis fattar beslut om lämpliga insatser. Evidens- baserad praktik beskrivs även som ett förhållningssätt för ett ständigt och systematiskt lärande. Som ett exempel kan nämnas programmet Leda för Resultat, som arbetar för att öka kunskapen om hur ledningen i socialtjänsten kan arbeta strategiskt med resultatstyrning för att öka kvaliteten och utveckla verksamheten. Ett annat exempel är satsningarna som görs för att initiera, genom- föra och utveckla en systematisk uppföljning inom de verksamhets- områden som riktar sig till personer med funktionshinder. Sats- ningen är inriktad på uppföljning både på individ-, verksamhets- och systemnivå. Ett tredje exempel är satsningen för att påskynda och underlätta utvecklingen av eHälsa i socialtjänsten, dels genom statliga stimulansmedel till kommunerna och regionala samordnare, dels genom nationella stödinsatser.

Insatserna för att främja en evidensbaserad praktik och utvecklingen av eHälsa har flera gemensamma nämnare. För båda områdena är frågor om informationshantering centrala. De handlar båda om ett strategiskt utvecklingsarbete som enskilda kommuner kan ha svårt att genomföra helt på egen hand. Utvecklingen av en enhetlig och strukturerad dokumentation är en del av arbetet med ehälsa, och är också en förutsättning för en evidensbaserad praktik

752

SOU 2014:23

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

baserad på ett systematiskt lärarande och uppföljning av resultat och arbetssätt.

Vidare behövs en nationell informationsstruktur för att infor- mation ska kunna återanvändas i olika verksamheter, av olika användare och för olika ändamål. I överenskommelsen pekas därför särskilt på sambandet mellan evidensbaserad praktik och eHälsa.1

Verksamhetsuppföljning och kvalitetsarbete kan bedrivas på en mängd olika sätt, i olika skeden och på olika nivåer i verksamheten. För att följa upp och säkra kvaliteten i verksamheten samt skapa bättre resultat för individerna i socialtjänsten finns därför ofta ett behov av att låta dokumenterade uppgifter om enskilda och om genomförandet av insatser samt resultaten av dessa ligga till grund för ett ständigt förbättringsarbete. Personuppgiftbehandlingen behöver utföras i olika skeden av ett systematiskt kvalitetsarbete. Det är nödvändigt för att ge underlag för att kunna mäta och värdera resultatet av verksamhetens insatser, identifiera förbätt- ringsområden, kartlägga processer och följa upp effekter av olika arbetssätt. Dagens socialtjänst med valfrihet för individer och ökad mångfald av utförare ställer även delvis nya krav på kvalitets- säkringen. I egenskap av huvudman har kommunen ett ansvar för socialtjänsten, oavsett om den bedrivs i egen regi eller av enskilda utförare. Det finns behov av att hålla ihop kvalitetsarbetet så att medborgare tillförsäkras en god kvalitet i socialtjänsten oavsett vilken aktör som står för genomförandet av insatsen. Mot den bakgrunden behöver även informationshanteringen för att utveckla kvaliteten i socialtjänsten i större utsträckning än tidigare ta sin utgångspunkt i och följa individernas processer och deras möten med kommunala eller privata utförare av socialtjänst.

Vårt uppdrag

Personuppgiftsbehandling för verksamhetsuppföljning och kvali- tetssäkring kan göras på många olika sätt och på olika nivåer i socialtjänsten. På verksamhetsnivå, t.ex. inom en utförares verk- samhet, används ofta personuppgifter för utförarens lokala kvali- tetsarbete. Vid sidan om detta finns även behov för kommunen i egenskap av huvudman för socialtjänsten att kunna behandla personuppgifter som dokumenterats hos olika utförare för att i sin

1 Stöd till en evidensbaserad praktik för god kvalitet inom socialtjänsten, Överenskommelser för år 2013 mellan staten och Sveriges Kommuner och Landsting.

753

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

SOU 2014:23

tur kunna arbeta med den övergripande kvalitetssäkringen av socialtjänsten i kommunen. Därutöver kan viss personuppgifts- behandling aktualiseras vid uppföljning, analyser och jämförelser av kvaliteten i socialtjänsten i olika delar av landet.

I utredningens direktiv anför regeringen att personal och beslutsfattare bör få använda uppgifter i olika slags stödsystem för att löpande kvalitetssäkra och förbättra insatserna som vänder sig direkt till enskilda och att relevant lagstiftning bör främja en effektiv och ständigt pågående förbättringsprocess inom social- tjänsten.2

Vidare har under utredningens arbete i olika sammanhang frågan väckts om socialtjänsten har behov av en motsvarande reglering som finns för hälso- och sjukvårdens del i form av regelverket för nationella och regionala kvalitetsregister.

28.2Våra överväganden

Vår bedömning: Våra förslag i tidigare avsnitt innebär förbätt- rade möjligheter till verksamhetsuppföljning och kvalitets- säkring inom socialtjänsten. Vi har inte funnit övervägande skäl som talar för att en motsvarighet till regleringen av nationella kvalitetsregister i hälso- och sjukvården bör införas på social- tjänstens område. Vi bedömer att socialtjänsten med våra förslag får förutsättningar att bedriva ett systematiskt kvalitetsarbete som i praktiken kan jämföras med hälso- och sjukvårdens möjligheter.

Vi har i tidigare avsnitt redogjort för ett antal förslag som på olika sätt förbättrar möjligheterna till kvalitetssäkring och verksam- hetsuppföljning på socialtjänstens område. Våra förslag ger ökade möjligheter såväl för ett lokalt kvalitetsarbete exempelvis hos enskilda utförare av socialtjänst, som för ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. I praktiken innebär våra förslag, som vi ser det, även bättre förutsättningar att imple- mentera system för kvalitetssäkring och uppföljning som möjliggör uppföljning och jämförelser av socialtjänstens verksamhet i olika delar av landet.

2 Dir. 2011:11.

754

SOU 2014:23

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

Förslagen är dock i viss utsträckning utspridda på ett antal olika avsnitt i detta betänkande. Det kan därför finnas anledning att här lämna en korfattad, men mer samlad bild såväl av de enskilda förslagens påverkan på möjligheter till kvalitetssäkring och verk- samhetsuppföljning som av förslagens samlade effekt.

Ändamålsbestämmelser som inkluderar kvalitetsarbete och verksamhetsuppföljning för alla som bedriver socialtjänst

Av vårt förslag till ändamålsbestämmelse i socialtjänstdatalagen framgår att personuppgifter ska få användas även för verksamhets- uppföljning och kvalitetssäkring. I många fall torde det vara fråga om uppgifter som primärt samlats in därför att de behövs i den individinriktade verksamheten, vid handläggning av ärenden eller vid genomförandet av insatser, och som sedan återanvänds för uppföljning och kvalitetssäkring. Samtidigt kan det även vara fråga om att samla in personuppgifter särskilt för något av dessa ändamål, t.ex. genom att be enskilda fylla i enkäter kring upp- levelserna av socialtjänstens verksamhet.

För kommunala myndigheter är detta möjligt redan i dag, men med vårt förslag görs personuppgiftsbehandling för dessa ändamål även möjliga för enskilda verksamheter inom socialtjänstens område. Vi har tidigare pekat på att begränsningarna för enskilda verksamheter att behandla personuppgifter för kvalitetssäkring inverkar negativt på enskilda individers möjligheter att få en jämlik och högkvalitativ socialtjänst oberoende av vilken aktör som står för genomförandet av insatser. Med vårt förslag ges verksamheter som utför likartade insatser samma möjligheter att bedriva ett ständigt förbättringsarbete genom en systematisk kvalitetssäkring.

De möjligheter som tillhandahålls innebär att personuppgifter får behandlas om det behövs för kvalitetssäkring och verksamhets- utveckling, men förslaget innebär naturligtvis inte att det blir till- låtet att utan inskränkning eller behovsbedömning behandla person- uppgifter. Den grundläggande begränsningen i personuppgiftslagen (1998:204) om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, måste alltid beaktas. Det gäller oavsett vilka syften personuppgifter behandlas för och innebär att den personuppgiftsansvarige alltid har att bedöma vilka personuppgifter som behöver användas för olika ändamål. Särskilt vid sådan personuppgiftsbehandling som

755

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

SOU 2014:23

inte direkt syftar till att öka nyttan för den individ vars person- uppgifter behandlas, finns skäl att vara särskilt noggrann vid bedömningen av vilka uppgifter som behöver behandlas och i vilken utsträckning det exempelvis räcker att behandla person- uppgifter som endast indirekt pekar ut den enskilde. Samtidigt bedömer utredningen att den tekniska utvecklingen har medfört att personuppgiftsbehandling för ändamål som exempelvis kvalitets- säkring och verksamhetsuppföljning i delar av bearbetningen borde kunna göras utan att personuppgifter som direkt identifierar enskilda exponeras. I regel saknas det exempelvis behov av direkt utpekande personuppgifter i sådana resultatsammanställningar som tas fram. Se vidare avsnitt 23 om ändamålsbestämmelsen.

Ny sekretessreglering, uppgiftsskyldighet och nya möjligheter till direktåtkomst ger bättre förutsättningar för kvalitetsarbete och verksamhetsutveckling

I sammanhanget kan förtydligas att uppföljning av socialtjänst på ett övergripande plan inom en myndighet inte är att betrakta som en egen verksamhetsgren som är självständig i förhållande till den individinriktade verksamheten inom samma myndighet på sätt som avses i 8 kap. 2 § offentlighets- och sekretesslagen (2009:400). Motsvarande bedömningar har bland annat gjorts på hälso- och sjukvårdens område i samband med patientdatareformen.3 I för- arbetena till lagen (2005:787) om behandling av personuppgifter i Tullverkets verksamhet framhöll regeringen, med anledning av lagrådets påpekande, att planering, uppföljning och utvärdering av verksamheten i fråga måste anses vara en så integrerad del av själva verksamheten att den inte kan ses som en fristående aktivitet.4 Detta innebär att det inte finns någon formell gräns mellan verk- samhetsuppföljning på ett övergripande plan och den individ- inriktade socialtjänstverksamheten. Så länge det bedrivs inom samma myndighet finns det således ingen sekretessgräns mellan dessa verksamheter.

Däremot finns det i dag en sekretessgräns mellan olika myndig- heter som bedriver socialtjänst inom samma kommun, dvs. mellan olika nämnder som delats upp efter sakområden, geografiska områden eller på annat sätt. För att kvalitetsarbete och verksam-

3SOU 2006:82 s. 418.

4Prop. 2004:05:164 s. 66.

756

SOU 2014:23

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

hetsuppföljning ska kunna göras på central nivå i kommunen, krävs i dagsläget således att en sekretessprövning leder till att uppgifterna kan lämnas ut till den kommunala myndighet som är tänkt att genomföra verksamhetsuppföljningen eller kvalitetssäkrings- arbetet. Enligt utredningens bedömning kan sekretessregleringen därmed begränsa möjligheterna till gemensam och individbaserad uppföljning avseende kommunens totala socialtjänstverksamhet.

Vi har, bland annat mot bakgrund av ovanstående, i avsnitt 21 lämnat förslag till en mer ändamålsenlig sekretessreglering i socialtjänsten. Vårt förslag om slopade sekretessgränser mellan nämnder och kommunala bolag i en kommun, har inte bara bety- delse för den informationshantering som förekommer i den individinriktade verksamheten utan omfattar också utbyte av upp- gifter för uppföljning och kvalitetssäkring. Ett sådant uppgifts- utbyte kommer enligt vårt förslag att kunna göras utan hinder av sekretess. I praktiken innebär det att kommunen, med hjälp av att behandla personuppgifter, kan genomföra en mer samlad verk- samhetsuppföljning än vad som är fallet om uppgifter inte hade fått sambearbetas mellan de olika kommunala myndigheterna på social- tjänstens område. Vårt förslag innebär att alla kommuner, alldeles oavsett hur de har valt att organisera sin myndighetsstruktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i verksamheten.

Därutöver har vi i avsnitt 27 lämnat förslag till nya möjligheter till direktåtkomst till personuppgifter som behandlas enligt social- tjänstdatalagen. Utredningens förslag till direktåtkomst mellan myndigheter och kommunala bolag på socialtjänstens område i samma kommun innebär ökade möjligheter att arrangera person- uppgiftsbehandlingen på ett ändamålsenligt och effektivt sätt, även för behov som finns för verksamhetens uppföljning. Sammantaget kommer det att vara möjligt för en kommun att, med stöd av moderna tekniska lösningar, behandla personuppgifter för kvalitets- säkring och uppföljning även om uppgifterna är utspridda i olika system hos olika kommunala myndigheter inom socialtjänsten.

Vidare är utredningens generella utgångspunkt att det kommunala huvudmannaskapet innebär ett ansvar för uppföljning och kvalitetssäkring av all socialtjänstverksamhet som erbjuds invånarna. Det innebär att kommunen bör ha motsvarande möjlig- heter att följa upp kvaliteten av insatser som utförs av sådana enskilda verksamheter som kommunen har huvudmannaansvar för. Det har i tidigare utredningar bedömts att reglerna om tystnads-

757

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

SOU 2014:23

plikt inte hindrar ett utlämnande från en enskild verksamhet till den kommunala myndighet som ansvarar för verksamheten.5 Det saknas dock uttryckligt lagstöd för en sådan bedömning. Mot den bakgrunden har vi i avsnitt 21.3.2 lämnat förslag om uppgifts- skyldighet som tydliggör att ett sådant utlämnande kan göras utan hinder av tystnadsplikt. Vårt förslag innebär att det är tillåtet för enskilda verksamheter inom socialtjänsten att lämna ut de uppgifter som den beslutande kommunala nämnden behöver t.ex. för kvali- tetssäkring och verksamhetsuppföljning. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för att bedriva ett systematiskt kvalitetsarbete, men det gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänst- verksamhet som kommunen ansvarar för gentemot invånarna. I sammanhanget ska samtidigt erinras om att kommunen alltid har att göra en bedömning av vilka personuppgifter som är nödvändiga att behandla för att följa upp och säkra kvaliteten i verksamheten. Att slentrianmässigt begära uppgifter från enskilda verksamheter utan att ha gjort en närmare analys av uppgifterna är nödvändiga med hänsyn till ändamålet kommer inte att vara tillåtet.

När det gäller tillvägagångssättet för utlämnande av uppgifter från enskilda verksamheter till den ansvariga kommunala myndig- heten innebär vårt förslag att uppgifterna kan lämnas ut på medium för automatiserad behandling, dvs. elektroniskt. Vi föreslår där- emot inte att utlämnandet ska kunna göras genom direktåtkomst. Något sådant behov för den kommunala nämnden att på eget initiativ och utan att den enskilda verksamheten vet vilka uppgifter kommunen tar del av eller när det görs, har vi inte funnit. Vi bedömer snarare att kommunen har ett behov av att arbeta aktivt med frågan om vilka typer av uppgifter som behövs för ändamål som rör verksamhetens uppföljning och utifrån det tillhandahålla tekniska lösningar som gör att uppgifterna kan utbytas elektroniskt på ett smidigt sätt. Genom att det kommer att vara tillåtet med utlämnanden på medium för automatiserad behandling har kom- munen och de enskilda verksamheterna möjlighet att utveckla ändamålsenliga tekniska lösningar som gör att kommunen konti- nuerligt vid behov får tillgång till de uppgifter som behövs för verksamhetsuppföljning och kvalitetssäkring.

Sammanfattningsvis innebär således socialtjänstdatalagen i förening med förslagen om att undanröja sekretesshinder mellan

5 SOU 2009:32.

758

SOU 2014:23

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

socialtjänstverksamhet i en kommun samt förslaget om uppgifts- skyldighet för enskilda verksamheter, att kommunen får avsevärt förbättrade rättsliga möjligheter att bedriva verksamhetsuppfölj- ning och kvalitetssäkring jämfört med vad som följer av gällande rätt.

Möjligheterna till regional och nationell kvalitetssäkring och kvalitetsutveckling

Ytterligare en fråga som har ställts till utredningen under arbetets gång är om socialtjänsten bör ha motsvarande rättsliga möjligheter att bedriva kvalitetssäkring över organisatoriska gränser som hälso- och sjukvården har genom regleringen för nationella och regionala kvalitetsregister. Det ska framhållas att utredningen inte har fått del av något egentligt underlag om behovet av detta, vilka risker som kan vara förknippade med detta eller hur en sådan reglering närmare skulle kunna se ut för att vara anpassad just till förut- sättningarna i socialtjänsten. Utredningen har inte fått del av någon närmare precisering av vad socialtjänsten – om samma möjligheter som finns i hälso- och sjukvården gavs – skulle göra, för vilka syften och med vilka personuppgifter. Det kan jämföras med hälso- och sjukvårdens nationella kvalitetsregister där lagstiftaren har reglerat ett område som har varit etablerat sedan över 30 år tillbaka i tiden. Det fanns således tydliga förebilder och omfattande under- lag för en sådan reglering.

Även om det finns stora likheter mellan kvalitetsarbete i social- tjänsten och kvalitetsarbete i hälso- och sjukvården finns det, enligt vår bedömning, även vissa stora skillnader. Sådana skillnader finns bland annat just vad gäller de närmare förutsättningarna som kännetecknar de nationella kvalitetsregistren. Hälso- och sjuk- vårdens nationella kvalitetsregister är exempelvis uteslutande initierade av de olika professionerna. Utvecklingsarbetet har drivits av olika professionella sammanslutningar som inom sina respektive områden har sett ett behov av att mäta vad som görs, jämföra kvaliteten och inspirera till lokalt förbättringsarbete. För att möjliggöra utvecklingen av nationella kvalitetsregister har även en organisatorisk utveckling ägt rum på den regionala och nationella nivån. I dag kännetecknas nationella kvalitetsregister av en omfat- tande och komplex organisatorisk samverkan, där professionernas engagemang fortfarande är centralt men där det i dag backas upp av

759

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

SOU 2014:23

nya finansiella förutsättningar och nationella organisatoriska över- byggnader samt regionala stödstrukturer i form av registercentra.

Naturligtvis finns det vissa områden inom socialtjänsten som i viss mån kan visa upp liknande strukturer, men på det stora hela finns ingen motsvarighet till en sådan etablerad och kraftfull inomprofessionell rörelse och nationell samt regional stödstruktur. Det behöver nödvändigtvis inte vara eftersträvansvärt för social- tjänsten att gå i exakt samma spår som hälso- och sjukvården. Det kan finnas viktiga skillnader mellan hälso- och sjukvården och socialtjänsten vad gäller behov och förutsättningar för det syste- matiska kvalitetsarbetet. Skillnaderna har sannolikt även historisk betydelse, vilket kan innebära att socialtjänsten i dagsläget har möjlighet att ta andra vägar för att uppnå motsvarande målsätt- ningar som hälso- och sjukvårdens kvalitetsregister ställde upp för länge sedan.

Vidare bedömer utredningen även att det kan ifrågasättas om en reglering överensstämmande med vad som gäller för hälso- och sjukvården, av andra skäl, är lämplig för socialtjänstens del. Exempelvis innebär en registrering i ett nationellt kvalitetsregister att en vårdgivare formellt sett lämnar ut personuppgifter till den mottagande myndigheten som har det centrala ansvaret för kvalitetsregistret. Det är vanligtvis en landstingsstyrelse eller motsvarande i ett annat landsting som har det centrala ansvaret för registret. Vid våra kontakter med företrädare från kommuner har vi mötts av viss tveksamhet inför en sådan motsvarighet på social- tjänstens område, där samtliga kommuner således i formell mening då skulle lämna ut personuppgifter från sin socialtjänstverksamhet till en myndighet i en annan kommun.

Därutöver får det enligt vår bedömning anses tveksamt om det vore lämpligt att grunda en registrering i ett nationellt register över viss socialtjänstverksamhet på individens tysta samtycke, vilket är fallet i hälso- och sjukvården. För personuppgiftsbehandling i hälso- och sjukvårdens nationella kvalitetsregister krävs nämligen inget samtycke från individen, utan den legala konstruktionen innebär i stället att individen har en rätt att motsätta sig med- verkan. Den enskilde har således ett ansvar för att aktivt säga nej. Vi bedömer att det för socialtjänstens del finns mycket som talar för att en registrering i ett nationellt register ska kräva den enskildes samtycke. Det skulle inte minst vara naturligt för behandling av sådana personuppgifter som i första skedet har dokumenterats med stöd av den enskildes samtycke, t.ex. i verk-

760

SOU 2014:23 Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

samhet som bedrivs som råd och stöd utan individuell behovsprövning.

En ytterligare omständighet som kan visa på att det i viss utsträckning finns olika behov i hälso- och sjukvården och i social- tjänsten är att hälso- och sjukvårdens patientrörlighet generellt får bedömas som större än socialtjänstens. Även om enskilda natur- ligtvis rör sig inom socialtjänstens område, förekommer den rör- ligheten typiskt sett inte inom ramen för genomförandet av en och samma insats. I hälso- och sjukvården bedrivs däremot i olika delar ett omfattande samarbete i den individinriktade patientvården. Enskilda som exempelvis har behov av mer högspecialiserad vård, som t.ex. viss cancersjukvård, får inte sällan sitt behov av hälso- och sjukvård tillgodosett genom insatser från flera olika vårdgivare i flera olika landsting. Även för patienter som har behov av rikssjukvård är det en realitet att flera vårdgivare deltar i en och samma övergripande vårdprocess. Akutsjukvården är ett annat exempel där enskilda, inte minst om de är bosatta i gränsområden mellan två olika landsting, kan behöva få hälso- och sjukvård av vårdgivare i olika landsting. Sedan är naturligtvis hälso- och sjuk- vården för äldre ett tydligt exempel på när flera vårdgivare, både från landstingssidan som från kommunsidan, är involverade i vården av den äldre. Sammantaget ger en sådan patientrörlighet och ett sådant samband mellan vårdgivare ett behov av att kunna bedriva en gemensam kvalitetssäkring av patienternas processer. Regelverket för nationella kvalitetsregister, där personuppgifter från flera olika vårdgivare samlas på ett och samma ställe, ger därför möjligheter att vid behov genomföra en organisationsöverskri- dande kvalitetssäkring. Behoven av att göra kommunöverskridande uppföljningar får generellt bedömas som mindre på socialtjänstens område.

Sammanfattningsvis bedömer vi således att det saknas över- vägande skäl som talar för att socialtjänsten bör ha ett regelverk som motsvarar regelverket för hälso- och sjukvårdens nationella kvalitetsregister. Vi vill understryka att utredningens sammantagna bedömning är att de förslag vi lämnar ger socialtjänsten möjligheter som i praktiken hamnar mycket nära de som finns i hälso- och sjukvården. Vi bedömer även att de förslag vi lägger är anpassade efter de förutsättningar och de behov som finns på socialtjänstens område. Vi har i det föregående redogjort för den praktiska bety- delsen av våra förslag till nya ändamålsbestämmelser, ny sekretess- reglering, uppgiftsskyldighet för enskilda verksamheter samt vissa

761

Kvalitetsutveckling och verksamhetsuppföljning i socialtjänsten

SOU 2014:23

möjligheter till elektroniska utlämnanden av uppgifter genom direktåtkomst eller på medium för automatiserad behandling. Med våra förslag kommer kommunernas socialtjänst att få väsentligt bättre förutsättningar att säkra och utveckla kvaliteten i verksam- heten jämfört med vad som följer av gällande rätt.

I praktiken kan socialtjänsten behandla personuppgifter som gör att det systematiska kvalitetsarbetet kan uppnå motsvarande effekter som hälso- och sjukvården kan genom att använda natio- nella kvalitetsregister. Det finns med våra förslag exempelvis inget som hindrar att socialtjänsten, likt hälso- och sjukvårdens natio- nella kvalitetsregister, samarbetar på ett sådant sätt att verksam- heter i hela landet enas kring vad som ska mätas, hur det ska dokumenteras och hur resultaten ska framställas. Inte heller finns det något som hindrar framtagandet av särskilda it-stöd som i praktiken gör det möjligt för verksamheter i socialtjänsten att arbeta med kvalitetssäkring på ett sådant sätt som man enats om. En sådan utveckling skulle enligt vår bedömning innebära att socialtjänsten arbetar med kvalitetssäkring på ett sätt som ligger mycket nära hälso- och sjukvårdens nationella kvalitetsregister. Genom att alla skulle dokumentera på samma standardiserade sätt skapas goda möjligheter för jämförelser av kvalitet och resultat mellan olika utförare av socialtjänst eller mellan olika delar av landet. Den stora rättsliga skillnaden jämfört med de nationella kvalitetsregistren skulle då i princip endast vara att respektive kommun eller enskild verksamhet inte formellt lämnar ut uppgifter till någon utomstående myndighet. Var och en som använder ett sådant framtaget IT-stöd för t.ex. beslutsstöd eller uppföljande kvalitetssäkring skulle precis som i dag vara ansvarig för sin egen behandling av personuppgifter. Sammantaget skulle detta, som vi ser det, ge socialtjänsten möjligheter att kvalitetssäkra sin verksam- het och få underlag för jämförelser över landet utan att det skapas stora nationella register med integritetskänsliga uppgifter.

762

29Allmänna frågor om enskildas rättigheter m.m.

29.1Bakgrund

När det gäller behandling av personuppgifter är den enskildes rättigheter av central betydelse för skyddet av den registrerades personliga integritet. För att otillbörliga intrång i den personliga integriteten i största möjliga mån ska undvikas har det ansetts nödvändigt att enskilda har särskilda rättigheter. I personupp- giftslagen (1998:204), förkortad PUL, finns därför bestämmelser om bland annat information, rättelse och skadestånd. Bestäm- melserna ger enskilda möjligheter till insyn i vad som finns registrerat om dem i register av betydelse för att de ska kunna kräva rättelse av felaktiga uppgifter. När personuppgiftsansvariga behandlar uppgifter i strid med gällande regler finns möjligheter för enskilda att kunna få ersättning för skada och kränkning av den personliga integriteten.

Även för den omfattande personuppgiftsbehandling som socialtjänsten utför med stöd av bestämmelserna i den föreslagna socialtjänstdatalagen är det viktigt att det tydligt framgår vad som ska gälla i form av rättigheter för enskilda. Eftersom socialtjänst- datalagen så långt möjligt ska vara heltäckande för personuppgifts- behandlingen inom socialtjänsten finns även skäl att direkt i lagen ta in de bestämmelser om enskildas rättigheter som bedöms relevanta. En sådan ordning bidrar till en ökad tydlighet både för dem som har att tillämpa lagen och för de enskilda registrerade.

763

Allmänna frågor om enskildas rättigheter m.m.

SOU 2014:23

29.2Våra överväganden och förslag

29.2.1Enskildas rätt att ta del av uppgifter

Vårt förslag: I socialtjänstdatalagen ska hänvisas till enskildas rätt att ta del av uppgifter enligt tryckfrihetsförordningen, för- valtningslagen (1986:223), offentlighets- och sekretesslagen (2009:400), socialtjänstlagen (2001:453) och lagen (1993:387) om stöd och service till vissa funktionshindrade.

En enskild rätt att ta del av uppgifter framgår av tryckfrihets- förordningen och offentlighet- och sekretesslagen. När det gäller ärenden hos en socialnämnd som rör myndighetsutövning gäller även förvaltningslagens bestämmelser om parts rätt att ta del av uppgifter i den utsträckning inte annat följer av socialtjänstlagen förkortad SoL, och offentlighets- och sekretesslagen. En påmin- nelse om detta bör tas in i socialtjänstdatalagen.

29.2.2Information om personuppgiftsbehandlingen

Vårt förslag: Den som bedriver verksamhet inom socialtjänsten ska enligt socialtjänstdatalagen se till att den registrerade får information om personuppgiftsbehandlingen. Informationen ska innehålla upplysningar om

1.vem som är personuppgiftsansvarig,

2.ändamålet med behandlingen,

3.vilka kategorier av uppgifter som behandlas,

4.den uppgiftsskyldighet som följer av lag eller förordning,

5.de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

6.rätten att få information om åtkomst,

7.rätten att ta del av uppgifter enligt 26 § PUL

8.rätten till rättelse och underrättelse av tredje man enligt 28 § PUL,

9.rätten till skadestånd vid behandling av uppgifter i strid med socialtjänstdatalagen,

10.vad som gäller ifråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

11.vad som gäller ifråga om bevarande och gallring, samt

12.ifall personuppgiftsbehandlingen är frivillig eller inte.

764

SOU 2014:23

Allmänna frågor om enskildas rättigheter m.m.

Personuppgiftslagen innehåller särskilda bestämmelser om den personuppgiftsansvariges skyldighet att lämna information om behandling av personuppgifter till den registrerade. Utredningens förslag innebär att personuppgiftsbehandling enligt socialtjänst- datalagen som huvudregel ska få genomföras även om den enskilde motsätter sig behandlingen. Därmed är det viktigt från integritets- synpunkt att de registrerade får utförlig information om behand- lingen av personuppgifter. Informationen behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med personuppgiftsbehandlingen. Den är även viktig för att skapa en grund för allmänhetens förtroende för behandlingen. I social- tjänstdatalagen görs därför hänvisningar till relevanta bestämmelser i personuppgiftslagen. Exempelvis gäller bestämmelserna i 26 § PUL om tillgång till uppgifter genom registerutdrag och även bestämmelsen i 27 § om undantag från informationsskyldighet även vid personuppgiftsbehandling enligt socialtjänstdatalagen.

I 25 § PUL anges vilken information som den personuppgifts- ansvarige självmant ska lämna till den registrerade. Denna informa- tionsskyldighet bör preciseras i den föreslagna socialtjänstdatalagen eftersom det då blir tydligare för både den personuppgiftsansvarige som den enskilde vilken information som ska lämnas. Mot den bakgrunden föreslår utredningen att det i socialtjänstdatalagen förs in en särskild bestämmelse om vilken information som den personuppgiftsansvarige ska lämna.

Den information som den personuppgiftsansvarige ska lämna innefattar bland annat upplysningar om den uppgiftsskyldighet som innebär att uppgifter får lämnas ut.

Den allmänna informationen som den personuppgiftsansvarige ska lämna omfattar även information om att den enskilde har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om honom eller henne.

När det gäller upplysningar om rätten till rättelse av oriktiga eller missvisande uppgifter och om rätten till skadestånd görs hänvisningar till relevanta bestämmelser i personuppgiftslagen.

Hur informationen ska ges bör överlåtas till varje person- uppgiftsansvarig att bestämma. Något rättsligt krav på att informa- tionen ska ges i viss form, muntlig eller skriftlig, föreslås inte. Det är dock viktigt att den personuppgiftsansvarige skapar rutiner för hur informationsskyldigheten ska fullgöras. Att det finns säkra rutiner ligger i den personuppgiftsansvariges intresse, då denne har bevisbördan för att den obligatoriska informationen som krävs

765

Allmänna frågor om enskildas rättigheter m.m.

SOU 2014:23

faktiskt har lämnats till den enskilde. Informationsskyldigheten bör kunna fullgöras genom att till exempel broschyrer och anslag finns i lokalerna hos den som bedriver verksamhet inom social- tjänsten. Det åligger även den personuppgiftsansvarige att se till att information är utformad på ett sätt som kan förstås av den registrerade. Det kan till exempel innebära att information finns tillgänglig på informationsblanketter på flera språk.

Det kan i vissa fall vara så att en enskilds omsorgsbehov omöjliggör att information kan lämnas till honom eller henne om aktuell personuppgiftsbehandling. Det kan till exempel bero på att den enskilde är alltför fysiskt eller psykiskt medtagen för att kunna tillgodogöra sig information som det nu är frågan om. Många gånger saknar dessa personer legala ställföreträdare, t.ex. god man eller förvaltare, som i stället skulle kunna få informationen. Informationen bör i dessa fall, i jämförelse med vad som görs i hälso- och sjukvården, kunna lämnas till någon närstående. I sådana fall bör den enskilde så fort det är möjligt informeras om personuppgiftsbehandlingen. Att beakta i sammanhanget är att en närstående till en vuxen person inte kan samtycka till en personuppgiftsbehandling. Som framgår i våra förslag innebär en personuppgiftsbehandling enligt socialtjänstdatalagen som huvud- regel att sådan får utföras även om den enskilde motsätter sig behandlingen.

I övrigt ska personuppgiftslagens bestämmelser om information gälla. Detta behöver inte särskilt anges i socialtjänstdatalagen, eftersom personuppgiftslagens bestämmelser gäller om inte annat sägs.

29.2.3Information om åtkomst till den enskildes uppgifter

Vårt förslag: I den nya lagen ska det anges att den enskilde på begäran har rätt att få information om den åtkomst till den enskildes uppgifter som har förekommit i verksamheten. Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om den information om åtkomst som ska lämnas.

En viktig del av integritetsskyddet är enskildas möjligheter att själva bilda sig en uppfattning om hur uppgifter hanteras och vem

766

SOU 2014:23

Allmänna frågor om enskildas rättigheter m.m.

som tar del av dem. I hälso- och sjukvården finns exempelvis en rättighet för patienter att få information om vilken åtkomst som har förekommit till uppgifter om honom eller henne i elektroniska patientjournalsystem. Vi anser att denna rättighet även bör gälla för enskilda i förhållande till en behandling av personuppgifter som utförs hos de som bedriver verksamhet inom socialtjänsten.

Utredningens bedömning är att allmänhetens förtroende för socialtjänstens informationshantering blir ännu större, om den enskilde får information om vilken åtkomst som har förekommit till uppgifter om honom eller henne. Bara vetskapen om att man som enskild har den möjligheten skulle troligen innebära en trygghet för flertalet ifråga om att deras personliga integritet skyddas i verksamheten. Liksom när det gäller förslaget om att åtkomstkontroller ska göras systematiskt och fortlöpande borde vetskapen om patientens rätt att själv kontrollera åtkomsten ha en starkt avhållande verkan för obehörig personal att ta del av upp- gifter om enskilda.

Den bestämmelse utredningen föreslår ska tillämpas av alla som bedriver verksamhet inom socialtjänsten, dvs. både offentliga och privata aktörer. Vi vill dock poängtera att detta är en informations- bestämmelse. Rätten av få information med stöd av denna bestämmelse är inte jämförlig med rätten att begära ut en allmän handling hos myndigheter.

Exakt vad informationen ska innehålla och hur eller hur ofta den ska lämnas bör inte regleras i lag utan av regeringen eller, efter vidarebemyndigande, av Socialstyrelsen i samråd med Data- inspektionen. En rimlig utgångspunkt är dock att den information som lämnas ska kunna förstås av den enskilde och även ge vägledning för bedömningen om en åtkomst varit befogad eller inte. Samtidigt kan det inte uteslutas att det i vissa situationer är svårt för den enskilde själv att göra denna bedömning, t.ex. när uppgifter har använts av personal som den enskilde inte har varit i kontakt med. För socialtjänstens del kan det i dessa fall handla om åtkomst som förekommit till uppgifter för mer sekundära ändamål, som kvalitetssäkring, statistik, administration och liknande.

I sammanhanget kan även uppmärksammas den utveckling som i dag sker på hälso- och sjukvårdens område, där patienter över internet själva och när som helst de önskar kan ta del av uppgifter om åtkomsten till uppgifter i journalsystemen. Ifall den utveck- lingen även kommer att göra sig gällande på socialtjänstens område återstår dock att se. De bestämmelser utredningen föreslår om

767

Allmänna frågor om enskildas rättigheter m.m.

SOU 2014:23

direktåtkomst för enskilda och rätt till information om åtkomst gör i vart fall en sådan utveckling möjlig.

Som redovisats ovan är denna bestämmelse en informations- bestämmelse och inte en bestämmelse om rätten att ta del av allmänna handlingar hos myndigheter. Det innebär att den bestäm- melse som utredningen föreslår gäller utöver eventuella möjligheter enskilda har att begära information om åtkomst med stöd av tryckfrihetsförordningens bestämmelser om rätten att ta del av allmänna handlingar.

29.2.4Rättelse

Vårt förslag: Personuppgiftslagens bestämmelser om rättelse ska gälla vid sådan behandling av personuppgifter som helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som görs enligt socialtjänstdatalagen. I socialtjänst- datalagen ska en hänvisning göras till personuppgiftslagens regler om rättelse.

Av 28 § PUL följer en skyldighet för den personuppgiftsansvarige att på begäran av den enskilde snarast rätta, blockera eller utplåna sådana personuppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. Att en uppgift rättas innebär att den ersätts eller kompletteras med korrekta uppgifter. Blockering definieras i 3 § PUL som ”en åtgärd som vidtas för att personuppgifterna skall vara förknippade med information om att de är spärrade och om anledningen till spärren och för att personuppgifterna inte skall lämnas ut till tredje man annat än med stöd av 2 kap. tryckfri- hetsförordningen”. Att en uppgift utplånas innebär att den förstörs så att den inte längre kan återskapas. Det är upp till den person- uppgiftsansvarige att själv välja vilken av dessa korrigeringsmetoder som ska användas.

Personuppgiftslagens regler om rättelse av personuppgifter är dock endast tillämpliga när uppgifter behandlas i strid med den lagen eller föreskrifter som har meddelats med stöd av den lagen. Har personuppgifter behandlats på något sätt som endast står i

768

SOU 2014:23

Allmänna frågor om enskildas rättigheter m.m.

strid med annan författning kan alltså inte rättelse göras med stöd av personuppgiftslagens bestämmelser. Av den anledningen föreslår vi att det i socialtjänstdatalagen ska anges att personuppgiftslagens bestämmelser om rättelse ska gälla även då personuppgifter behandlats i strid mot socialtjänstdatalagen. Det gör att den enskilde har samma möjligheter att få personuppgifter rättade vid behandling av personuppgifter i strid mot socialtjänstdatalagen som vid behand- ling i strid mot personuppgiftslagen.

29.2.5Skadestånd

Vårt förslag: Personuppgiftslagens bestämmelser om skade- stånd ska gälla vid sådan behandling av personuppgifter som helt eller delvis automatiserad eller där uppgifterna ingår eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som har utförts i strid mot socialtjänst- datalagen. I socialtjänstdatalagen ska en hänvisning göras till personuppgiftslagens regler om skadestånd.

Personuppgiftslagens bestämmelser om skadestånd gäller endast vid överträdelser av den lagen. Genom denna paragraf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid med socialtjänstdatalagen. Enligt 48 § PUL ska den personuppgifts- ansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Således är det den personuppgifts- ansvarige som även enligt socialtjänstdatalagen har det skade- ståndsrättsliga ansvaret för en behandling av personuppgifter som stått i strid med lagen. Enligt vårt förslag till socialtjänstdatalag är det i kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd ska dock väckas mot den juridiska personen, dvs. kommunen.

769

30Socialstyrelsens behandling av personuppgifter

30.1Bakgrund

I dag reglerar lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPULF, viss behandling av personuppgifter hos Socialstyrelsen. Det handlar om sådan verksamhet som Socialstyrelsen utför i dess verksamhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall och förordningen (2007:748) om utredningar avseende vissa dödsfall.

Eftersom vi bedömer att socialtjänstdatalagen, till skillnad från dagens reglering i SoLPUL och SoLPULF, uteslutande bör rikta sig till den egentliga kärnverksamheten hos dem som bedriver socialtjänst finns behov av en ny och fristående reglering av Socialstyrelsens behandling av personuppgifter.

30.2Våra överväganden och förslag

30.2.1Ny lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall

Vårt förslag: En ny lag om Socialstyrelsens behandling av personuppgifter i verksamhet avseende utredningar av vissa dödsfall ska införas. Bestämmelser från SoLPUL och SoLPULF ska överföras till den nya lagen.

Utredningens bedömning är att socialtjänstdatalagen ska tillämpas i den kärnverksamhet som bedrivs inom socialtjänsten hos kommunala

771

Socialstyrelsens behandling av personuppgifter

SOU 2014:23

myndigheter, Statens institutionsstyrelse och enskilda verksam- heter. Socialtjänstdatalagen ska således inte tillämpas av Social- styrelsen eller andra myndigheter. De bestämmelser i SoLPUL och SoLPULF som i dag är tillämpliga på Socialstyrelsens behandling av personuppgifter i verksamhet om utredningar avseende vissa dödsfall ska således överföras till en ny lag. Vi bedömer inte att det finns behov av några förändringar jämfört med vad som gäller i dag, utan relevanta bestämmelser överförs till den nya lagen efter viss språklig justering.

Den nya lagen bör i likhet med många andra registerlag- stiftningar reglera frågor om tillämpningsområdet, personuppgifts- ansvaret, förhållandet till personuppgiftslagen (1998:204), när behandling av personuppgifter är tillåten, vilka personuppgifter som får behandlas, vad som gäller ifråga om den enskildes inställ- ning och ifall uppgifter får lämnas ut genom direktåtkomst.

30.2.2Lagens tillämpningsområde

Vårt förslag: Lagen ska tillämpas av Socialstyrelsen i dess verk- samhet enligt lagen (2007:606) om utredningar avseende vissa dödsfall, om behandlingen av personuppgifter är helt eller delvis automatiserad eller om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Personuppgiftslagen ska gälla om inte annat följer av lagen.

Vi föreslår att lagen, precis som är fallet i dag, ska gälla för behand- ling av personuppgifter som är helt eller delvis automatiserad. Lagen bör även gälla för manuell behandling av personuppgifter som ingår i eller är avseedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller samman- ställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller elektro- niska uppgiftssamlingar.

Vi bedömer även att den nya lagen ska komplettera person- uppgiftslagen på ett sådant sätt att lagen ska gälla utöver person- uppgiftslagen. När en reglering saknas i den nya lagen ska därför reglerna i personuppgiftslagen tillämpas. Detta gör att den nya

772

SOU 2014:23

Socialstyrelsens behandling av personuppgifter

lagen endast bör innehålla de särbestämmelser och förtydliganden i förhållande till personuppgiftslagen som det finns behov av.

30.2.3Personuppgiftsansvar

Vårt förslag: Socialstyrelsen ska vara personuppgiftsansvarig för behandling av personuppgifter.

Vi föreslår att Socialstyrelsen, i enlighet med vad som i dag anges i SoLPULF, ska vara personuppgiftsansvarig för behandling av personuppgifter enligt den nya lagen.

30.2.4Tillåten personuppgiftsbehandling

Vårt förslag: I lagen ska anges att Socialstyrelsen endast får behandla de personuppgifter som är nödvändiga för att ge underlag till förslag om åtgärder som avser att förebygga att

1.barn far illa, eller

2.kvinnor och män utsätts för våld eller andra övergrepp av närstående eller tidigare närstående personer.

Personuppgifter som behandlas för sådana ändamål får också behandlas för att fullgöra uppgiftsutlämnande som görs i över- ensstämmelse med lag eller förordning.

Behandling av personuppgifter som är tillåten enligt lagen får utföras även om den enskilde motsätter sig den.

Socialstyrelsen får använda de sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar som behövs för utredningsverksamheten.

Socialstyrelsen får inte medge andra myndigheter eller enskilda direktåtkomst till personuppgifter som behandlas med stöd av lagen.

Vi föreslår att de bestämmelser som i dag reglerar en tillåten personuppgiftsbehandling, med vissa språkliga justeringar, ska överföras från SoLPUL och SoLPULF.

773

31Behov av en mer sammanhållen informationshantering

31.1Bakgrund

I vårt uppdrag ingår att kartlägga vilket behov hälso- och sjuk- vården och socialtjänsten har av att ta del av uppgifter från respek- tive verksamhet och vilka uppgifter som då behöver dokumenteras för att möjliggöra samverkan mellan socialtjänsten och hälso- och sjukvården.1

Vidare ska utredningen identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder (juridiska eller tekniska) som finns i dag för en sådan informationshantering och i förekommande fall i vilka lagar dessa hinder finns. Om det finns behov ska utredningen föreslå sådana lagstiftningsåtgärder som medger att behörig personal och besluts- fattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter inom eller över organisatoriska gränser. En avvägning ska göras mellan behoven och den enskildes intresse av integritet för att fastställa vilka uppgifter som bedöms vara nödvändiga att behandlas genom t.ex. utlämnande genom direkt- åtkomst.

31.1.1Individens behov som utgångspunkt

Även om utredningens direktiv ger uttryck för det, har vår primära utgångspunkt inte varit att analysera behovet för olika organisa- tioner att dokumentera och utbyta uppgifter om individer. Ur vårt perspektiv är organisationernas behov sekundära. Vi anser att det är vårt uppdrag att så långt möjligt utgå ifrån individens behov i stället

1 Direktiv 2011:111.

775

Behov av en mer sammanhållen informationshantering

SOU 2014:23

för de organisatoriska förutsättningarna. Den grundläggande frågan blir då vilket behov individer med sammansatta behov av vård, omsorg och annat stöd har för att nå ökad hälsa och livskvalitet. De behoven bör sedan vara styrande för hur lagstiftning, teknik, informatik, arbetssätt, ledning och styrning m.m. utformas för att stödja en ändamålsenlig informationshantering.

För individens del är det av mindre vikt om information är dokumenterad i en verksamhet som lagstiftaren benämnt hälso- och sjukvård eller i en verksamhet som betraktas som socialtjänst. Det kan även antas att individen inte heller fäster någon avgörande vikt vid om den personal individen möter i vård och omsorg representerar ett flertal olika vårdgivare eller utförare. Vi utgår ifrån att det berättigade intresset hos enskilda och deras närstående är att den information som behövs för att bidra till bästa möjliga resultat för individen finns tillhands för den personal, på den plats och vid den tid behovet uppstår – alldeles oavsett organisatoriska förutsättningar. Det avgörande bör inte vara i vilken organisation uppgifter om den enskilde är dokumenterade utan i vilken vård- och omsorgssituation uppgifterna behövs.

Samtidigt är det tydligt att det i dag krävs en omfattande sam- verkan över organisationsgränser för att den enskilde i praktiken ska få sina behov tillgodosedda. Det kan med fog hävdas att det är få verksamheter som i grunden är organiserade för att tillgodose de behov som just människor med sammansatta behov av hälso- och sjukvård och socialtjänst har. Äldreomsorgen är ett sådant exempel där man organisatoriskt delat in verksamheten i hälso- och sjukvård och socialtjänst, trots att den enskilde ofta har så sammansatta behov att det i praktiken ofta inte går att avgöra om de insatser som han eller hon behöver ska hänföras till hälso- och sjukvård eller socialtjänst. Dessutom är den hälso- och sjukvård som den äldre behöver också uppdelad mellan olika huvudmän eftersom ansvaret för läkarinsatserna ligger på landstinget medan kommunen ansvarar för övrig sjukvård. Det saknas alltså en aktör som har helhetsansvar och som är organiserad på ett ändamålsenligt sätt för att tillmötesgå den äldres totala behov.

Även regelverket för informationshantering bidrar till splitt- ringen genom att ställa krav på personalen att avgöra vad som ska dokumenteras i hälso- och sjukvårdens patientjournal och vad som ska antecknas i den sociala dokumentationen. Det ställnings- tagandet medför sedan konsekvenser för vem som får tillgång till

776

SOU 2014:23

Behov av en mer sammanhållen informationshantering

uppgifterna, på vilket sätt informationsutbytet ska gå till, hur länge uppgifterna ska bevaras m.m.

Motsvarande situation gäller i samband med vård och omsorg av personer med missbruk eller beroendeproblem samt av personer med psykisk sjukdom eller funktionsnedsättning.

En konsekvens av den organisatoriska ansvarsfördelningen och den ökade mångfalden av aktörer har blivit att samverkan mellan olika aktörer, såväl i frågor om utförandet av själva vård- och om- sorgsinsatserna som kring informationshanteringen, är avgörande för att människor med sammansatta behov ska få en vård och omsorg av god kvalitet och säkerhet.

31.1.2Det delade ansvaret för hälso- och sjukvård och socialtjänst

Den svenska hälso- och sjukvården och socialtjänsten karaktä- riseras bl.a. av en stark decentralisering. Förutom att staten ansvarar för den övergripande vård- och omsorgspolitiken har de 21 landstingen/regionerna samt de drygt 290 kommunerna till- sammans ansvaret för hälso- och sjukvården och socialtjänsten i landet. För att förstå vilket behov av samverkan mellan olika aktörer som finns när det gäller människor med sammansatta behov av hälso- och sjukvård och socialtjänst är det viktigt att kort nämna något om dels de centrala reformer som genomförts på området, dels den ansvarsfördelning som råder mellan landstingen och kommunerna. I sammanhanget bör även uppmärksammas det ökade antalet vårdgivare i hälso- och sjukvården och utförare i socialtjänsten som i dag är delaktiga i individens vård och omsorg.

Kort om centrala reformer på vård- och omsorgsområdet

Socialtjänsten och hälso- och sjukvården utgör väsentliga delar av samhällets totala välfärdssystem. Båda verksamheterna har en helhetssyn som en grundläggande princip. Det är den enskildes totala situation och den enskildes omgivning som ska beaktas. Under 1990-talet genomfördes flera stora huvudmannaskaps- reformer.

Den så kallade Ädelreformen genomfördes 1992 för att upp- giftsfördelningen mellan medicinska och sociala insatser inte ansågs

777

Behov av en mer sammanhållen informationshantering

SOU 2014:23

ändamålsenlig. Lagstiftaren ansåg att det var viktigt att den sociala och medicinska kompetensen integrerades genom att yrkesroller och arbetsorganisation inom socialtjänsten och delar av hälso- och sjukvården samordnades. 2 Genom denna reform fick kommunerna skyldighet att inrätta särskilda boendeformer för service och omvårdnad för äldre och att inrätta bostäder med särskild service för funktionshindrade. Parallellt med detta fick kommunerna också ansvaret för att tillhandahålla hälso- och sjukvård åt dem som bor i särskilda boendeformer och bostäder eller som vistas i dagverk- samhet. Kommunerna fick också möjlighet att erbjuda hälso- och sjukvård till dem som bor hemma (hemsjukvård). Ingen kommunal hälso- och sjukvård på detta område får dock omfatta läkarvård. Ädelreformen innebär även att kommunerna fick ett betalnings- ansvar för personer som blivit medicinskt färdigbehandlande i sluten vård eller med ett annat ord utskrivningsklara patienter.

Före Ädelreformen hade gränszoner mellan sociala och medi- cinska insatser förorsakat en rad olägenheter. Genom att en huvudman – kommunen – fick ansvaret för människors skiftande behov, såväl medicinska som sociala, var avsikten att situationen skulle förbättras. Efter Ädelreformen har ytterligare reformer genomförts som har haft betydelse för vård- och omsorgsområdet.

Lagen (1993:387) om stöd och service till vissa funktions- hindrade, förkortad LSS, infördes 1994. Denna lag är en del av det som kallas för handikappreformen. Lagen innebar att bland annat kommunerna övertog ett betydande verksamhetsansvar från lands- tingen. Syftet med denna reform var att tydligare slå fast den enskildes rätt till hjälp och att stärka funktionshindrades personers inflytande över vilka hjälpinsatser som de vill ha.

Psykiatrireformen år 1995 gav kommunerna ett ökat ansvar för insatser till långvarigt psykiskt sjuka. Genom reformen ålades kom- munerna att erbjuda lämpliga boendeformer och stöd i hemmet för personer med omfattande psykiska funktionshinder. Kommunerna fick även överta betalningsansvaret för personer som efter vård inom landstingets psykiatriska vård bedöms som färdigbehandlade. En tanke med reformen var även att bättre samordna insatserna mellan huvudmännen för den berörda gruppen.

Syftena med reformerna har varit att skapa ett bättre och mer samlat omhändertagande av äldre och andra personer med sam- mansatta behov av både medicinska och sociala insatser.

2 Prop. 1990/91:14 s. 57 f.

778

SOU 2014:23

Behov av en mer sammanhållen informationshantering

Kort om landstingens ansvar för hälso- och sjukvård

Landstingen har enligt hälso- och sjukvårdslagen (1982:763), för- kortad HSL, ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolk- ningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården, besöka läkare inom primärvården, besöka den specialiserade vården och planerad vård. I landstingens planerings- ansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.

Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vård- inrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom lands- tingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem).

Landstingen har ett särskilt ansvar för läkarinsatser, som ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst. Av hälso- och sjukvårds- lagen följer att landstingen till kommunerna inom landstinget ska avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjuk- vården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.

I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vård- platser. För primärvården finns drygt 1 000 vårdcentraler.

779

Behov av en mer sammanhållen informationshantering

SOU 2014:23

Kort om kommunernas ansvar för hälso- och sjukvård och socialtjänst

Av socialtjänstlagen följer att kommunen svarar för socialtjänsten inom sitt område och har det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Det innebär bl.a. ett ansvar för omsorgen av barn och unga, äldre, människor med funktions- hinder och missbrukare. Kommunen ska exempelvis

-sörja för att den enskilde missbrukaren får den hjälp och vård som hon eller han behöver för att komma ifrån missbruket,

-verka för att människor med fysiska eller psykiska funktions- hinder får möjlighet att leva som andra,

-inrätta bostäder med särskild service till människor med fysiska eller psykiska funktionshinder,

-verka för att äldre människor får en möjlighet att leva och bo självständigt under trygga förhållanden, och

-inrätta särskilda boendeformer för service och omvårdnad för äldre i behov av särskilt stöd.

Kommunen ansvarar även för insatser för särskilt stöd och service åt personer med utvecklingsstörning, autism, bestående begåv- ningsmässiga funktionshinder, andra varaktiga fysiska eller psy- kiska funktionshinder. Det kan exempelvis handla om personlig assistans, korttidsvistelser utanför egna hemmet, boende i familje- hem eller bostad med särskild service för vuxna.

Vidare ska varje kommun erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.

När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överenskommelse med en kommun, överlåta skyldigheten att erbjuda hemsjukvård. Den möjligheten har använts i stor utsträck- ning och i dag har drygt tio län kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten. Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i

780

SOU 2014:23

Behov av en mer sammanhållen informationshantering

hemmet har inte räknats som hemsjukvård.3 Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.

Som det har nämnts ovan är det inte möjligt att inom ramen för en överenskommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkar- insatser som den enskilde behöver. Den kommunala hemsjuk- vården samarbetar då med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.

Kort om privata vårdgivare och utförare av socialtjänst

Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården och socialtjänsten i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvård och social- tjänst har utvecklingen gjort att det blivit vanligare att de offentliga aktörerna anlitar privata aktörer som utförare. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idé- burna aktörer.

Inom hälso- och sjukvården finns det ökade antalet privata vård- givare framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus, Lundby sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare i dag. Den största utvecklingen har skett efter 2009. Siffror från Myndig- heten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1022 och av dem drevs 288 i privat regi. År 2011 finns det 1213 vårdcentraler i landet och av dem drivs nu 602 i privat regi. Privatiseringen av primär- vården har därmed gått i en snabb takt mellan 2009 och 2011. Även i den kommunala hälso- och sjukvården ökar antalet privata ut- förare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hemsjukvården.

Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De

3 prop. 1990/91:14.

781

Behov av en mer sammanhållen informationshantering

SOU 2014:23

offentliga aktörerna är som beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentligfinansierade verksam- heter. Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. I dessa fall ansvarar följaktligen inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.

Precis som inom hälso- och sjukvården har kommuner möjlig- heter att sluta avtal med annan om att utföra kommunens uppgifter inom socialtjänsten. Det finns i dag ett antal tänkbara sätt att göra detta. Ett är att genom ett avtal anlita en extern leverantör som åtar sig att för kommunens räkning varaktigt och självständigt utföra en eller flera tjänster på socialtjänstens område. Ett sådant avtal inne- bär dock inte att kommunen kan frånhända sig till övergripande ansvar som huvudman för verksamheten. Det innebär exempelvis att kommunen alltid har ett ansvar för den utförda verksamhetens inriktning och kvalitet. Ansvaret omfattar även uppföljning och utvärdering. En kommun kan även köpa enstaka platser eller tjänster på privata anläggningar. I sådana fall har kommunen inget ansvar för verksamhetens inriktning, men alltjämt för att de insatser den enskilde får håller god kvalitet.

Många kommuner har även valt att införa valfrihetssystem enligt lagen (2008:962) om valfrihetssystem, förkortad LOV, på socialtjänstens område, vilket innebär att antalet privata utförare har ökat de senast åren. LOV har gjort det möjligt för kommuner som vill konkurrenspröva verksamheter att överlåta valet av ut- förare av stöd, vård- och omsorgstjänster på socialtjänstområdet till individen. Precis som för hälso- och sjukvården anger kommunen i ett förfrågningsunderlag de villkor som leverantören ska uppfylla för att bli godkänd. LOV förändrar inte det faktum att kommunen är huvudman för verksamheten och har därmed ansvar för att tjänsterna tillhandahålls individen enligt lagstiftningen och att de motsvarar uppställda kvalitetskrav.

Fram till 2011 hade 248 av landets 290 kommuner sökt och beviljats stimulansmedel för att förbereda eller utveckla valfrihets- system enligt LOV inom äldreomsorg och när det gäller stöd- insatser för personer med funktionsnedsättning. Det är vanligast att valfrihetssystemen omfattar en kombination av service och omvårdnadsinsatser inom hemtjänsten, enligt Socialstyrelsens delrapport Stimulansbidrag LOV (2012).

782

SOU 2014:23

Behov av en mer sammanhållen informationshantering

Enligt Sveriges Kommuner och Landsting, SKL, fanns i oktober 2013 valfrihetssystem infört i sammanlagt 144 kommuner. Ytter- ligare 37 kommuner hade vid detta tillfälle beslutat om att införa valfrihetssystem enligt LOV medan 42 kommuner beslutat att inte göra detta. I 38 av de 67 kommuner som ännu inte tagit ställning utreds frågan om ett införande.

Kommunernas möjligheter att genom upphandling eller in- förande av valfrihetssystem överlåta utförandet av socialtjänst till privata aktörer har gjort att mångfalden av utförare i dag är betydligt större än vad det har varit tidigare. Under 2010 fanns det t.ex. 687 externa utförare inom kommunernas valfrihetssystem, enligt Konkurrensverkets delrapport Kommunernas valfrihets- system – så fungerar konkurrensen. Utredningen om framtida valfrihetssystem inom socialtjänsten presenterar i sitt betänkande att siffran i juli 2013 var uppe i 846 unika utförare anslutna till kommunernas valfrihetssystem.4 I betänkandet uppmärksammas även att det totalt finns 618 privata utförare anslutna till kom- munernas valfrihetssystem rörande hemtjänst. Det kan jämföras med Konkurrensverkets undersökning som visar 499 privata ut- förare beträffande hemtjänst i slutet av 2011.5 Under perioden, drygt 18 månader, har således 119 privat utförare tillkommit, en ökning med 24 procent.

31.1.3Stora krav på informationsöverföringen

Utredningen kan konstatera att frågan om informationsutbyte mellan olika aktörer har kommit att bli central för att individens behov ska kunna tillgodoses. Såväl i hälso- och sjukvården som i socialtjänsten har antalet aktörer ökat markant under den senaste tioårsperioden. Ur ett informationshanteringsperspektiv har det bland annat medfört att den information som tidigare hölls sam- man i en eller ett fåtal organisationer nu hanteras av ett flertal aktörer.

Behov av informationsöverföring mellan hälso- och sjukvården och socialtjänsten kan uppstå i en mängd olika situationer och i flera olika typer av verksamheter. Det kan exempelvis handla om sådana integrerade verksamheter där en eller flera vårdgivare arbetar tätt tillsammans med en eller flera utförare av socialtjänst.

4SOU 2014:2, Framtidens valfrihetssystem – inom socialtjänsten, s. 73.

5Kommunernas valfrihetssystem, Konkurrensverket, Rapport 2013:1.

783

Behov av en mer sammanhållen informationshantering

SOU 2014:23

Den vård och omsorg om äldre som bedrivs inom ramen för sär- skilda boenden är ett tydligt exempel på en sådan verksamhet där kommunalt finansierad hälso- och sjukvård och socialtjänst respektive landstingsfinansierade läkarinsatser arbetar integrerat. Motsvarande exempel finns även inom psykiatrin och missbruks- och beroendevården.

Under utredningens arbete har vi även sett bredare verksam- heter där exempelvis socialtjänst, hälso- och sjukvård, Försäkrings- kassa och Arbetsförmedling arbetat integrerat i samma lokaler och enligt sådana arbetssätt och principer som om de vore en enda organisation. Sådan samverkan har vi även sett mellan socialtjänst, hälso- och sjukvård och Kriminalvård. Även utanför en sådan mer integrerad verksamhet kan finnas stora behov av att ta del av uppgifter antingen från socialtjänsten eller från hälso- och sjuk- vården. Det kan exempelvis röra slutenvården eller den öppna specialiserade vården som möter individer med sammansatta behov av vård och omsorg.

Ordet integrera betyder att förena, sammanföra, samordna och fullständiga genom införlivning. Utredningen använder uttrycket för att beskriva de verksamheter där flera aktörer, både offentliga och privata vårdgivare och utförare i socialtjänst m.fl., är in- blandade och samverkar för att ett en enskild ska få den vård och omsorg som man har rätt att kräva. Oavsett grad av integration handlar det i dessa verksamheter om ett grundläggande behov att med individens bästa för ögonen samverka över organisatoriska gränser för att möjliggöra en så bra vård och ett så bra om- händertagande som möjligt. En förutsättning för det är att behörig personal har tillgång till den information som behövs i varje enskilt fall.

31.2Rättsliga krav på samverkan mellan huvudmän

Behovet av att samverka mellan olika huvudmän och de vårdgivare och utförare som finansieras av huvudmännen är stort och behöver ständigt utvecklas. För att stimulera och förmå olika organisationer att samverka kring enskilda finns ett antal bestämmelser i lag och föreskrifter som ställer krav på vård- och omsorgssektorns aktörer. I det följande nämns några.

784

SOU 2014:23

Behov av en mer sammanhållen informationshantering

31.2.1Samverkan på övergripande nivå

Samverkan regleras på olika sätt mellan olika huvudmän och kan avse avtal mellan huvudmän men även bedrivas genom kommunal- förbund eller gemensam nämnd. En allmän bestämmelse om samverkan mellan myndigheter finns i förvaltningslagen (1986:223) där det ställs krav på att varje myndighet ska lämna andra myndig- heter hjälp inom ramen för den egna verksamheten (6 §). Kom- muner och landsting har möjlighet att samverka genom t.ex. kommunalförbund eller gemensamma nämnder (t.ex. 3 kap. 3 a § kommunallagen [1991:900]).

Socialtjänsten ska medverka i samhällsplanering och ska i sam- arbete med andra samhällsorgan, organisationer, föreningar och enskilda främja goda miljöer i kommunen (3 kap. 1 § SoL). En kommun får sluta avtal med ett landsting, försäkringskassa och arbetsförmedling om att samverka i gemensamma projekt inom ramen för socialtjänstens uppgifter, (jfr 2 kap. 6 § SoL). Bak- grunden till bestämmelsen är att effektivare utnyttja samhället resurser för att bättre kunna tillgodose människors behov av olika stödåtgärder. För att kunna uppnå en bra rehabilitering för den enskilde måste utveckling av samverkansformer hela tiden ut- vecklas och förbättras. En bra samverkan mellan olika aktörer ger möjlighet till individuella lösningar och ett bättre omhänder- tagande. Motsvarande bestämmelse finns för landstinget del i 3 § HSL.

Vidare ska landstinget ingå en överenskommelse med kom- munen om ett samarbete i fråga om personer med psykisk funktionsnedsättning (8 a § HSL och 5 kap. 8 a § SoL). Det ställs således krav på kommuner och landsting att ingå formaliserade, övergripande överenskommelser.

Motsvarande krav har nyligen även tillkommit med avseende på missbruksvården. Här åläggs landstinget enligt 8 b § HSL att ingå en överenskommelse med kommunen om ett samarbete i fråga om personer som missbrukar alkohol, narkotika, andra beroende- framkallande medel, läkemedel eller dopningsmedel. För kom- munens del regleras motsvarande samverkansskyldighet i 5 kap. 9 a § SoL. Motivet med de nya kraven är att stärka samverkan mellan landsting och kommuner för att bättre tillgodose behovet av vård, stöd och behandling.6 I propositionen framgår även att rege-

6 Prop. 2012/13:77.

785

Behov av en mer sammanhållen informationshantering

SOU 2014:23

ringen avser att följa upp huvudmännens överenskommelser med fokus på tillgänglighet, samordning och kvalitet i insatser.

31.2.2Samverkan på individuell nivå

Det finns i lagstiftningen flera exempel på när hälso- och sjukvården och socialtjänsten ska samverka på en individuell nivå, dvs. i och för vården och omsorgen om enskilda personer. För att sådan samverkan ska fungera och för att resultatet ska bli ända- målsenligt för individen måste de olika aktörerna utbyta information.

Av 4 kap. 5 § Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete anges särskilt att den som bedriver socialtjänst ska identifiera de processer där samverkan behövs för att säkra kvaliteten på de insatser som ges i verksamheten. På motsvarande sätt ska vård- givare enligt 4 kap. 6 § identifiera de processer som behövs för att förebygga att patienter drabbas av vårdskada. Det ska framgå av processerna och rutinerna hur samverkan ska bedrivas i den egna verksamheten. Exempel på sådan samverkan är t.ex. informations- överföring mellan olika yrkesgrupper, exempelvis biståndshand- läggare, sjuksköterskor och omvårdnadspersonal eller mellan olika arbetsskift. Men det kan också avse en samordnad planering av- seende vården och omsorgen. Utöver detta ska verksamhetens processer och rutiner säkerställa att det blir möjligt att samverka med andra verksamheter och myndigheter kring vård och omsorg. 7

Nedan nämns kortfattat några av de områden där hälso- och sjukvård och socialtjänst har ett särskilt ansvar för samverkan på individuell nivå.

Individuell plan för den som är i behov av insatser från både socialtjänst och hälso- och sjukvård

När en enskild har behov av insatser från både socialtjänsten och från hälso- och sjukvården ska kommunen tillsammans med lands- tinget upprätta en individuell plan (2 kap. 7 § SoL). För landstingen del regleras detta i 3 f § HSL. Planen ska bland annat innehålla vilka

7 Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 46.

786

SOU 2014:23

Behov av en mer sammanhållen informationshantering

insatser som behövs, vilka insatser respektive huvudman ska svara för och vilka åtgärder som vidtas av någon annan än landstinget eller kommunen. Kravet på individuella planer förtydligar det ansvar som kommuner och landsting har och behövs för att planera hur en enskilds samlade behov av socialtjänst och hälso- och sjuk- vård ska kunna tillgodoses.8 Avsikten med dessa bestämmelser är att förbättra samverkan mellan kommun och landsting för personer med till exempel psykisk sjukdom, missbruk eller andra personer som behöver insatser både från hälso- och sjukvård och socialtjänst.

Samordnad vårdplanering vid utskrivning från slutenvården

Av lagen (1990:1404) om kommunernas betalningsansvar för viss hälso- och sjukvård samt Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård följer ytterligare krav. Det innebär bl.a. att landsting och kom- muner i samråd ska utarbeta rutiner för samordnad vårdplanering inför utskrivning av patienter och för överföring av information, som t.ex. befintliga planer, mellan vård- och omsorgsgivare i samband med in- och utskrivning av patienter från sluten vård till öppen vård och socialtjänst. Information om patientens behov av hälso- och sjukvård och socialtjänst ska, om det inte finns hinder för detta i sekretesslagstiftningen överföras mellan berörda enheter inom den slutna vården och den öppna vården samt socialtjänsten. Information om patientens behov av hälso- och sjukvård och socialtjänst ska senast samma dag som patientens skrivs ut över- föras från den slutna vården till berörda enheter inom den öppna vården och socialtjänsten. Informationen ska innehålla vårdplanen och övriga väsentliga uppgifter.

Samordning för rehabilitering och habilitering

Vidare är Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2007:10) om samordning för habilitering och rehabilitering tillämp- liga när insatser för enskildas rehabilitering och habilitering inom hälso- och sjukvården planeras och samordnas med omsorgs- insatser för äldre och personer med funktionshinder. Även här ska samordningen dokumenteras i en plan.

8 Prop. 2008/09:193.

787

Behov av en mer sammanhållen informationshantering

SOU 2014:23

Genomförandeplan för barn och unga i hem för vård eller boende

För barn och unga som vårdas i ett hem för vård eller boende eller i ett familjehem ska en plan upprättas över hur vården ska genom- föras (genomförandeplan) och denna ska även uppta åtgärder och insatser som andra huvudmän har ansvar för (jfr 11 kap. 3 § SoL). När det gäller barn och ungdomar är socialtjänsten generellt skyldig att samverka med samhällsorgan, organisationer och andra som berörs i frågor som rör barn som far illa eller riskerar att fara illa. Socialtjänsten ska aktivt verka för att samverkan kommer till stånd (5 kap. 1 § SoL). Det finns även bestämmelser i skollagen (2010:800) om samverkan i frågor som rör barn som far illa eller riskerar att fara illa. Av 3 kap. 8 § skollagen framgår att rektor ansvarar för att se till att elevens behov av särskilt stöd utreds skyndsamt och för att samråd genomförs med elevhälsan om det inte är uppenbart obehövligt.

Individuell plan enligt LSS

Enligt 6 § LSS ska verksamheten bedrivas i samarbete med andra berörda samhällsorgan och myndigheter. När en insats beviljas enligt lagen om stöd och service till vissa funktionshindrade ska den enskilde erbjudas att en individuell plan upprättas. Landsting och kommunen ska underrätta varandra om upprättade planer (10 § LSS).

31.3Utredningens iakttagelser och reflektioner när det gäller integrerade verksamheter

Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. Detta är särskilt viktigt mot bakgrund av att ett bra och samlat omhändertagande ofta är beroende av stöd och insatser av både landsting och kommun samt privata vårdgivare eller privat utförare av socialtjänst. Det gäller både för äldreomsorgen, psykiatrin, missbruks- och beroende- vården och verksamheter för funktionshindrade. Även arbetet med barn och unga ställer stora krav på samverkan mellan hälso- och sjukvård och socialtjänst. Till detta kommer inte heller sällan

788

SOU 2014:23

Behov av en mer sammanhållen informationshantering

ytterligare behov av stöd från andra aktörer som exempelvis skola, polis, kriminalvård, Försäkringskassa, Arbetsförmedling m.fl.

Trots de tidigare reformerna finns det fortfarande samordnings- problem och brister i omhändertagandet. En av bristerna som har påtalats är svårigheter i informationsutbytet mellan vård och omsorg. Under utredningens arbete har vi deltagit i ett stort antal möten, studiebesök, konferenser och seminarier m.m. för att identifiera och kartlägga vilka hinder och utmaningar som finns för en mer sammanhållen informationshantering mellan hälso- och sjukvård och socialtjänst. I det följande anges ett antal av utred- ningens centrala iakttagelser och reflektioner utifrån nämnda aktiviteter och annan kunskapsinhämtning.

31.3.1Vård och omsorg om äldre i särskilt boende och i hemmet

Många äldre som i dag drabbas både av olika typer av sjukdomar och fysiska eller kognitiva funktionsnedsättningar är beroende av att insatserna från socialtjänsten och hälso- och sjukvården fungerar. I dag får äldre dessa behov tillgodosedda antingen inom ramen för särskilt boende eller genom hemsjukvård, rehabilitering och hemtjänstinsatser. Utvecklingen har gått mot att fler äldre med omfattande och komplexa behov av vård och omsorg bor kvar i sina hem. I en rapport från Socialstyrelsen framkommer exempelvis att antalet äldre som bor i särskilt boende har minskat, samtidigt som omfattningen av hemtjänst- och dagverksamheter ökat så att fler äldre kan bo hemma. Ungefär 30 procent av individer i gruppen mest sjuka äldre bor i särskilt boende, medan de övriga bor i ordinärt boende och oftast har stöd från socialtjänsten.9

Som redovisats ovan har utvecklingen samtidigt gått mot att allt fler aktörer och personal är inblandade i vården och omsorgen om de äldre. För att öka patientsäkerheten, höja kvaliteten, behålla kontinuiteten och skapa en helhetsbild av den enskildes behov av vård och omsorg ställs stora krav på informationsöverföring mellan de inblandade aktörerna. Det handlar i detta avseende inte bara om den personal som i vardagen står för insatserna utan även om de aktörer som möter den äldre när något särskilt inträffar, t.ex. när behovet av sjukhusvård uppstår. Siffror från Socialstyrelsen visar

9 Socialstyrelsen, Tillståndet och utvecklingen inom hälso- och sjukvård och socialtjänst, lägesrapport 2013.

789

Behov av en mer sammanhållen informationshantering

SOU 2014:23

exempelvis att omkring 40 procent av de mest sjuka äldre har insatser både från socialtjänsten och öppen och sluten specialist- läkarvård. Andelen mest sjuka äldre som även har sjukvårdsinsatser från primärvård eller hemsjukvård är gissningsvis ännu större, men eftersom primärvården inte ingår i patientregistret har det inte gått att mäta.10

För att förbättra säkerhet och kvalitet för äldre är det i dag nöd- vändigt att relevant information kan överföras mellan den slutna vården, landstingsfinansierad primärvård och övrig öppenvård, kommunal hälso- och sjukvård samt socialtjänst. I samtliga dessa delar kan dessutom organisatoriska gränser förekomma, t.ex. mellan vårdgivare och olika utförare av socialtjänst.

Utredningens generella reflektion är att det regelverk som styr hur information får hanteras inom och mellan inblandade vård- givare och utförare i större utsträckning än vad som är fallet i dag måste stödja en sammanhållen informationshantering. För de aktörer som arbetar tillsammans eller i någon typ av samverkan runt den äldre finns det ett stort behov av en gemensam bild av den enskildes hälsosituation. Vid våra kontakter med verksamhets- företrädare har framkommit att information inte hålls ihop på ett sådant sätt att det bidrar till ökad kvalitet och säkerhet. Vidare anförs inte sällan att närstående många gånger får agera budbärare och hålla de olika aktörerna i vårdkedjan uppdaterade med viktig information.

I en rapport från stiftelsen Leading Healthcare framkommer en tydlig bild av den enskilde och närstående som administratörer och förmedlare av information, kontakter och instruktioner i en situ- ation med många inblandade aktörer kring multisjuka personer.11 För att illustrera de utmaningar som finns refereras här till en situation som beskrivs i den nämnda rapporten. Det handlar om en 79 årig man med 9 diagnoser, omkring 15 läkemedel, viss hjälp från hemtjänsten, heldygnsinsats från maka, 149 dagar i slutenvården senaste 18 månaderna, 53 olika kontakter med ett antal olika läkare i öppenvård, 142 hembesök från 16 olika distriktssköterskor, 54 hembesök från ett antal olika arbetsterapeuter och sjukgymnaster. Under 18 månader framgår bl.a. följande om mannens kontakter med vård och omsorg.

Mannen har vårdats inom sluten sjukhusvård sju olika gånger. Han har haft 26 kontakter med läkare inom fem olika specialistområden inom

10Socialstyrelsen, Registeranalyser av de mest sjuka äldres vård och omsorg, 2013.

11Leading Healthcare, Icke värdeskapande episoder i äldres vårdkedjor, 2012.

790

SOU 2014:23

Behov av en mer sammanhållen informationshantering

den öppna vården. Fyra gånger har han åkt in till sjukhusets akut med ambulans.

Journalen från hälsocentralen består av 128 sidor med 399 notat. Sex olika läkare samt 20 olika distriktssköterskor och två undersköterskor har dokumenterat i läkar- respektive omvårdnadsjournalen. Över 142 hembesök har genomförts av 16 olika distriktssköterskor. Fem olika sjukgymnaster har genomfört 27 hembesök. Lika många hembesök har genomförts av nio olika arbetsterapeuter. I övrigt fanns fyra olika besök dokumenterade om kontakter nattetid med primärvårdens jour- verksamhet.

I dokumentationen från kommunens biståndshandläggare framgår att tre vårdplaneringar har genomförts på sjukhuset i samband med utskrivning därifrån. Vid den första vårdplaneringen får mannen ett egenvårdsintyg vilket ger honom rätt till bistånd från kommunen och hjälp med insatsen ”handräckning till egenvård”. Detta innebär att hemtjänstpersonal kan ge stöd till dialys för att avlasta anhörig maka. Vid en andra vårdplanering dokumenteras att maka sköter mathållning och övrig service i hemmet. Det stöd som behövs är hjälp med dialys två gånger dagligen och dialyssköterska på sjukhuset utbildar den hem- tjänstpersonal som ska ge insatsen. Vid den tredje vårdplaneringen i slutet av perioden tar maka och parets barn upp behovet av kort- tidsvård eftersom vårdbehoven i hemmet blivit alltför omfattande och tar på anhörigas krafter. Anhöriga anhåller dock inte skriftligt om korttidsvård och någon sådan kommer inte till stånd.

Vid några tillfällen finns notat om att personal från sjukhuset tagit kontakt med vårdcentralen eftersom de varit missnöjda med sårvården så som den skötts i hemmet. Från sjukhuset erbjuds utbildning till hemtjänstens personal. Hela undersökningsperioden beskrivs oklar- heter och osäkerheter kring såromläggningar, injektioner, läkemedel och hjälpmedel. Anhörig maka fungerar som budbärare av information mellan sjukhus, vårdcentral, apotek och hemtjänst. Anhörig ger själv injektioner och delar läkemedel. Läkemedel förskrivs från olika klini- ker på sjukhuset samt från vårdcentralens olika läkare. Vid de oklar- heter som ofta uppstår tar anhörig kontakt med vårdcentralen som ber henne söka information från sjukhusets olika kliniker och specialister som har kontakt med mannen.

Exemplet ovan visar på ett flertal olika utmaningar och brister när det gäller vården och omhändertagandet av svårt sjuka äldre. Utöver dessa utmaningar framkommer dessutom att många perso- ner från flera olika organisationer har ett behov av en samlad information om den äldres aktuella hälsa och livssituation.

Även Inspektionen för vård och omsorg, IVO, konstaterar i en rapport att överföringen mellan slutenvård, öppenvård och social- tjänst inte fungerar tillräckligt bra i samband med de övergångar i

791

Behov av en mer sammanhållen informationshantering

SOU 2014:23

vårdkedjan som uppstår när äldre skrivs ut från slutenvården. 12 IVO pekar bl.a. på att rutiner inte tillämpas, att IT-systemen inte fungerar fullt ut, att uppgifter om omvårdnadsbehov och läke- medelsordinationer riskerar att inte följa med från en instans i kedjan till nästa. Hela tre fjärdedelar av de chefer och den personal i kommuner och primärvård som tillfrågats i myndighetens tillsyn ansåg att aktuell ordinationshandling för läkemedel ofta saknades vid utskrivning. När personal sedan försöker lösa informations- överföringen på andra sätt kan det finnas en risk för att det stjäl tid från själva vården om den äldre. I rapporten framkommer även bl.a. följande.13

I övrigt framkom det av intervjuerna att informationsöverföringen kunde utebli eller försvåras när den äldre sökte sjukhusvård själv, utan att först ha kontaktat hemtjänsten eller hemsjukvården. Den äldre har naturligtvis rätt att göra detta, men följden kan bli att överenskomna rutiner inte fungerar. Den äldre kan ha svårt att förklara sitt hälso- tillstånd eller vilka insatser som annars ges och av vem. Sjukhus- personal, vanligtvis på akutmottagningar, får därmed inte tillräckligt med information om exempelvis vilka läkemedel den äldre redan är ordinerad. Det kan uppstå svårigheter att veta vilken verksamhet inom hemtjänsten eller hemsjukvården som ska informeras när den äldre skrivs in.

Även om erfarenheterna från ovan nämnda tillsyn delvis pekar på andra brister än just det legala regelverket, dvs. att rutiner inte tillämpas eller att IT-stöd inte fungerar optimalt, kan samtidigt konstateras att regelverket i större utsträckning än i dag hade kunnat bidra till att reducera några av de uppmärksammade riskerna och bristerna. Om det exempelvis fanns rättsliga förut- sättningar för den som är i behov av viss information att själv ta del av informationen i ett IT-system, dvs. genom direktåtkomst och oavsett om informationen dokumenterats i hälso- och sjukvården eller i socialtjänsten, skulle sannolikt vissa av dessa utmaningar bli mindre.

12Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 6.

13Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 19.

792

SOU 2014:23

Behov av en mer sammanhållen informationshantering

En gemensam bild av individens hälsosituation saknas

Under utredningens arbete har vi kunnat konstatera att de äldres sammansatta behov och dokumentationsreglernas organisations- mässiga uppdelning har medfört problem. I en så pass integrerad verksamhet som äldreomsorgen är det ett problem att dokumenta- tionen styrs av olika regelverk, dvs. patientdatalagen (2008:355), förkortad PDL, för hälso- och sjukvårdsinsatserna och socialtjänst- lagen m.fl. för de sociala insatserna. Det är inte alltid så enkelt för personalen att i enskilda fall veta vilken information som ska doku- menteras enligt vilket regelverk. Det är inte självklart var infor- mation om den äldres humör, aktiviteter, sömn, funktionsnivåer, kosthållning och liknande ska dokumenteras. Om sådana uppgifter dokumenteras i den sociala dokumentationen är den inte tillgänglig exempelvis för primärvårdsläkaren när denne möter den äldre för att utvärdera effekterna av den senaste läkemedelsordinationen.

IVO anför i den tidigare nämnda rapporten att vård- och omsorgspersonal ofta inte vet hur de ska dokumentera på ett korrekt sätt. Samtidigt konstaterar myndigheten att hälso- och sjukvårdsinsatser och sociala insatser ofta flyter ihop för äldre som bor på särskilt boende. Detta kan enligt IVO vara en förklaring till att en dryg tredjedel av korttids- och demensboendena förde anteckningar enligt socialtjänstlagen och patientdatalagen i samma dokument.14

Även utredningens erfarenheter är att vissa verksamheter doku- menterar i samma journal oavsett vilka insatser det handlar om. Det har även i olika sammanhang förts fram önskemål om att det borde vara möjligt att vid behov dokumentera i en gemensam vård- och omsorgsjournal. Samverkansutredningen behandlade just denna fråga men fann betydande lagtekniska svårigheter med ett gemensamt dokumentationssystem för patientjournalföring och sociala anteckningar. Något förslag i frågan lämnades därför inte. Enligt samverkansutredningen fanns dock goda förutsättningar att, i samråd med den enskilde, praktiskt hantera båda slagen av information i t.ex. gemensamma pärmar på äldreboenden.15

Vår uppfattning är att manuell hantering i pärmar inte kan över- vägas som ett ändamålsenligt alternativ i dag. För att höja säker- heten och kvaliteten i vård och omsorg behöver informations-

14Inspektionen för vård och omsorg, Nationell tillsyn av vård och omsorg om äldre – slutrapport 2013, s. 27.

15Samverkansutredningens betänkande; Samverkan – om gemensamma nämnder på vård och omsorgsområdet, SOU 2000:114 s. 256 ff.

793

Behov av en mer sammanhållen informationshantering

SOU 2014:23

hanteringen snarare vara mer elektronisk än vad som är fallet i dag. En manuell hantering saknar dessutom alla möjligheter att svara upp mot det omfattande behov av informationsöverföring som finns mellan de vårdgivare och utförare som möter äldre med sammansatta behov. Det bör därför övervägas hur svårigheterna med att särskilja socialtjänstens omvårdnadsdokumentation från vad som ska betraktas som hälso- och sjukvårdsinformation kan överbryggas. Förutom att det för personalen måste bli lättare att göra rätt, bör olika åtgärder övervägas som förbättrar möjligheterna för de inblandade aktörerna att arbeta tillsammans med stöd av gemensam information om individens hälsosituation.

Frågan om någon form av gemensam dokumentation har inte endast uppstått i relationen mellan hälso- och sjukvård och social- tjänst. Även mellan olika aktörer som i olika former av integrerade verksamheter står antingen för hälso- och sjukvårdsinsatser eller socialtjänstinsatser kan finnas behov av en mer sammanhållen informationshantering. Som exempel kan nämnas de olika vård- givare som tillsammans står för hälso- och sjukvårdsinsatserna i särskilt boende och i hemsjukvården. Det förekommer exempelvis att privata vårdgivare (med kommunal finansiering) står för hälso- och sjukvårdsinsatserna under dagtid på vardagar, medan kom- munens egen hälso- och sjukvårdspersonal har ansvar för samma individer under kvällar, nätter och helger. Inte sällan har patien- terna ett flertal diagnoser, ett omfattande omvårdnadsbehov och behov av medicinska insatser stora delar av dygnet. För en verk- samhet som är organiserad på ett sådant sätt uppstår i dag svårig- heter ur ett informationshanteringsperspektiv. I stället för att ha ett gemensamt system och i det dokumentera tillsammans i en och samma patientjournal ställer regelverket krav på att de inblandade vårdgivarna ska föra sin egen journal.

Det är visserligen möjligt att genom direktåtkomst visa upp information för varandra (sammanhållen journalföring), men det kan ifrågasättas om de möjligheterna är tillräckliga för en verksam- het som är så pass integrerad. Ett exempel utredningen tagit del avsåg en patient som får smärtor vid 16-tiden och då får läkemedel av sjuksköterskan som arbetar för den privata vårdgivaren. När kommunens sjuksköterska kl. 17:30 tar över ansvaret för patienten följs läkemedelsadministrationen upp och ställningstagande till fortsatta åtgärder görs. Liknande exempel uppstår i en mängd situationer, t.ex. när en person i ett flertal dygn vårdas i livets slut- skede och dokumentationen bör vara samlad i patientens journal

794

SOU 2014:23

Behov av en mer sammanhållen informationshantering

oavsett om vården utförs av olika vårdgivare olika tider på dygnet. Motsvarande exempel finns även när det gäller dokumentation mellan olika utförare av socialtjänstinsatser, när ansvaret är upp- delat på olika tider av dygnet eller på olika insatser.

Utredningens generella reflektioner

Utredningen anser att regelverket när det gäller integrerade verksamheter inte på bästa möjliga sätt tillgodoser den enskilde patientens och verksamhetens behov av en sammanhållen informa- tionshantering. Detta är särskilt tydligt för den som bor i särskilt boende och för den som bor i ordinärt boende med insatser från hemsjukvården och socialtjänsten. I sådana verksamheter arbetar all inblandad personal, oavsett organisatorisk tillhörighet, med den enskildes totala hälso- och livssituation.

De gränsdragningsproblem mellan kommuner och landsting som lagstiftaren ville komma till rätta med genom Ädelreformen, upprätthålls alltjämt av de skilda dokumentations- och register- författningarna för hälso- och sjukvården och socialtjänsten. Trots att det inte föreligger någon sekretess mellan den hälso- och sjuk- vård och den socialtjänst som erbjuds inom ramen för sådan verk- samhet som kommunen står för enligt Ädelreformen medför dokumentationsbestämmelserna att gränsdragningsproblemen i stor omfattning kvarstår. Situationen har förstås blivit ännu mer komplex nu när det inte längre alltid är samma kommunala nämnd som står för hälso- och sjukvårds- respektive socialtjänstinsatserna. Sekretessgränser som tidigare inte har funnits, har nu kommit att uppstå i verksamheter där olika organisationer, vårdgivare i sjuk- vård och utförare i socialtjänst, samverkar i äldreomsorgen. I stället för en kvalitetssäker och samlad information om den enskildes vård- och omsorgssituation visar verksamheterna upp en splittrad, oöverskådlig och tidskrävande informationshantering med uppen- bara risker för den enskilde.

Regelverket medför även att det inte är alldeles enkelt att hantera de verksamhetsövergångar som ofta uppstår. I fall där det är flera olika utförare av insatserna finns behov av att information om den enskilde på ett effektivt sätt kan föras över till nästa utförare. Detta gäller särskilt i äldreomsorgen där såväl insatser från hälso- och sjukvården som från socialtjänsten behövs över en längre tid.

795

Behov av en mer sammanhållen informationshantering

SOU 2014:23

31.3.2Vård och omsorg om personer med psykisk sjukdom och funktionshinder

För personer med psykisk sjukdom och funktionshinder som är i behov av insatser från både hälso- och sjukvården och social- tjänsten finns flera likheter med det som redovisats om äldre- omsorgen ovan. Även inom psykiatrin finns exempel på integrerade verksamheter där samverkan och informationsöverföring är centrala för de behov den enskilde har.

Socialstyrelsen konstaterar i en vägledning för arbetet med psykisk ohälsa hos äldre att flera kommuner och landsting har startat särskilda team med inriktning på äldres psykiska ohälsa.16Teamen tillhör ibland antingen den kommunala verksam- heten eller landstinget, men i några fall är teamen en gemensam angelägenhet för båda huvudmännen. Teamens uppdrag, upplägg och sammansättning varierar men många är tvärprofessionella i den bemärkelsen att de medverkande har olika roller och professioner. Det är exempelvis vanligt att teamen består av läkare, sjukskö- terska, arbetsterapeut, sjukgymnast, skötare, undersköterska, boendestödjare och någon som har en samordnande funktion. För sådana tvärprofessionella verksamheter blir frågor om hur informa- tion får hanteras och utbytas mellan de ingående organisationerna och personalkategorierna en avgörande faktor för att nå de önskade resultaten.

Det finns även flera exempel på samverkan mellan huvud- männen genom olika varianter av samordnade resurser, dvs. att den enskilde får en sammanhållande kontaktperson. Kontaktpersonen kan t.ex. vara vårdbiträden, undersköterskor, boendestödjare eller samordningssjuksköterska. Det kan även erbjudas i form av en care manager eller case manager. En vidare form av samverkan utgörs av ett resursgruppsarbete enligt ACT-modell. En sådan samverkan kan bestå i att alla viktiga personer runt den enskilde med psykisk ohälsa, exempelvis närstående, kontaktperson, sjuksköterska m.fl., samlas i en grupp där alla bidrar med sin del för att tillsammans kunna arbeta utifrån ett helhetsperspektiv. Socialstyrelsen har exempelvis rekommenderat detta vid insatser för personer med schizofreni och liknande tillstånd.

Utredningen har varit i kontakt med verksamheter bestående av tvärprofessionella team som arbetar i samma lokaler för att till-

16 Socialstyrelsen, Att arbeta med äldres psykiska ohälsa – vägledning för socialtjänsten och den kommunala hälso- och sjukvården, 2013.

796

SOU 2014:23

Behov av en mer sammanhållen informationshantering

sammans ge den enskilde det stöd och den vård som behövs. De huvudmän som representeras kan vara både kommunens social- tjänst, landstingets hälso- och sjukvård, kommunens hälso- och sjukvård samt statliga myndigheter som Kriminalvården, Försäk- ringskassan och Arbetsförmedlingen. Om verksamheten omfattar insatser för barn och unga kan även skolan ha en viktig roll.

Nedan återges några exempel från sådana integrerade verksam- heter som utredningen har haft kontakt med för att försöka kart- lägga och identifiera hinder och utmaningar för en mer samman- hållen informationshantering.

Stödverksamhet för unga vuxna

Utredningen har tagit del av erfarenheter från ett samverkansteam som arbetar för att unga vuxna 18–29 år med psykiska besvär ska kunna komma ut i arbetslivet. Teamet har som uppdrag att arbeta tvärprofessionellt med coachning och insatser av psykolog och psykiatriker i syfte att minska psykisk ohälsa och öka aktivitets- och sysselsättningsgrad. Verksamheten samfinansieras av landsting, kommun, Arbetsförmedlingen och Försäkringskassa. Kommunen har ansvar för samordnad ledning och organisatoriskt stöd.

Teammedlemmarna har olika grundanställningar, men verksam- heten är integrerad och genomförs i gemensamma lokaler och med gemensam verksamhetsledning. Fyra psykologer är anställda i kom- munen, en psykiatriker är anställd i landstinget, en coach är kom- munanställd, en coach är anställd av Försäkringskassan och en coach av Arbetsförmedlingen. Den unge vuxne söker sig dit själv- ständigt, men har ofta även andra kontakter med landstinget, Arbetsförmedlingen, Försäkringskassan eller socialtjänst. Sam- verkan utövas med samtycke från den unge vuxne och i den omfattning som behövs. Deltagandetiden är ett år.

När den unge börjar i verksamheten inhämtas alltid ett skriftligt samtycke för teamarbetet, för den gemensamma dokumentationen av behandlingsinsatsen, och för att vid behov samverka med befintliga vårdgivare och handläggare. Samtycket gäller i tre år och kan återkallas. I praktiken har det aldrig hänt att någon har åter- kallat ett samtycke.

Behandlingsinsatsen från teamet består av psykologisk behand- ling, psykiaterkonsult och sociala eller arbetsinriktade insatser från coacher. Teamets uppbyggnad är mycket likt ett psykiatriskt team

797

Behov av en mer sammanhållen informationshantering

SOU 2014:23

som har regelbundna möten. All inskrivning i verksamhet samt alla förändringar i behandling eller deltagande går via teambeslut, eftersom teamet gemensamt ansvarar för planering och upplägg.

Alla insatser bygger på tät samverkan mellan teamets med- lemmar. Det är därför nödvändigt att all väsentlig information kan delas i teamet, vilket görs muntligt på möten. För att kunna säker- ställa god vård vill verksamheten ha ett dokumentationssystem som uppfyller krav på ett journalföringssystem där samtliga inkopplade på samma ärende kan följa andra teammedlemmars insatser. Alla som arbetar runt individen behöver ha samma helhetsbild av den enskildes hälsa och utveckling.

Södertäljemodellen – samverkan mellan kommun och landsting

I Södertälje har det alltsedan psykiatrireformen 1995 funnits ett samarbete mellan landsting och kommun när det gäller psykiatri, Södertäljemodellen. Modellen har sedan utökats att gälla även personer med beroendeproblem. Målgruppen är personer med långvarig och allvarlig psykisk sjukdom som medför varaktiga funktionsnedsättningar (exv. psykossjukdomar). Det finns två huvudmän för verksamheten; landstinget som ansvarar för den psykiatriska behandlingen och kommunerna som har ansvaret för boendestöd, sysselsättning och övergripande planering. Det över- gripande ansvaret för samordning och ledning av det gemensamma arbetet har en gemensam styrgrupp. Det finns två särskilda projektledare, en från varje huvudman.

Parterna samarbetar i öppenvården på gemensamma rehabili- teringsenheter. På varje enhet erbjuds social gemenskap, syssel- sättning, psykiatrisk behandling och boendestöd. Genom det delade huvudmannaskapet på enheterna finns kontakterna med både psykiatrins heldygnsvård och olika kommunala verksamheter kvar. På de fyra enheterna (gårdarna) samverkar personal från kom- munen med personal från landstinget. Verksamheten leds gemen- samt av två chefer, en från respektive huvudman.

Varje individ får två samordnare, en från kommunen och en från landstinget, som har samordningsansvar för stöd och behandling. Att vara samordnare (Case Manager) är en speciell arbetsuppgift, som ligger utanför de specifika yrkesrollerna. Samordnarna har ansvaret för att planeringen för klienten blir genomförd. På varje enhet finns personal i form av läkare, sjuksköterskor, mental-

798

SOU 2014:23

Behov av en mer sammanhållen informationshantering

skötare, arbetsterapeut, psykolog, socialsekreterare, boende- stödjare, rehabiliteringsassistent, receptionist och lokalvårdare.

Personalen har önskemål om att det ska finnas ett gemensamt system för dokumentation eftersom det skulle underlätta deras arbete och i större utsträckning tillgodose den enskildes behov och ge en nödvändig helhetsbild av den aktuella situationen. I dag in- hämtas samtycke från den enskilde om att få dela personuppgifter. Detta upplevs i och för sig inte som ett problem. Däremot bedöms inte förutsättningarna för ett effektivt utbyte av information vara tillräckligt goda, vare sig ur rättslig eller ur teknisk synvinkel. Även om personalen har en faktisk möjlighet att utbyta information med stöd av samtycket skulle det vara mycket mer effektivt om informationsutbytet fick göras genom sådan direktåtkomst där man kan ta del av informationen direkt i varandras system. I dag görs det ett dubbel- eller trippelarbete genom att relevant informa- tion dokumenteras både i kommunens hälso- och sjukvård och i socialtjänsten samt i landstingets hälso- och sjukvård. I praktiken finns i dag tre olika system, kommunen har två (ett för socialtjänst och ett för LSS) och landstinget har ett system. De privata verk- samheter som anlitas har i sin tur sina egna system för doku- mentation av insatsernas genomförande. Verksamheten vittnar även om att informationsöverföringen i viss omfattning är beroende av samordnarens goda minne, dvs. att information finns i huvudet på ett antal centrala aktörer i verksamheten. Ett annat alternativ som framförs och som man anser skulle tillgodose verk- samhetens och de enskildas behov skulle vara en gemensam doku- mentation över verksamhets- och huvudmannagränserna.

Behov av ett stödjande regelverk för informationshantering

Precis som inom äldreomsorgen har personer med psykisk sjuk- dom och funktionshinder behov av att alla de möter har tillgång till relevant och aktuell information som ger en rättvisande bild av individens totala situation. Framväxten av integrerade verksam- heter bestående av tvärprofessionella team som tillsammans arbetar för att förbättra hälsa och livskvalitet för personer med komplexa och sammansatta behov är positiv. Det är en utveckling som lag- stiftaren på många olika sätt vill stödja. Därför anser utredningen att det bör övervägas nya möjligheter för att samtliga inblandade, oavsett organisationstillhörighet, ska få tillgång till den information

799

Behov av en mer sammanhållen informationshantering

SOU 2014:23

som behövs för att på bästa möjliga sätt kunna stötta individen och vara en del i ett samverkande team. Det handlar i första hand om att överväga nya möjligheter för informationsutbyte mellan vård- givare i hälso- och sjukvården och utförare i socialtjänsten. Men det handlar dessutom om möjligheterna för övriga inblandade aktörer att med stöd av den enskildes samtycke ha tillgång till den information som behövs för att kunna vara en effektiv resurs i en integrerad verksamhet. Det kan som nämnts tidigare handla om Försäkringskassa, Arbetsförmedling, Kriminalvård m.fl.

31.3.3Vård och omsorg om personer med missbruk och beroendeproblem

Utredningen har haft kontakt med ett antal olika verksamheter som är inriktade på att stödja personer med missbruk och beroen- den. I stort visar dessa verksamheter upp motsvarande problematik som finns i äldreomsorgen eller inom psykiatrin. Även personer med missbruksproblem är ofta i behov av insatser både från landstingsfinansierad hälso- och sjukvård, kommunal hälso- och sjukvård samt socialtjänst. Inte sällan har individer med missbruks- och beroendeproblem dessutom samtidigt psykisk ohälsa, vilket gör den enskildes behov än mer komplexa.

I dag tillgodoses behoven av samverkan mellan de olika aktö- rerna på olika sätt i olika städer, kommuner och delar av landet. Även verksamheterna har olika behov av att kunna utbyta informa- tion på annat sätt än vad som är möjligt i dag, vilket beror på hur sammansatta problem de enskilda som berörs av verksamheten har. Utredningen har både besökt verksamheter som på det stora hela upplever att informationsöverföringen fungerar tillfredsställande och även verksamheter där man har stora behov av bättre legala och tekniska förutsättningar m.m.

Samverkan rörande individer med komplex problematik

Utredningen har bland annat fått ta del av erfarenheter från en mottagning där tre huvudmän, Kriminalvården (Frivården), kom- munen (socialtjänst) och landstinget (beroendekliniken) arbetar i en integrerad teamverksamhet för att på bästa möjliga sätt tillgodo- se individernas behov. Teamet består i dag av frivårdsinspektörer,

800

SOU 2014:23

Behov av en mer sammanhållen informationshantering

socialsekreterare, psykolog, teamsekreterare, sjuksköterska, psy- kiater samt en sektionsledare. Verksamheten vänder sig till vuxna personer med komplex problematik av missbruk/beroende och psykisk ohälsa och som under kortare eller längre perioder har ett behov av extra tät samverkan mellan olika aktörer. De individer som verksamheten försöker nå har ofta problem inom många områden. De behöver ofta ta itu med missbruk, med sociala problem, med kriminalitet och med aggressionsproblem på samma gång. I dagsläget omfattas omkring 75 personer av teamets insatser. Många av dessa har svårt att upprätthålla en kontinuitet i kontakten. Behandlingen avbryts ofta för inneliggande sjukhus- vård, fängelsevistelse, LVM-vård, eller vård på behandlingshem m.m. Teamets förhållningssätt är att arbeta långsiktigt, vilket bl.a. kan innebära att behandlingen vid sådana avbrott inte avslutas även om det blir ett uppehåll.

När en individ börjar i verksamheten inhämtas ett samtycke som innebär att information får utbytas inom teamet, det vill säga mellan de tre huvudmännen. En individ i behandling har alltid en bas i sin samtalskontakt i teamet, som kan vara antingen en frivårdsinspektör, socialsekreterare, psykolog eller sjuksköterska. Utöver det har individen åtminstone kontakt med en sjuksköterska för medicinering samt psykiater vid behov. Majoriteten av perso- nerna har även en kontakt med myndighetsutövande socialtjänst, över hälften har en pågående kriminalvårdspåföljd och omkring 60– 70 procent har en neuropsykiatrisk diagnos utöver sitt missbruk. Sammantaget har individerna stora svårigheter och omfattande behov av stöd från olika organisationer som kan arbeta tillsammans och utbyta information för att tillgodose de komplexa behoven.

Verksamheten vittnar om att informationshanteringen i dag inte stödjer det täta teambaserade arbetet. De iblandade aktörerna dokumenterar alla i sina dokumentationssystem vilket leder till att den gemensamma bilden av individens behov saknas. Även om det finns samtycke från individen saknas förutsättningar att effektivt ta del av den information som är dokumenterad av respektive aktör genom direktåtkomst. Socialsekreterarna kan exempelvis inte ta del av sådan information landstingets representanter dokumenterar i patientjournalen. Behov finns dock att kunna se t.ex. vilket läke- medel som ordinerats, resultat av drogtester, andra kontakter som individen har och om han eller hon är inlagd i slutenvården m.m. Verksamheten är i dag i stor utsträckning hänvisad till att upp- daterar varandra muntligen. När det gäller arbetet i teamet uppger

801

Behov av en mer sammanhållen informationshantering

SOU 2014:23

verksamheten dock att det är viktig att vara uppdaterad avseende vad som är aktuellt för den enskilde. Det är viktigt att såväl kunna ta del av den vård som individerna får vid akutsjukvård som att dokumentera de behandlingsinsatser och de bedömningar som alla behandlare står för på mottagningen.

Behov av sammanhållen informationshantering

Exemplet ovan tydliggör återigen behovet för vissa typer av inte- grerade verksamheter att ha en sammanhållen individinformation över organisatoriska gränser så att personalen snabbt kan fatta beslut som ligger i linje med tidigare beslutade insatser för individens tillfrisknande eller rehabilitering. I dag arbetar man uteslutande med att inhämta samtycke från den enskilde för att kunna dela nödvändig information. Information om vad som är aktuellt avseende den enskildes hälsotillstånd kan därför inte utbytas tillräckligt effektivt mellan de olika yrkeskategorierna eftersom dokumentationen görs i olika system och inte heller kan nås genom direktåtkomst.

För den enskilde medför personalens brist på information och effektiva möjligheter till informationsöverföring risker. Om de inblandade aktörerna inte har relevant bakgrundsinformation eller dagsaktuell information om nuläget riskerar den enskilde att få en vård och omsorg på osäkra villkor. Inte minst för individer med komplex problematik och samsjuklighet är det nödvändigt att den personal individen möter i vården och omsorgen har tillgång till aktuell information. Dessa verksamheter bygger i grunden på den enskildes fria vilja att delta. Han eller hon har gett sitt samtycke till informationsutbyte över organisatoriska gränser och har därför även rätt att förutsätta att rätt information finns på rätt plats i rätt tid.

Förutsättningarna för att effektivt bidra till bästa möjliga resultat för individen påverkas av vilka möjligheter till informa- tionshantering som finns. Utredningen anser att det bör vara möjligt för verksamheter att använda modern teknik för att hålla en aktuell och kvalitetssäkrad information om individen tillgänglig för personal som över organisatoriska gränser arbetar tillsammans för individens bästa. Utan en sammanhållen informationshantering och gemensam bild av individens hälsosituation motverkas även själva syftet med en tät samverkan mellan hälso- och sjukvård, social- tjänst och andra aktörer.

802

SOU 2014:23

Behov av en mer sammanhållen informationshantering

31.3.4Vård och omsorg om barn och unga

Kommuner och landsting har under de senaste decennierna ålagts att stärka sin samverkan när individens behov kräver det. När det gäller barn och unga är samverkan en viktig nationell angelägenhet som omfattar staten, kommuner och landsting och deras intresse- organisation Sveriges kommuner och landsting (SKL) m.fl. Även myndigheter som Försäkringskassa, Migrationsverket och Polisen kan vara inblandade i samverkan kring ett barn. Andra viktiga samverkansparter på lokal och regional nivå är privat och idéburna aktörer. Samverkan görs på lokal, regional och nationell nivå.17

Under utredningens arbete har kontakter förekommit med flera olika typer av verksamheter som rör barn och unga. Exempelvis kan de så kallade Barnahusen nämnas, som bl.a. vänder sig till barn som utsatts för sexuella övergrepp. I dessa verksamheter före- kommer en omfattande samverkan framför allt mellan landstings- finansierad hälso- och sjukvård, socialtjänst och polis.

Vidare har utredningen haft kontakt med och tagit del av erfarenheter från det så kallade Modellområdesprojektet där SKL och 14 områden ingick (landsting/en region tillsammans med en eller flera kommuner). Projektet pågick under åren 2009–2011 och syftade till att synkronisera insatserna för barns och ungdomars psykiska hälsa. I juni 2011 enades regeringen och SKL om en ny överenskommelse för barn och ungas psykiska hälsa. Arbetet drivs inom ramen för Psynkprojektet (Psykisk hälsa, barn och unga – synkronisering av insatser) och har som fortsatt ambition att synkronisera samhällets alla insatser för barn och unga som har eller riskerar att utveckla psykisk ohälsa. Det handlar bl.a. om att samverka över organisatoriska gränser och behandla psykiska problem i ett tidigt skede. Barn och unga ska ges stöd i sin närmiljö och på ett lättillgängligt sätt. I modellområdesprojektets slutrapport framfördes bl.a. följande angående vilka hinder som det i dag bedöms finnas för ett mer framgångsrikt arbete i första linjen.

Den skisserade modellen möter i dagsläget ett antal utmaningar i för- hållande till lagstiftning, kompetenser och uppdrag. Sekretesslag- stiftningen, personuppgiftslagstiftningen och vissa specifika lagar och riktlinjer för dokumentation i socialtjänst utgör de mest framträdande hindren för att skapa den samlade lägesbild kring barn, unga och familjer som skulle behövas för ett framgångsrikt systemövergripande systematiskt kvalitetsarbete. Därutöver har erfarenheten i Modell-

17 Socialstyrelsens vägledning Samverka för barns bästa – en vägledning om bans behov av insatser från flera aktörer.

803

Behov av en mer sammanhållen informationshantering

SOU 2014:23

områdesprojektet visat att det trots begränsningarna i lagstiftningen ändå finns vissa möjligheter att utveckla gemensamma kvalitetssystem, men kompetensen att driva en sådan utveckling i kommuner och landsting utgör en ytterligare utmaning.

Även om rapporten visar på behov av insatser på fler områden än lagstiftning framkommer det tydligt att det är en helhetsbild av individens och målgruppens situation som eftersträvas. I en verk- lighet med många inblandade aktörer och olika lagstiftning, kompetenser och uppdrag saknas i dag den samlade lägesbild som önskas för att arbeta systematiskt med psykisk ohälsa hos barn och unga.

Ungdomsmottagning

Ett annat exempel där kommuner och landsting samverkar är i ung- domsmottagningarna. En ungdomsmottagning vänder sig typiskt sett till unga människor mellan 12 och 22 år. På mottagningarna arbetar vanligtvis barnmorskor, kuratorer och gynekologer. På vissa mottagningar finns även undersköterskor och psykologer. Verksamheten möter ungdomar bl.a. i frågor som rör kroppen, sexualitet, preventivmedel, graviditet och olika typer av samtal och rådgivning för att tillgodose unga människors behov.

En fungerande ungdomsmottagning ställer stora krav på samverkan på olika nivåer mellan kommuner och landsting. För den enskilde som vänder sig till en ungdomsmottagning upplevs det sannolikt som en enda verksamhet med uppdraget att särskilt stödja ungdomar. Men när det gäller förutsättningarna att doku- mentera och dela information om individerna träder en annan bild fram. Det kan exempelvis konstateras att de olika personal- kategorierna delvis omfattas av olika dokumentationsbestäm- melser. Den landstingsanställda legitimerade personalen har journalföringsplikt och ska i övrigt följa bestämmelserna bl.a. i patientdatalagen. För de kommunala yrkeskategorierna med till- hörighet i socialtjänsten gäller framför allt socialtjänstlagens regler för dokumentation. Detta kan, beroende på hur verksamheten i övrigt är organiserad, bland annat leda till att en ungdoms kontakt med mottagningen blir dokumenterad i en patientjournal för det fall att han eller hon möter landstingets hälso- och sjukvårds- personal. Om den unge har motsvarande kontakt med exempelvis kuratorn från kommunens socialtjänst är det inte säkert att någon

804

SOU 2014:23

Behov av en mer sammanhållen informationshantering

dokumentation över huvud taget görs. För det fall en sådan kontakt förekommer inom ramen för råd och stöd, dvs. utan biståndsbedömning, finns nämligen ingen dokumentations- skyldighet.

En annan faktor i sammanhanget är att informationsutbytet mellan de olika aktörerna inte kan göras genom så kallad direkt- åtkomst. Detta på grund av att lagstiftaren inte har gjort det tillåtet med direktåtkomst mellan hälso- och sjukvården och social- tjänsten.

Särskilda mottagningar för alkohol och drogproblematik

MiniMaria är exempel på mottagningar där Stockholms läns landsting och kommuner i länet i samverkan arbetar med att hjälpa ungdomar och deras familjer med problem som är kopplade till alkohol, droger och psykisk ohälsa. I verksamheten finns även kompetens för att behandla ungdomar med neuropsykologiska funktionshinder. I verksamheten som finns på 23 olika lokala mot- tagningar i länet arbetar t.ex. kuratorer, sjuksköterskor och läkare med rådgivning, samtal, behandling, drogtester, familjesamtal, anhörigsamtal m.m.

MiniMoa är ett exempel på en motsvarande verksamhet som drivs av Landstinget i Östergötland och socialtjänsten i Norr- köpings kommun. Till verksamheten kan ungdomar vända sig för kostnadsfria drogtest, stödsamtal, telefonrådgivning m.m.

Gemensamt för dessa verksamheter är precis som för ungdoms- mottagningarna att de har ett stort behov av samverka både mellan organisationerna och mellan personalen i verksamheten och i relation till övriga delar av socialtjänsten.

805

32En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

32.1Bakgrund

Det finns särskilt stora behov av att hålla ihop informationen när det handlar om personer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Det är utredningens uppdrag att lämna förslag som leder till att den informationshanteringen kan bli mer ändamålsenlig. Ansvarsfördelningen mellan de olika huvud- männen, det stora antalet vårdgivare i sjukvården och utförare i socialtjänsten samt de regelverk som styr informationshanteringen ligger bakom de utmaningar som finns för att kunna skapa en mer ändamålsenlig och sammanhållen informationshantering. Omfat- tande utmaningar finns även inom områden som teknisk utveck- ling, ledning och styrning, informatik, arbetssätt m.m. Samtliga faktorer behöver beaktas för att analysera problemen och stödja utveckling mot en informationshantering med individen och indi- videns behov i centrum.

För kvaliteten i integrerade verksamheter är det utan tvekan centralt att all inblandad personal får den information som behövs för att ge den enskilde bästa möjliga vård och omsorg. De exempel som utredningen har redovisat i förra kapitlet visar att informa- tionshanteringen måste förbättras och underlättas genom en moderniserad lagstiftning. Idag förekommer viss manuell hantering med papperskopior, muntliga informationsöverlämnanden och dubbeldokumentation i integrerade verksamheter. Det före- kommer även att vissa personalkategorier, beroende på orga- nisatorisk tillhörighet, på ett omotiverat sätt blir utestängda från en

807

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

mer effektiv informationshantering. Den enskilde individen som har lämnat sitt samtycke till att alla inblandade får ta del av den information som behövs har ett behov och ett intresse av att informationsöverföringen görs effektivt och på ett kvalitetssäkert och integritetsskyddande sätt. Här har lagstiftningen en viktig funktion att fylla.

Utredningen konstaterar att de olika reglerna för dokumenta- tion i hälso- och sjukvården respektive socialtjänsten ger upphov till problem i sådana integrerade verksamheter där det i praktiken är svårt att avgöra vilka bedömningar och insatser som ska betraktas som socialtjänst och vilka som kan anses utgöra hälso- och sjukvård. Vi anser att sådana gränsdragningsproblem svårligen kan sägas ligga i enskilda individers intresse. Äldre människor som har så omfattande och sammansatta behov att de behöver bo i särskilt boende för att få vård- och omsorgsbehovet tillgodosett är sannolikt mer intresserade av att inblandad personal har en gemensam helhetsbild av hans eller hennes aktuella hälsosituation än av att informationen är splittrad och svåröverskådlig.

Mot bakgrund av de iakttagelser utredningen gjort kan samman- fattningsvis konstateras att regelverket i större utsträckning än vad som är fallet idag behöver stödja utvecklingen mot en mer ändamålsenlig och sammanhållen informationshantering. Det bör därför övervägas hur regelverket kan utformas för att bättre möjliggöra en informationshantering som bidrar till bättre resultat för individer med sammansatta behov.

32.2Vilka förändringar behövs?

För att avgöra vilka förändringar i lagstiftning som behövs är det i ett första skede nödvändigt att ta ställning till hur långt det går att nå med nuvarande regelverk och de förslag som utredningen lämnat i andra delar. Vi kommer därför att i detta avsnitt gå igenom gällande rätt och vad som fattas i lagstiftningen för att uppnå ett ändamålsenligt informationsutbyte mellan hälso- och sjukvård och socialtjänst.

808

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

32.2.1Kort om nuvarande regelverk

Nuvarande reglering möjliggör en form direktåtkomst, samman- hållen journalföring, inom hälso- och sjukvården. Sammanhållen journalföring kan alltså bara användas när det är fråga om hälso- och sjukvård. Direktåtkomst mellan hälso- och sjukvården och socialtjänsten är i dagsläget inte tillåtet.

Direktåtkomst är inte heller tillåten mellan olika aktörer inom socialtjänsten. För socialtjänstens del finns det således ingen mot- svarighet till sammanhållen journalföring i hälso- och sjukvården. Det är inte heller möjligt för den enskilde att genom samtycke tillåta att direktåtkomst kan användas. Därför inhämtas patientens samtycke till att dela information på traditionellt sätt genom pap- perskopior eller muntligt eller genom elektroniska utlämnanden.

Vidare kan uppgifter lämnas från hälso- och sjukvården till socialtjänsten för att en enskild, som själv inte kan samtycka till utlämnandet, ska få nödvändig vård och omsorg och behandling (25 kap. 13 § offentlighets- och sekretesslagen [2009:400], för- kortad [OSL]). Bestämmelsen innebär dock inte uppgifterna kan tillhandahållas genom direktåtkomst utan kan bara tillämpas vid traditionellt utlämnande av uppgifter.

Vidare saknas idag möjligheter för olika aktörer som deltar i vården och omsorgen om en enskild att föra en gemensam patient- journal eller en gemensam social dokumentation. Det finns inte heller möjligheter för vårdgivare i hälso- och sjukvården och utförare i socialtjänsten att dokumentera i en gränsöverskridande vård- och omsorgsjournal eller liknande.

32.2.2Kort om utredningens förslag i övriga delar

Våra förslag i tidigare avsnitt gällande hälso- sjukvård och social- tjänst innebär i korthet följande.

Vi föreslår vissa sekretesslättnader inom den offentligfinansierade vården inom ett landsting eller en kommun. Detta innebär att det under vissa förutsättningar inte ska vara sekretess mellan vård- givares myndigheter och de privata utförare som landstinget eller kommunen anlitat. Detta för att landsting och kommun ska fritt kunna välja vilken myndighetsorganisation och vilka etablerings- former som passar huvudmannen bäst utan att det får negativa konsekvenser för hälso- och sjukvården.

809

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

Det ska även vara tillåtet med direktåtkomst till personuppgifter mellan vårdgivare som finansieras av samma landstingskommunala eller kommunala huvudman. För att den ovan föreslagna lättnaden i sekretessen ska få önskvärd effekt anser vi att det måste vara möjligt med direktåtkomst mellan de olika vårdgivarna och myndigheterna som bedriver hälso- och sjukvård i samma landsting eller kommun. Syftet med ändringen är att det ska vara lika enkelt att utbyta nödvändig information oavsett om vården bedrivs direkt i vårdgivarens regi eller genom en privat utförare. Förslaget innebär däremot inte lättnader jämfört med vad som är fallet idag när det gäller informationsutbytet mellan landstingsfinansierad och kom- munalt finansierad hälso- och sjukvård. Det informationsutbyte som behövs mellan exempelvis kommunal hälso- och sjukvård i särskilt boende eller hemsjukvård och den landstingsfinansierade primärvården kommer med vårt förslag alltjämt få göras i enlighet med reglerna om sammanhållen journalföring.

När det gäller socialtjänsten har vi lämnat förslag till att det inte ska finnas några sekretessgränser mellan olika nämnder i kommunen.

Detta för att göra det möjligt för en kommun att organisera och bedriva socialtjänstverksamhet genom olika myndigheter till exempel stadsdelsnämnder eller beställarnämnder utan att sekre- tessgränser uppstår mellan myndigheterna.

För att möjliggöra att de verksamheter som bedriver socialtjänst ska kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt föreslås att det ska vara tillåtet med direktåtkomst mellan verksam- heter inom socialtjänsten. Direktåtkomsten, dvs. den potentiella tillgången till uppgifter om individer, ska endast kunna avse individer som faktiskt och för tillfället är föremål för insatser enligt socialtjänstlagen (2001:453), förkortad SoL, m.m.

Vidare har vi föreslagit ett undantag från socialtjänstsekretess för att den enskilde ska få nödvändig vård och omsorg och behandling.

Denna sekretessbrytande regel gör det tillåtet att i situationer där samtycke inte kan inhämtas lämna ut uppgifter som behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd till andra myndigheter som bedriver socialtjänst och till myndigheter inom hälso- och sjukvården.

810

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

32.2.3Vad behövs ytterligare?

Sammanfattningsvis innebär utredningens förslag att informations- hanteringen förbättras när det gäller tillgången inom både hälso- och sjukvården och socialtjänsten. Dessa förslag har dock ingen direkt påverkan på möjligheterna till en mer sammanhållen informationshantering i verksamheter där den enskilde är i behov av både hälso- och sjukvård och socialtjänst. Visserligen föreslår vi en sekretessbrytande regel som innebär att information kan lämnas ut i sådana fall där den enskilde inte kan samtycka och informationen behövs för att den enskilde ska få nödvändig vård och stöd. Det är dock en bestämmelse som ska tillämpas med varsamhet i enskilda fall och som inte möjliggör ett mer regel- mässigt och automatiserat informationsutbyte mellan olika aktörer i integrerade verksamheter.

Vi kan mot bakgrund av den kartläggning som redovisats ovan konstatera att det finns behov av att modernisera regelverket så att det på ett bättre sätt kan möta de behov som människor med sammansatta behov av vård och omsorg har. För de aktörer som arbetar tillsammans för en ökad hälsa och livskvalitet för enskilda individer bör det bli lättare att skapa en gemensam bild av indi- videns hälsosituation oavsett i vilken organisation grundupp- gifterna är dokumenterade.

32.3Våra överväganden och förslag

32.3.1Inledande utgångspunkter

Vår utgångspunkt är att den information om individen som behövs för att individen ska få bästa möjliga vård och omsorg ska finnas tillhands för den personal som behöver den, oavsett organisatorisk tillhörighet eller verksamhetsområde. För olika former av inte- grerade verksamheter innebär detta att det skulle behövas en ömsesidig tillgång till information över vårdgivargränser, utförar- gränser och huvudmannagränser.

De hinder för en mer sammanhållen informationshantering som idag finns på grund av sekretessbestämmelser och olika doku- mentationsbestämmelser för olika verksamhetsområden bör över- bryggas. Vidare anser vi att regelverket bör ge uttryck för en sådan flexibilitet som krävs för att det ska finnas förutsättningar för en informationshantering som utgår ifrån individens behov. Samtidigt

811

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

behövs en robusthet som ser till att integriteten, säkerheten och kvaliteten garanteras för samtliga individer.

Mot denna bakgrund bör därför analyseras vilka alternativa lös- ningar som står till buds för att ge samtliga inblandade oavsett organisatorisk tillhörighet en samlad gemensam information om individens hälsosituation. Vår utgångspunkt är att modern, effektiv och säker teknik bör användas för att skapa den gemensamma bilden.

Vi anser dessutom att ett framtida regelverk ska minska konse- kvenserna av att olika informationsmängder är dokumenterade i patientjournalen respektive den sociala dokumentationen. Regel- verket bör även möjliggöra att kvaliteten i integrerade verksam- heter kan följas upp, utvecklas och säkras. Slutligen vill utred- ningen understryka att individens behov av integritetsskydd måste tillvaratas och säkras vid utformningen av det nya regelverket.

32.3.2Två alternativa möjligheter bör tillhandahållas

Vår bedömning: För att tillgodose behoven i en sådan komplex verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket till- handahålla flera olika möjligheter till en mer effektiv, ändamåls- enlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som är bäst lämpad för den verksamhet som bedrivs; antingen direkt- åtkomst mellan hälso- och sjukvård och socialtjänst eller en gemensam vård- och omsorgsjournal.

En utgångspunkt för utredningen är att regelverket om informa- tionshantering bör ge verksamheterna möjlighet att arbeta integre- rat fullt ut för att så långt som möjligt kunna använda den gemen- samma kompetensen för att ge god och säker vård och omsorg. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Samtidigt har utredningen under arbetets gång kunnat konstatera att de integrerade verksamheterna är utformade på olika sätt, är integre- rade i olika omfattning och har olika behov av informationsutbyte. Mot den bakgrunden har utredningen övervägt ett antal olika alternativa lösningar för att öka förutsättningarna för en mer

812

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

sammanhållen informationshantering mellan hälso- och sjukvården och socialtjänsten. Området är både komplext och svårnavigerat. Det är svårt att förutse vilka konsekvenser olika alternativa lös- ningar kan få eftersom beroendena är många till grundläggande regelverk om sekretess, hantering av allmänna handlingar, arkiv- frågor och ansvar för dokumentationen.

Vi har under arbetets gång identifierat två alternativa lösningar. Vi bedömer att båda motsvarar de behov som finns i olika typer av integrerade verksamheter. Det ena alternativet handlar om att tillåta direktåtkomst mellan vårdgivare i hälso- och sjukvården och utförare i socialtjänsten. Det skulle exempelvis möjliggöra en mer sammanhållen bild av den enskildes hälsosituation än vad som idag är möjligt. Lite slarvigt uttryck liknar denna lösning en slags sam- manhållen journalföring mellan aktörer i de olika verksamhets- områdena. Var och en av de inblandade aktörerna skulle med denna lösning precis som idag ansvara för egen dokumentation och se till att den lever upp till kraven i de nya lagarna; hälso- och sjuk- vårdsdatalagen och socialtjänstdatalagen m.m. Men de skulle också få en möjlighet att på ett samlat sätt visa upp information för varandra. Det skulle kunna göras såväl i lokala system och gräns- snitt anpassat för den egna verksamheten, men även i lösningar som den Nationella Patientöversikten m.fl.

Det andra alternativet som vi har övervägt handlar om att göra det tillåtet för vårdgivare och de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. En integrerad verksamhet skulle med detta förslag kunna skapa en samlad informationsbärare som både utgör en patientjournal och en social dokumentation. I jämförelse med alternativet direkt- åtkomst är denna lösning förknippad med fler komplicerade juridiska frågor som handlar om ansvaret för vård- och omsorgs- journalen, hantering av allmänna handlingar och arkivering m.m.

I arbetet med att skapa bättre förutsättningar för dessa verk- samheter bör vi vara öppna för att behoven i olika typer av verk- samheter inte är desamma. Vissa verksamheter arbetar så pass integrerat att inte något annat än en gemensam dokumentation är tillräckligt bra. Behovet av en gemensam vård- och omsorgsjournal är sannolikt störst i tätt integrerade verksamheter där det finns ett mer eller mindre dagligt behov av att dokumentera och utbyta information mellan de inblandade vårdgivarna och utförarna. För andra verksamheter kommer det att vara tillräckligt att kunna skapa en gemensam bild av den enskildes behov genom att erbjuda

813

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

varandra direktåtkomst till nödvändiga uppgifter. Utredningen gör därför bedömningen att de skiftande behoven inte kan tillgodoses med enbart en typ av informationsutbyte.

Det finns förmodligen också verksamheter som på grund av sina tekniska förutsättningar har fördel av att välja den ena eller andra formen för informationsutbyte. Båda alternativa är frivilliga möjlig- heter för verksamheterna, som enbart får användas under vissa villkor. Det är t.ex. nödvändigt att kunna erbjuda tillräcklig säker hantering av personuppgifterna. Av dessa skäl kan det också finnas verksamheter som måste genomföra en hel del utvecklingsarbete innan man kommer igång med den ena eller andra formen för informationsutbyte.

Utredningens bedömning är således att de integrerade verksam- heterna bör få möjlighet att välja den form av informations- hantering som är mest ändamålsenlig; ömsesidig direktåtkomst eller gemensam dokumentation.

32.3.3Särskilda kapitel i lagstiftningen

Vårt förslag: I hälso- och sjukvårdsdatalagen respektive social- tjänstdatalagen ska införas ett särskilt kapitel om informations- hantering avseende personer med behov av insatser från både hälso- och sjukvård och socialtjänst. Kapitlet ska inledas med en kort innehållsbeskrivning.

Det informationsutbyte som utredningen föreslår ska bli möjligt mellan hälso- och sjukvården och socialtjänsten är en ny företeelse jämfört med vad som gäller idag. I syfte att göra regleringen mer överskådlig och pedagogisk föreslår vi därför att både hälso- och sjukvårdsdatalagen och socialtjänstdatalagen förses med ett särskilt kapitel som ska reglera vissa frågor om informationshantering rörande enskilda som har behov av både hälso- och sjukvård och socialtjänst. Kapitlen ska inledas med bestämmelser om vad kapitlet reglerar. Av en inledande bestämmelse i respektive lag bör därför framgå att kapitlet innehåller bestämmelser om utlämnande av personuppgifter genom direktåtkomst och om en gemensam vård- och omsorgsjournal. I en sådan bestämmelse ska även lämnas en hänvisning till att vårdgivares möjligheter att lämna ut person- uppgifter till den som bedriver verksamhet inom socialtjänsten

814

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

framgår av bestämmelser i hälso- och sjukvårdsdatalagen. På motsvarande sätt ska anges möjligheterna för den som bedriver verksamhet inom socialtjänsten att lämna ut personuppgifter genom direktåtkomst till vårdgivare framgår av bestämmelser i socialtjänstdatalagen.

32.3.4Utlämnande genom direktåtkomst mellan hälso- och sjukvård och socialtjänst ska vara möjligt

Vårt förslag: Den som bedriver verksamhet inom socialtjänsten ska få medge vårdgivare i hälso- och sjukvården direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling om den enskilde har behov av både socialtjänst och hälso- och sjukvård.

Den som bedriver verksamhet inom socialtjänst får även medge sådan direktåtkomst till personuppgifter som behandlas för dokumentation av genomförande av insatser i form av råd och stöd om den enskilde samtyckt till att personuppgifter behandlas.

På motsvarande sätt ska en vårdgivare få medge den som bedriver verksamhet inom socialtjänsten direktåtkomst till upp- gifter som dokumenterats för ändamålet vårddokumentation, om patienten har behov av både socialtjänst och hälso- och sjukvård.

Grundläggande villkor för denna form av direktåtkomst som anges ovan ska vara att uppgifterna som lämnas ut genom direktåtkomst kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling eller för att förebygga, utreda eller behandla sjukdomar och skador, samt att den enskilde ger sitt samtycke till direktåtkomsten. Bestäm- melser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.

Inledning

När det gäller användningen av it-system som stöd i den dagliga verksamheten och för utveckling har både landsting och kommuner kommit långt. Stora investeringar har gjorts för att skapa förutsättningar för en mer ändamålsenlig informationshantering.

815

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

Den tekniska utvecklingen har varit omfattande och skapar många nya möjligheter. Insatser inom socialtjänsten och den vård som både landsting och kommun ger kräver fortlöpande samarbete i dagliga vård- och omsorgssituationer. För att möjliggöra en gemen- sam och samlad bild med relevant information om enskilda som har sammansatta behov av vård och omsorg kan direktåtkomst vara ett alternativ. Det skulle innebära ett förenklat informationsutbyte och förhoppningsvis gynna den enskilde genom att bättre resultat i vård och omsorg kan nås. Rätt information vid rätt tillfälle ger bättre förutsättningar för inblandade aktörer i integrerade verksamheter att erbjuda hälso- och sjukvård och sociala insatser av rätt kvalitet.

Direktåtkomst är idag exempelvis tillåtet inom hälso- och sjuk- vården enligt regelverket för sammanhållen journalföring Genom den sammanhållna journalföringen i hälso- och sjukvården ges en tillgänglighet till uppgifter om patienter som kan medföra att informationen följer patienten i olika vårdkedjor och vårdpro- cesser. För att ytterligare förbättra möjligheterna till en samman- hållen informationshantering lämnar utredningen i betänkandet även förslag på ökade möjligheter till direktåtkomst mellan vård- givare inom ett landstings eller inom en kommuns ansvarsområde. Därutöver föreslår vi att utförare i socialtjänsten under vissa förut- sättningar ska få utbyta uppgifter om enskilde genom direkt- åtkomst.

Några regler som möjliggör direktåtkomst mellan hälso- och sjukvården och socialtjänsten finns dock inte idag. Vid införandet av patientdatalagen (2008:355), förkortad PDL, konstaterade regeringen att när det gäller överföring av uppgifter från kommunal hälso- och sjukvård till socialtjänst att det många gånger finns behov att socialtjänstpersonal får del av vårddokumentation om patienter i den vardagliga vården och omsorgen om äldre eller funktionshindrade som också inbegriper stöd och eller andra insatser inom socialtjänsten.1 Regeringen föreslog då inte bestäm- melser om gränsöverskridande direktåtkomst för utlämnande av uppgifter från hälso- och sjukvård till socialtjänst eftersom utlämnande genom direktåtkomst är en särskilt integritetskänslig form av utlämnande.

1 Prop. 2007/08:126 s. 173

816

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

Dokumentationsosäkerhet och dubbeldokumentation

Enligt utredningens erfarenhet finns det idag dels en osäkerhet om vad som ska dokumenteras i hälso- och sjukvården respektive i socialtjänsten, dels ibland en dubbeldokumentation till följd av denna osäkerhet. Äldreomsorgen är ett tydligt exempel på ett verk- samhetsområde som idag har vissa möjligheter att dela information mellan socialtjänsten och hälso- och sjukvården eftersom perso- nalen utför både socialtjänst och hälso- och sjukvård. En under- sköterska på ett särskilt boende dokumenterar både i en hälso- och sjukvårdsjournal och i en social dokumentation. Många gånger är det dock, enligt utredningens uppfattning, inte helt klart för undersköterskan vad som ska dokumenteras var. När det gäller sådan dokumentation i integrerade verksamheter finns sannolikt behov av ytterligare riktlinjer från ledningen och annat kunskaps- stöd från t.ex. Socialstyrelsen, som tydligare beskriver vilken information om enskilda som ska dokumenteras i de olika delarna av verksamheten. Undersköterskor står idag med ett ben i hälso- och sjukvården och ett annat i socialtjänsten och ska utifrån denna position försöka avgöra vilka uppgifter som ska dokumenteras var.

Vi tror att en direktåtkomst mellan hälso- och sjukvården och socialtjänsten skulle kunna vara en av flera faktorer som skulle kunna råda bot på den rådande osäkerheten och bidra till en mer effektiv informationshantering med större nytta för den enskilde individen. Om behoven för den enskilde är så sammansatta att det knappt går att skilja på vad som är hälso- och sjukvård och vad som är socialtjänst anser vi att inte att det är helt ändamålsenligt att fokusera på var en viss informationsmängd är dokumenterad. Det viktiga bör istället vara att informationen är tillgänglig för den som i konkreta situationer behöver den för att utföra så bra vård- och omsorgsinsatser som möjligt.

Utredningen anser även att utvecklingsarbeten inom områden som informatik och teknik i stor utsträckning skulle kunna bidra till att minska svårigheterna att avgöra vad som ska dokumenteras var. I arbetet med att ta fram gemensamma termer och begrepp och med att införa en strukturerad vård- och omsorgsdokumentation kan lämpligen även tekniska lösningar införas, som så långt möjligt är förinställda för att kunna hänföra och koppla vissa informa- tionsmängder till hälso- och sjukvården och andra till social- tjänsten. Det skulle då inte vara upp till den enskilde yrkesutövaren att alltid behöva ta ställning till saken. Som exempel på en sådan

817

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

utveckling kan Motala kommuns arbete med strukturerad doku- mentation i socialtjänsten nämnas.

Att tillhandahålla legala möjligheter till direktåtkomst skulle i vissa verksamheter även kunna innebära att yrkesutövaren kan ta del av all relevant information i ett och samma gränssnitt. En möjlig effekt av det skulle vara att behovet av att hänföra viss information till hälso- och sjukvården och viss till socialtjänsten skulle minska. En sådan utveckling skulle även leda till att tillsynen på området kunde bli mer inriktad på att granska helheten när det gäller dokumentationen i verksamheten. Tillsynen på området skulle då kunna inrikta sig på att granska om uppgifterna finns tillgängliga för dem som har behov av det, istället för att kontrollera var en uppgift har dokumenterats.

Vad bör vara grunden för ett utlämnande genom direktåtkomst?

Utredningen anser att direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter är ett fullt möjligt alternativ. Men möjligheten till sådan direktåtkomst måste enligt vår mening vara förenade med tydliga krav som tillgodoser behovet av skydd för den personliga integriteten.

Den grundläggande utgångspunkten i både hälso- och sjuk- vården och socialtjänsten är frivillighet. Det är den enskilde som ska bestämma om han eller hon vill ta emot ett erbjudande om till exempel en viss social tjänst eller inte. Det behov av informa- tionsutbyte som vi har beskrivit i ovan nämnda verksamheter är visserligen omfattande, men å andra sidan behöver information oftast inte färdas före individen. Det uppstår inte sådana behov av snabb tillgång till information som vid akuta hälso- och sjuk- vårdsinsatser eller vid annan oplanerad vård. Det finns därför inte skäl att låta information om individen finnas potentiellt tillgänglig innan han eller hon är aktuell i en viss integrerad verksamhet, t.ex. inflyttning i särskilt boende, beviljande av hemsjukvård, behandlings- start i en integrerad verksamhet för personer med missbruk och psykisk ohälsa.

Ett krav på att samtycke från den enskilde ska inhämtas innan direktåtkomst får medges skulle kunna innebära en bra balans mellan den enskildes behov av förutsebarhet m.m. samtidigt som intresset av förbättrad informationshantering i aktuella fall till- godoses. Utredningen bedömer att det i många fall skulle vara

818

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

tillräckligt att inhämta samtycke från den enskilde när en insats har beslutats eller påbörjats för att behovet av rätt information vid rätt tillfälle ska tillgodoses. Att införa ett krav på samtycke väcker dock frågor om hur informationshanteringen avseende personer som saknar förmåga att samtycka till personuppgiftsbehandling ska hanteras.

Några utmaningar att överväga

När bestämmelser om direktåtkomst övervägs aktualiseras flera frågor av rättslig karaktär. Lagtekniskt behöver exempelvis bestäm- melser om direktåtkomst förenas med sekretessbrytande bestäm- melser, som gör det möjligt för aktörerna att ta del av uppgifter genom direktåtkomst utan hänsyn till sekretess.

Av förarbeten till patientdatalagen framgår vidare att uppgifter som är tillgängliga genom direktåtkomst hos en myndighet utgör allmänna handlingar hos den myndigheten.2 Regeringen anför att om uppgifter görs tillgängliga för andra myndigheter som deltar i ett för system för sammanhållen journalföring, blir uppgiften enligt huvudregeln i 2 kap. 3 § andra stycket första meningen tryck- frihetsförordningen att anses som en förvarad och inkommen allmän handling hos varje ansluten annan myndighet redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.

Utredningen gör bedömningen att motsvarande resonemang skulle bli tillämpligt om uppgifter görs tillgängliga för andra myndigheter genom direktåtkomst också mellan hälso- och sjukvård och socialtjänst. En konsekvens av att sådana uppgifter utgör allmänna handlingar hos alla anslutna myndigheter, oavsett vem som infört uppgifterna i systemet, är att en begäran att få del av sådana uppgifter kan göras hos vem som helst av de anslutna myndigheterna. Vid införandet av bestämmelser om direktåtkomst kan därför även behöva övervägas om det finns behov av bestämmelser om absolut sekretess, som förhindrar en större spridning av uppgifter än vad som är motiverat med hänsyn till det grundläggande behovet för uppgiftsutbytet.

2 Prop. 2007/08:126 s. 123 f.

819

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

Direktåtkomst mellan hälso- och sjukvården och socialtjänsten ska göras möjlig

I hälso- och sjukvårdsdatalagens mening är direktåtkomst en speciell form av elektroniskt utlämnande av personuppgifter till en mottagare utanför vårdgivarens organisation. Direktåtkomst skiljer sig från andra typer av elektroniska utlämnanden genom att det är mottagaren av uppgifterna som bereder sig tillgång till informa- tionen utan att den som lämnar ut informationen vidtar någon åtgärd med informationen vid överföringstillfället, till exempel en sekretessprövning. I de här fallen är det fråga om ett helt auto- matiskt utlämnande. Mot bakgrund av grundläggande bestäm- melser om den enskildes självbestämmande brukar utlämnande genom direktåtkomst anses vara en särskilt integritetskänslig form av utlämnande. I kapitel 11 och 26 går utredningen igenom vad som avses med utlämnande genom direktåtkomst.

När det gäller insatser för äldre och psykiskt sjuka är samverkan mellan hälso- och sjukvård och socialtjänsten är nödvändigt. En bra samverkan mellan olika huvudmän och utförare utgör grunden till att den enskilde får en så god och säker vård och omsorg som han eller hon har rätt att förvänta sig. När det gäller missbruksproblem är det två huvudmän som har ansvaret för vården. Båda huvud- männens insatser måste i många fall samordnas för att individens behov ska kunna tillgodoses utifrån ett helhetsperspektiv. Utred- ningen har noterat att man idag löser frågan om informa- tionshanteringen genom att inhämta samtycke från den enskilde. Samtycke och delaktighet med den enskilde individen är grunden och målet med insatserna inom både vård och omsorg. En viktig utgångspunkt är att den enskilde ska medverka och aktivt ta ansvar för vilka insatser som man vill ha.

I ovan nämnda verksamheter handlar det om ett informa- tionsutbyte som behövs kontinuerligt och som gäller både upp- gifter om vård och omsorg. När det gäller integrerade verksam- heter med vård- och omsorgsinsatser över en längre tid är verksamheterna och insatserna många gånger så sammankopplade att det inte går att urskilja var eventuella gränser går. En förutsättning för en bra vård och ett bra omhändertagande i dessa verksamheter är att alla inblandade har tillgång till rätt information

– oavsett om uppgifterna dokumenterats i en patientjournal eller i den sociala dokumentationen.

820

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

Vi anser att det skulle kunna förbättra såväl de medicinska som sociala insatserna att tillåta direktåtkomst mellan socialtjänsten och hälso- och sjukvården när det gäller uppgifter om enskilda som har behov av insatser både från hälso- och sjukvården och från social- tjänsten. Det skulle även kunna höja kvaliteten på dokumenta- tionen och minska riskerna för att viktig information inte når rätt mottagare, t.ex. läkaren i hemsjukvården, bara för att uppgifterna råkar vara dokumenterade i den sociala dokumentationen istället för i patientjournalen. Direktåtkomsten skulle ge bättre förut- sättningar för primärvårdsläkaren att ta emot, utreda och behandla den äldre personen med sammansatta behov av vård-och omsorgs- insatser. Vidare skulle det bli möjligt att skapa en röd tråd i dokumentationen. En direktåtkomst möjliggör utvecklingen av ett gränssnitt som presenterar information från olika utförare sida vid sida på ett sådant sätt att mottagaren får den överblick som krävs för att effektivt och säkert kunna fatta bra beslut om vård- och omsorgsinsatserna. Det krävs därför omfattande utveckling i frågor som rör informatik och teknik för att kunna realisera de nyttoeffekter som en direktåtkomst till uppgifter i integrerade verksamheter skulle kunna ha.

Även om varje inblandad vårdgivare och utförare dokumenterar i sina system behöver således ett gränssnitt utvecklas som gör att innehållet i dessa olika system kan presenteras på ett överskådligt och ändamålsenligt sätt. Det skulle kunna göras i lokala och mer verksamhetsanpassade lösningar och gränssnitt, men även genom att använda regionalt eller nationellt framtagna lösningar som exempelvis den Nationella Patientöversikten (NPÖ).

När det gäller informationsutbytet inom den kommunala hälso- och sjukvården gäller att uppgifter får utbytas genom direkt- åtkomst i de fall kommunen bedriver hälso- och sjukvård genom flera myndigheter, exempelvis geografiskt avgränsade nämnder som alla står för hälso-och sjukvården inom sitt geografiska område. Det är helt naturligt att olika myndigheter inom en kommun som alla bedriver hälso- och sjukvård ska kunna ha direktåtkomst till varandras uppgifter. Vi kan inte blunda för att behovet av ett sådant informationsutbyte är lika stort, om inte ännu större, mellan den hälso- och sjukvård och den socialtjänst som bedrivs i de särskilda boendeformerna.

Även vid direktåtkomst skulle förvisso gränsdragningsfrågor om vad som är att betrakta som hälso- och sjukvårdsinformation

821

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

och socialtjänstinformation finnas kvar, men konsekvenserna av en sådan uppdelning skulle bli avsevärt mindre än idag.

Utredningen vill hävda att utlämnande genom direktåtkomst mellan aktörer i integrerade verksamheter medför goda förut- sättningar att förverkliga det grundläggande syftet med Ädel- reformen; att kunna ge personer med behov av långvariga insatser från både hälso- och sjukvård och socialtjänst samordnade insatser. Sammantaget talar övervägande skäl för att det ska vara möjligt för hälso- och sjukvården och socialtjänsten att, under vissa förut- sättningar, utbyta uppgifter genom direktåtkomst.

Närmare förutsättningar för utlämnandet genom direktåtkomst

Mot bakgrund av vad som redovisats föreslår utredningen att det ska bli tillåtet för vårdgivare och för de som bedriver verksamhet inom socialtjänsten att medge varandra direktåtkomst till vård- dokumentation respektive uppgifter som behandlas för doku- mentation av genomförande av beslut om bistånd, stödinsatser, vård eller behandling, om uppgifterna rör en enskild med behov av både socialtjänst och hälso- och sjukvård. Detta under förut- sättning att uppgifterna behövs för vården och insatserna och att den enskilde samtycker till det. Bestämmelser som reglerar detta ska finnas för respektive verksamhet i hälso- och sjukvårds- datalagen och i socialtjänstdatalagen.

De uppgifter som den som bedriver verksamhet inom social- tjänst ska få medge vårdgivare direktåtkomst till är personuppgifter som behandlas för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. Direktåtkomst ska även få medges till personuppgifter för att genomföra insatser i form råd och stöd om den enskilde samtyckt till personuppgiftsbehandlingen. Upp- gifterna som får omfattas av direktåtkomst är alltså uppgifter i samband med genomförande av insatser. Direktåtkomst ska alltså inte vara tillåten avseende uppgifter om handläggning inför beslut om bistånd.

Vårdgivare får medge den som bedriver verksamhet inom socialtjänst direktåtkomst till vårddokumentation avseende den enskilde som är föremål för socialtjänstens insatser. Med vård- dokumentation avses personuppgifter som behandlas för ändamål som avses i 2 kap. 5 § 2 och 3 i vårt förslag till hälso- och sjukvårdsdatalag. Det är uppgifter som behövs för att fullgöra

822

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter samt för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Definitionen av begreppet vårddokumentation finns angiven i utredningens förslag till hälso- och sjukvårdsdatalag.

Vårdgivare och de som bedriver verksamhet inom socialtjänsten får bara medge varandra direktåtkomst om uppgifterna rör en enskild med behov av både hälso- och sjukvård och socialtjänst. Det är således individens behov av samverkan mellan hälso- och sjukvård och socialtjänst i frågor om informationshantering som ska vara vägledande. För att ömsesidig åtkomst ska bli aktuell krävs att den enskilde får insatser enligt socialtjänstlagen. Insatserna för den som har behov av både vård och omsorg ska grunda sig på beslut om bistånd eller genomföras som råd och stöd. Förut- sättningarna för direktåtkomst är således i praktiken knutna till genomförande av insatser enligt socialtjänstlagen antingen med stöd av beslut om insats eller med stöd av att den enskilde har samtyckt till att få insatser i form av råd och stöd och samtyckt till att dessa uppgifter behandlas.

För att den som bedriver verksamhet inom socialtjänsten ska få medge vårdgivare inom hälso- och sjukvården direktåtkomst till personuppgifter krävs att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården. På motsvarande sätt krävs att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stöd- insatser, vård eller behandling för att en vårdgivare ska få medge direktåtkomst till den som bedriver verksamhet inom social- tjänsten.

Det som utredningen vill uppnå är att det ska vara möjligt att, med den enskildes behov och bästa för ögonen, genomföra insatser i de integrerade verksamheterna med bästa möjliga informations- underlag. Direktåtkomsten ska av den anledningen endast vara tillåten under den tid som den enskilde har behov av både hälso- och sjukvård och socialtjänst, dvs. får de planerade insatserna, se vidare avsnitt 32.3.6.

Utredningen föreslår också, som ett grundläggande villkor för att vårdgivaren och den som bedriver verksamhet inom social- tjänsten ska få medge varandra direktåtkomst, att den enskilde samtycker till det. Redan idag bygger de integrerade verksam- heternas informationsutbyte på att den enskilde har brutit sekre-

823

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

tessen mellan de olika verksamheterna genom att lämna sitt sam- tycke. För att de integrerade verksamheterna ska kunna ge den enskilde god vård och omsorg är den enskildes delaktighet ofta i hög grad nödvändig. Det är därför naturligt att den enskilde också får ta ställning till formen för informationsutbyte – om det utbyte av uppgifter som behövs för insatserna ska få göras genom direk- tåtkomst. För att ytterligare tillgodose den enskildes behov av inte- gritetsskydd tydliggörs genom utredningens förslag att utläm- nandet genom direktåtkomst ska begränsas till den tid när ett sådant behov av informationsutbyte föreligger för individen. Längre fram redogörs för vårt förslag om att utlämnande genom direktåtkomst endast får äga rum så länge den enskildes insatser inom socialtjänsten pågår. Genom författningskonstruktionen tydliggörs även att det aldrig kan vara fråga om en större potentiell tillgång till uppgifter om individer än vad som motsvaras av de konkreta behoven i varje enskild situation.

För vissa former av integrerade verksamheter kan behovet tillgodogöras såväl enklast och bäst genom ömsesidig direkt- åtkomst mellan hälso- och sjukvårds och socialtjänst. Sådana verksamheter kan då välja detta alternativ. Ett system för direkt- åtkomst kan utformas på ett sådant sätt att det för användarna i det närmaste framstår som en gemensam dokumentation. En ända- målsenlig teknisk implementering kan således möjliggöra att de som arbetar tillsammans för att tillgodose individens behov av hälso- och sjukvård och socialtjänst får en gemensam bild av indivi- dens hälsosituation och behov. Ett exempel på en sådan teknisk lösning som syftar till att skapa en sådan översiktsbild om en individ är hälso- och sjukvårdens Nationella patientöversikt, NPÖ.

Det finns naturligtvis en mängd andra sätt att arrangerar informationsutbytet genom direktåtkomst på, där ett exempel helt enkelt är att de olika verksamheterna ges direktåtkomst till de delar av varandras system där de aktuella individernas personuppgifter behandlas. En sådan lösning innebär att hälso- och sjukvården och socialtjänsten kan hitta och titta i varandras system, utan att en gemensam bild eller översikt skapas. Vid en sådan direktåtkomst är det nödvändigt att vårdgivaren och den som bedriver verksamhet i socialtjänsten ser till att endast uppgifter rörande enskilda som har lämnat sitt samtycke är tekniskt åtkomliga genom direktåtkomst. En vårdgivare eller den som bedriver verksamhet inom social- tjänsten får således inte medges en större potentiell tillgång till

824

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

personuppgifter än vad som är lagligt med hänsyn till bestäm- melserna i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.

Vidare finns en mängd olika tänkbara scenarion för vilka aktörer som kan samarbeta i frågor om direktåtkomst enligt utredningens förslag. Det kan exempelvis handla om att en vårdgivare inom kommunal hälso- och sjukvård på särskilt boende eller i hemsjukvården utbyter uppgifter genom direktåtkomst med den eller de utförare av socialtjänst som står för insatser till den enskilde. Det kan även handla om att vårdgivare i den landstings- finansierade delen av hälso- och sjukvården lämnar ut uppgifter genom direktåtkomst till den enskildes utförare av socialtjänst. Även det omvända omfattas naturligtvis också av utredningens förslag, dvs. att socialtjänsten lämnar ut uppgifter till en lands- tingsfinansierad vårdgivare. På ett sådant sätt kan exempelvis en primärvårdsläkare ges möjlighet att ta del av aktuella och relevanta uppgifter som dokumenterats inom ramen för socialtjänsten.

32.3.5Direktåtkomst avseende vuxna med inte endast tillfälligt nedsatt beslutsförmåga

Vårt förslag: Om den enskilde inte endast tillfälligt saknar för- måga att samtycka till direktåtkomsten får den som bedriver verksamhet inom socialtjänsten medge vårdgivare direktåtkomst till personuppgifter som behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling. Detta under förutsättning att uppgifterna kan antas ha betydelse för den vård eller behandling som är nödvändig med hänsyn till den enskildes hälsotillstånd. På motsvarande sätt får vårdgivare genom direkt- åtkomst lämna ut uppgifter till den som bedriver socialtjänst om uppgifterna kan antas ha betydelse för att genomföra insatser som är nödvändiga med hänsyn till den enskildes behov. I båda fallen är en grundförutsättning att den enskilde har behov av insatser både från hälso- och sjukvård och socialtjänst. Bestäm- melser som reglerar detta ska finnas i hälso- och sjukvårds- datalagen respektive socialtjänstdatalagen.

Utredningen föreslår bestämmelser i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen för att möjliggöra att även vuxna med en inte endast tillfälligt nedsatt beslutsförmåga ska kunna dra nytta av

825

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

möjligheten till direktåtkomst i integrerade verksamheter. Det är nödvändigt för att på bästa sätt kunna tillgodogöra den enskildes behov av vård och omsorg.

Vi anser att det inte skulle vara acceptabelt att de som inte har samma möjligheter att värdera information och lämna samtycken till informationsutbytet skulle ställas utanför möjligheterna till integrerad vård och omsorg med ändamålsenlig informations- hantering. Dessa personer som kan ha svårt att själva vara infor- mationsbärare har sannolikt ett större behov av fungerande informationsöverföring än andra individer. Samtidigt måste både insatserna och informationshanteringen genomföras med respekt för den enskildes självbestämmande och integritet. Förutsätt- ningarna för att hantera uppgifter om den enskilde måste därför vara rimliga med hänsyn till de olika intressen som gör sig gällande.

Den som saknar förmåga att samtycka till vård eller sociala insatser och den informationshantering som föranleds av vården och omsorgen har ett alldeles särskilt behov av lagstiftning som ger ökad trygghet och skydd. Därför lägger vi förslag som möjliggör ett säkert och effektivt informationsutbyte även avseende personer med inte enbart tillfälligt nedsatt beslutsförmåga.

En vårdgivare som deltar i en integrerad verksamhet och avser att göra uppgifter tillgängliga genom direktåtkomst för den som bedriver verksamhet inom socialtjänsten måste bedöma om patienten har förmåga att lämna ett samtycke till direktåtkomsten. Beslutsförmågan bör bedömas i relation till förmågan hos personen att tillgodogöra sig information om den aktuella personuppgifts- behandlingen och självständigt överväga och ta ställning till åtgärden. Utredningens uppfattning är att en persons förmåga att i det aktuella avseendet ge uttryck för sin inställning måste bedömas i det enskilda fallet och som utgångspunkt vara neutral i för- hållande till funktionshinder, diagnoser m.m. Utgångspunkten ska alltid vara att så långt möjligt låta den enskilde själv ta ställning.

Villkoren för att direktåtkomst ska kunna användas för utbyte av vård och omsorgsdokumentation i integrerade verksamheter när den enskilde själv inte kan ge sitt samtycke är att den enskilde har behov av insatser både från hälso- och sjukvården och från social- tjänsten och att uppgifterna kan antas ha betydelse för att han eller hon ska få de insatser som han eller hon behöver. De grund- läggande förutsättningarna motsvarar således de som gäller för individer som kan ta ställning till informationsutbytet.

826

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

När en patient inte kan samtycka till att ta emot hälso- och sjukvårdsinsatser är praxis, så som vi uppfattar det, att personalen ger patienten den vård man bedömer vara det bästa för patienten. Om patienten inte kan samtycka ges vården således utifrån en bedömning av vad som är bäst för patienten i det enskilda fallet.

Bland annat mot bakgrund av vad som får anses utgöra praxis vid ställningstagande till hälso- och sjukvårdsinsatser för personer som inte kan samtycka till vården gör utredningen bedömningen att det även i integrerade verksamheter bör göras en samlad bedömning av vilken vård och vilka insatser som är bäst för den enskilde i det enskilda fallet och vilken information som då är nödvändig att ta del av. Om personalen, i förekommande fall med stöd av närstående, bedömt vilken insats som är bäst för individen i det enskilda fallet bör personalen även få dela den information som är nödvändig för att vård- och omsorgsinsatserna ska kunna utföras i rätt tid och med hög kvalitet och säkerhet.

När det gäller utlämnande av uppgifter på annat sätt än genom direktåtkomst finns redan idag ett undantag från sekretess avseende den som saknar beslutsförmåga. I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan vårdgivare eller till den som bedriver verksamhet inom socialtjänsten (25 kap. 13 § OSL). Utredningen har föreslagit att motsvarande lättnad i sekretessen ska gälla för uppgifter inom socialtjänsten, se kapitel 21.

Vi anser att utlämnande av uppgifter genom direktåtkomst för att erbjuda insatser i en integrerad verksamhet till den som inte själv kan lämna sitt samtycke ska kunna göras under samma villkor som gäller vid andra typer av utlämnande. Om uppgifterna behövs för att den enskilde ska få nödvändiga insatser i den integrerade verksamheten ska uppgifterna få utbytas med hjälp av direkt- åtkomst mellan de deltagande aktörerna.

Utredningen anser att även den som har nedsatt beslutsförmåga måste få dra nytta av ett mer ändamålsenligt informationsutbyte mellan hälso- och sjukvård och socialtjänst. Med ett bättre informationsutbyte följer bättre förutsättningar för att erbjuda en god vård och omsorg.

827

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

Vidare anser utredningen att behovet av skydd för den enskildes personliga integritet tillgodoses på flera olika sätt. En sådan omständighet är att den direktåtkomst som föreslås endast får före- komma när den enskilde har behov av insatser både från social- tjänsten och från hälso- och sjukvården. Någon potentiell tillgång till uppgifter om individer ifall dessa konkreta behov inte föreligger ska således inte få förekomma. Vidare föreslår vi i det följande, för att ytterligare anpassa möjligheten till direktåtkomst efter den enskildes behov av ett sådant informationsutbyte, att direktåtkomst endast får vara tillåten så länge den enskilde har insatser från socialtjänsten. Därutöver gäller de olika lagstiftningarnas grund- läggande regler om behörighetsstyrning och åtkomstkontroll m.m. även vid den direktåtkomst det här är fråga om.

32.3.6Direktåtkomst är tillåten endast så länge det konkreta behovet finns

Vårt förslag: Den som bedriver verksamhet inom socialtjänsten får medge vårdgivare inom hälso- och sjukvården direktåtkomst endast under den tid den enskilde är föremål för genomförande av bistånd, stödinsatser, vård eller behandling hos den som bedriver verksamhet inom socialtjänsten.

En vårdgivare får medge den som bedriver verksamhet inom socialtjänst direktåtkomst endast under den tid den enskilde är föremål för genomförande av beslut av bistånd, stödinsatser, vård eller behandling hos den som bedriver socialtjänst.

Vi föreslår att det tydligt regleras under vilken tid ömsesidig direktåtkomst är tillåten. Syftet med möjlighet till direktåtkomst är att den insats som den enskilde ska få ska kunna genomföras med bästa möjliga informationsunderlag. Detta underlag består av dokumentation från såväl hälso- och sjukvården och socialtjänsten. När den planerade insatsen är genomförd ska direktåtkomsten upphöra. Uppgifterna får inte finnas potentiellt tillgängliga efter det att insatsen för den enskilde är slutförd.

För vårdgivarens del begränsas tiden under vilken direktåtkomst får medges av att vårdgivaren enbart får medge den som bedriver socialtjänst direktåtkomst till uppgifter som avser en patient med behov av både hälso- och sjukvård och socialtjänst, och som är

828

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

föremål för genomförande av bistånd, stödinsatser, vård eller behandling hos denne.

Den som bedriver verksamhet inom socialtjänst begränsas förstås av samma villkor när det gäller den tid under vilken utläm- nande genom direktåtkomst är tillåten. Förutsättningarna för direktåtkomst är knuten till genomförande av insatser enligt socialtjänstlagen antingen med stöd av beslut om insats eller med stöd av att den enskilde samtyckt får insatser i form av råd och stöd och samtyckt till att dessa behandlas. Direktåtkomsten ska därför enbart vara tillåten under den tid som den enskilde får de planerade insatserna.

32.3.7Direktåtkomst ska föregås av risk- och sårbarhetsanalys och överenskommelse om skyddet för uppgifterna

Vårt förslag: Innan direktåtkomst får medges ska en vårdgivare och den som bedriver verksamhet inom socialtjänst genomföra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses

Av överenskommelsen ska framgå hur personuppgifts- ansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.

Vårt förslag om möjlighet till direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter innebär en ny form av informationsutbyte. Syftet är att rätt information ska finnas tillgänglig för rätt personer. Sådana möjligheter att använda ny teknik för ändamålsenligt informationsutbyte får bara användas under säkra former. Såväl den som bedriver verksamhet inom socialtjänsten som vårdgivaren är ytterst ansvariga i sina verk- samheter för en säker behandling av personuppgifter i verksam- heten. Detta ansvar innebär t.ex. att personuppgifter ska behandlas på ett sådant sätt att obehöriga inte kan ta del av dem. I detta ansvar för personuppgifterna som behandlas i verksamheten ingår också att utlämnande av uppgifter måste göras på ett säkert sätt.

Mot den bakgrunden ska vårdgivare och den som bedriver socialtjänst vara skyldiga att göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för

829

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

personuppgifterna ska tillgodoses. Risk- och sårbarhetsanalysen ska därmed utgöra en grund för överenskommelsens innehåll och omfattning. Därutöver kan risk- och sårbarhetsanalysen även resultera i att en av aktörerna, eller aktörerna tillsammans, kan behöva vidta åtgärder innan uppgifter lämnas ut genom direkt- åtkomst. Om risk- och sårbarhetsanalysen exempelvis visar att någon av de samverkande aktörerna saknar väsentliga förutsätt- ningar att skydda personuppgifterna i enlighet med de krav på informationssäkerhet och integritetsskydd som ställs vid behandling av så pass känsliga personuppgifter det här är fråga om, ska dessa brister avhjälpas innan exempelvis utlämnande genom direkt- åtkomst medges. I risk- och sårbarhetsanalysen bör bland annat ingå frågor om de samverkande aktörernas förutsättningar att leva upp till hälso- och sjukvårdsdatalagens och socialtjänstdatalagens krav på behörighetsstyrning och åtkomstkontroll.

Vidare föreslår utredningen att det av överenskommelsen ska framgår hur personuppgiftsansvaret är fördelat avseende på frågor om tekniska och organisatoriska säkerhetsåtgärder.

Hur överenskommelsen ska tecknas är upp till parterna att avgöra. Det kan exempelvis vara fråga om en kombination av flera åtgärder, t.ex. ett avtal som i vissa delar kompletteras av att parterna ansluter sig till ett eller flera utpekade regelverk för informationssäkerhet. Se vidare kapitel 10 och 26 där utredningen mer utförligt behandlat kravet på risk- och sårbarhetsanalys samt överenskommelse.

32.3.8Bevarande och gallring vid direktåtkomst

Vårt förslag: När handlingar är tillgängliga för en vårdgivare och den som bedriver socialtjänst genom direktåtkomst gäller skyldigheten att bevara handlingen endast den som ansvarar för handlingen. Övriga myndigheter får gallra handlingen. Bestäm- melser om detta överförs från patientdatalagen till hälso- och sjukvårdsdatalagen och nya bestämmelser tas in i socialtjänst- datalagen.

Utredningen föreslår att den nuvarande bestämmelsen i 6 kap. 8 § patientdatalagen om bevarande och gallring vid sammanhållen journalföring överförs till hälso- och sjukvårdsdatalagen. Bestäm-

830

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

melsen är även tillämplig för sådan direktåtkomst mellan hälso- och sjukvård och socialtjänst som omfattas av utredningens förslag och har därför i allt väsentligt redovisats tidigare i detta betänkande. Se avsnitt 13.4.7.

I socialtjänstdatalagen införs en ny, motsvarande bestämmelse. Se avsnitt 27.2.6.

32.3.9Fråga om absolut sekretess

Vår bedömning: På grund av den rättsliga konstruktionen för direktåtkomst mellan hälso- och sjukvård och socialtjänst kommer den potentiella tillgången till uppgifter inte att vara större än vad som omfattas av det konkreta behovet. Några bestämmelser om absolut sekretess som motsvarar vad som idag gäller vid samarbete genom sammanhållen journalföring i hälso- och sjukvården bedöms därför inte behövas.

Villkoren för att få medge en sådan direktåtkomst som utredningen har föreslagit är att den enskilde har behov av insatser från både hälso- och sjukvård och socialtjänst och att uppgifterna kan ha betydelse för att genomföra bistånd, stödinsats eller vård och behandling och att patienten samtycker till det.

I ett samarbete som innefattar direktåtkomst enligt dessa regler kommer det därför inte att finnas potentiellt tillgängliga uppgifter om enskilda som inte är aktuella hos en myndighet som får en förfrågan om utlämnande av allmän handling. De handlingar om enskilda som en myndighet har tillgång till genom denna form av direktåtkomst är handlingar som berör enskilda som är aktuella hos myndigheten. Handlingarna får endast finnas tillgängliga genom direktåtkomst under den tid som den enskilda är föremål för insatser hos den som bedriver socialtjänst. Utredningen gör därför bedömningen att det inte behövs någon bestämmelse om absolut sekretess för uppgifter som är tillgängliga genom denna typ av direktåtkomst. Det behövs – till skillnad mot vad som gäller vid sammanhållen journalföring – ingen sådan regel om absolut sekre- tess för att förhindra åtkomst till uppgifter som en myndighet inte har rätt att ta del av. Direktåtkomst genom sammanhållen journal- föring innebär ju en potentiell tillgång även till uppgifter som myndighet inte har rätt att ta del av, vilket inte är fallet när det

831

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

gäller sådan direktåtkomst i integrerade verksamheter som vi föreslår.

En begäran att få ta del av en allmän handling ska alltså prövas av den eller de myndigheter hos vilken begäran görs, se 2 kap. 14 § tryckfrihetsförordningen. Vid prövningen hos den aktuella myndigheten bör vanlig hälso- och sjukvårds- eller socialtjänst- sekretess gälla för sådana uppgifter med samma styrka som vanligt, dvs. med ett omvänt skaderekvisit. Det innebär att möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestäm- melser få ta del av allmänna handlingar hos de deltagande myndig- heterna är mycket små.

32.3.10Gemensam vård- och omsorgsjournal för personer med behov av både socialtjänst och hälso- och sjukvård

Vårt förslag: Det ska, under vissa förutsättningar, vara möjligt för vårdgivare och för de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. En förutsättning är att den enskilde har behov av både hälso- och sjukvård och socialtjänst samt att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården.

Grunden för samarbetet ska vara en överenskommelse mellan en eller flera vårdgivare och den eller de som bedriver verk- samhet inom socialtjänsten.

Vård- och omsorgsjournalen ska få föras för att behandla personuppgifter som behandlas för ändamålet vård- dokumentation tillsammans med de personuppgifter som behövs för att genomföra beslut om bistånd, stödinsatser, vård eller behandling inom socialtjänsten. Bestämmelserna som medger detta ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.

Inledning

En grundläggande förutsättning för att samverkan ska fungera genom hela vårdkedjan är att den information som behövs för att planera den enskildes vård och omsorg finns tillgänglig och kan

832

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

överföras mellan olika vård- och omsorgsgivare. Sådan samverkan försvåras i integrerade verksamheter av den omständigheten att dokumentationen i princip måste föras på flera olika ställen. Inom äldreomsorgen kan det handla om att dokumentation om en individ hanteras i en patientjournal hos primärvården där läkaren gör sina anteckningar, i en patientjournal hos den kommunala hälso- och sjukvården och – när det gäller de sociala insatserna – i en socialtjänstakt. De två sistnämnda dokumentationskategorierna – patientjournalen i kommunal hälso- och sjukvård och social- tjänstakten – förs ofta inom ramen för en och samma myndig- hetsorganisation i en integrerad verksamhet. Därutöver tillkommer inte sällan dokumentation om den äldre i sluten- och specia- listsjukvården.

Motsvarande exempel finns även på flera andra områden, t.ex. inom ramen för ungdomsmottagningarnas verksamhet, inom psykiatrin, i vården och omsorgen om personer med funktions- hinder eller i missbruks- och beroendevården. I princip kan det röra alla områden där en enskild har behov av samordnade insatser från både hälso- och sjukvård och socialtjänst.

Bestämmelserna om dokumentation inom hälso- och sjukvården respektive socialtjänsten har till viss del olika syften och utgångs- punkter. Skillnaderna kan sägas återspegla den grundläggande skillnaden mellan hälso- och sjukvårdslagstiftningen och social- tjänstlagstiftningen. Medan beslut om insatser enligt socialtjänst- lagen regelmässigt utgör myndighetsutövning mot enskild efter att beslut fattats av socialnämnden, eller av tjänstemän på delegation av nämnden, bygger regleringen av hälso- och sjukvården i högre grad på ett professionellt ansvar från den enskilde yrkesutövaren.

Genom åren har det ofta diskuterats om det borde vara tillåtet med en gemensam dokumentation när det till exempel gäller vård och omsorg av äldre. I de verksamheter där det inte finns sekretessgränser finns dessutom alltjämt svårigheter med att avgöra vilken dokumentation som ska hänföras till sjukvård respektive socialtjänst. Denna uppdelning mellan olika journalsystem är svår att motivera i integrerade verksamheter, t.ex. i särskilda boende.

Socialstyrelsen har i rapporten Nationell tillsyn av vård och omsorg om äldre (delrapport 2012) konstaterat att dokumenta- tionen i samband med vård och omsorg om äldre behöver utvecklas. Av rapporten framgår bland annat att det finns behov av utveckling i verksamheterna avseende hanteringen av dokumenta- tionen, främst enligt socialtjänstlagen men även enligt patient-

833

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

datalagen. Många planer för genomförande av insatserna är knapphändiga, följs inte upp och i sämsta fall saknas sådana planer. Den äldre personens delaktighet i upprättandet av planen framgår inte av dokumentationen. Löpande journalföring enligt social- tjänstlagen och patientdatalagen blandas samman.

Lagtekniska utmaningar

Samverkansutredningen undersökte bland annat om det var möjligt med en gemensam dokumentation i den kommunala vård och omsorgen av äldre i de särskilda boendena.3 Den utredningen konstaterade att de lagtekniska svårigheterna att åstadkomma en möjlighet till gemensam dokumentation var betydande och skulle förutsätta ändringar i en rad olika bestämmelser.

Samverkansutredningen analyserade alternativet att avskaffa kravet på dokumentation i socialtjänsten när det gäller löpande anteckningar i äldreomsorgen under förutsättning att dokumenta- tionen istället gjordes inom hälso- och sjukvården (i patient- journalen). En sådan möjlighet sågs dock inte som lämplig mot bakgrund av de principiella skillnader som finns mellan hälso- och sjukvården och socialtjänsten och de olika syften som dokumenta- tionen på respektive område ska tjäna. De sociala anteckningarna ska även kunna användas som instrument för uppföljning och utvärderingen inom socialtjänsten och skulle med en sådan lösning ”medikaliseras” i sådan grad att de inte längre skulle tjäna sitt huvudsyfte att vara ett arbetsinstrument inom socialtjänsten. Vi delar denna bedömning. En gemensam journal bör enligt vår mening kunna uppfylla både de syften som gäller för dokumenta- tion inom socialtjänsten och också de som gäller för patient- journalen.

Samverkansutredningen anförde vidare att under förutsättning av att man iakttar gällande bestämmelser om sekretess och s.k. inre sekretess finns det i princip inte något som hindrar att man i en integrerad verksamhet håller nödvändig dokumentation om den enskilde samlad. Utredningen konstaterade att frågan många gånger kan lösas praktiskt i samråd med den enskilde. Mot bakgrund av att de lagtekniska svårigheterna att åstadkomma en möjlighet till gemensam dokumentation var betydande och att

3 Samverkan – Om gemensamma nämnder på vård och omsorgsområdet, SOU 2001:114.

834

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

tillgången till information redan fanns föreslog inte utredningen någon förändring när det gäller en samlad dokumentation.

Vi anser att nödvändig information måste kunna hållas samlad med hjälp av modern teknik. Vi vill därför utmana svårigheterna att hitta lagtekniska lösningar för en gemensam vård- och omsorgs- journal. Om lagstiftaren vill ha en lösning på de dokumentations- och informationsförsörjningsproblem som finns i vården och omsorgen av personer som har behov av både hälso- och sjukvård och socialtjänst så måste lagstiftaren också ta ansvar för att lösa de lagtekniska problemen.

När det gäller frågan om sekretess mellan de olika vårdgivare och utförare av socialtjänst som deltar i vården och omsorgen av personer med behov av gemensamma insatser från dessa aktörer så förutsätter själva samarbetet mellan aktörerna att sekretessen måste brytas på något sätt. Det är inte möjligt att genomföra integrerade insatser utan att utbyta nödvändig information. Detta löser man idag genom att den enskilde som vill ha och behöver de aktuella insatserna samtycker till att få vård och omsorg i denna form och till det informationsutbyte som det förutsätter.

Andra tveksamheter med gemensam dokumentation över huvudmannaskapsgränser som Samverkansutredningen tog upp hänger samman med tryckfrihetsförordningens bestämmelser om all- männa handlingar. Bedömningen av frågan om en handling ska anses allmän utgår – när det gäller handlingar som en myndighet producerar själv – från begreppen upprättad och förvaras. Utgångs- punkten i dessa bestämmelser är att det är myndigheten själv – eller något organ som är knutet till myndigheten – som upprättat handlingen; om någon annan upprättat handlingen blir den i stället att anse som inkommen när den anländer till myndigheten.

Frågan är om det överhuvudtaget går att förena med dessa regler att en myndighetsperson från en självständig myndighet (t.ex. i landstinget) i den myndighetens verksamhet upprättar handlingar hos en annan myndighet (t.ex. i kommunen). I vilken myndighets verksamhet är då handlingen upprättad och var ska den anses förvarad? Blir handlingen att anse som upprättad hos den första myndigheten och inkommen till den senare? I så fall måste handlingen också bevaras av den första myndigheten. På grund av denna komplexitet analyserade inte Samverkansutredningen någon möjlighet till gemensam journal över huvudmannagränserna utan nöjde sig med att analyser möjligheten till gemensam journal för

835

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

olika verksamheter inom samma myndighet, dvs. enbart för kom- munens hälso- och sjukvård och socialtjänst.

Frågan om konsekvenserna av tryckfrihetsförordningens regler är onekligen komplex. Om lagstiftaren vill lösa denna fråga är det sannolikt nödvändigt att se på utmaningen konstruktivt och pragmatiskt. Vilka värden är det som reglerna om allmänna handl- ingar vill skydda? Hur får vi offentlighetsprincipen att fungera även vid ett samarbete om en gemensam vård- och omsorgsjournal?

När det gäller den gemensamma journalens status som allmän handling i offentlig hälso- och sjukvård eller socialtjänst så utgår utredningen från att en gemensam journal skulle ha status som handling som är upprättad och förvarad hos alla de inblandade myndigheterna. En jämförelse kan göras med sammanhållen journalföring när det gäller dessa handlingars status.4 Handlingar som framställs i en myndighets egen verksamhet är upprättade hos den myndigheten. Om en befattningshavare som för in en uppgift i en journalhandling tillhör en myndighet, blir upptagningen en förvarad och upprättad allmän handling hos den egna myndigheten. Om det är befattningshavare från flera myndigheter som för in uppgifter i en gemensam journal får handlingen enligt vår mening anses som allmän handling hos samtliga deltagande myndigheter. En person som vänder sig till någon av myndigheterna för att begära ut en handling ska få frågan prövad av den myndigheten.

Vår utgångspunkt är att den gemensamma journalen ska uppfylla de krav på dokumentation som gäller i såväl hälso- och sjukvården som socialtjänsten. Så länge som den gemensamma journalen används bör den därför vara gemensam i de flesta bemärkelser. Den ska t.ex. uppfylla de syften motiverar att uppgifterna dokumenteras inom socialtjänsten. Därför måste den som utför socialtjänst och få betrakta handlingen som upprättad och förvarad i den egna verksamheten. Detta bör enligt vår mening inte hindra att en vårdgivare samtidigt betraktar samma journal som en allmän handling i den egna verksamheten. Ett sådant synsätt bör enligt vår mening kunna tillgodose de rättighets- och skyddsaspekter som finns när det gäller förvarande och utlämnande av allmänna handlingar. Med tanke på den stränga sekretess som råder för uppgifterna såväl i hälso- och sjukvården som social- tjänsten är dock möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handl-

4 Prop. 2007/08:126, s 123 f

836

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

ingar hos myndigheter inom hälso- och sjukvården eller social- tjänsten mycket små.

Uppgifter, som hos offentliga vårdgivare eller offentliga utfö- rare av socialtjänst utgör allmän handling, utgör inte allmän handling hos privata vårdgivare eller utförare, som har tillgång till uppgifterna i den gemensamma journalen. Frågan om samma journaluppgifts utlämnande kommer därför att regleras på olika sätt, beroende på om begäran görs hos en offentlig eller hos en privat vårdgivare eller utförare. Hantering av sådana förfrågningar regleras i patientsäkerhetslagen (2010:659) och i socialtjänstlagen.

Sammanfattningsvis bedömer utredningen att 2 kap. tryck- frihetsförordningen inte utgör hinder mot att flera vårdgivare, och flera som bedriver verksamhet inom socialtjänsten, offentliga eller privata, för gemensam journal.

Tillämpningsområdet för de lagar som ska reglera möjligheten till en gemensam vård- och omsorgsjournal är enligt utredningens bedömning redan formulerade så att behandling av personuppgifter i integrerade verksamheter omfattas. När det gäller tillämp- ningsområdet för den föreslagna hälso- och sjukvårdsdatalagen så ska lagen tillämpas på vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Enligt socialtjänstdatalagen ska lagen tillämpas vid behandling av personuppgifter inom socialtjänsten för kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse.

Personuppgiftsbehandling m.m.

Frågan om för vilka ändamål uppgifter i en gemensam vård- och omsorgsjournal får behandlas kan behöva analyseras. I vårt förslag till hälso- och sjukvårdsdatalag liksom i vårt förslag till social- tjänstdatalag kommer det att finnas bestämmelser som reglerar för vilka ändamål som det är tillåtet för vårdgivare respektive utförare av socialtjänst att behandla uppgifter. En vårdgivare får t.ex. behandla personuppgifter inom hälso- och sjukvården enligt vårt förslag till förtydligad ändamålsbestämmelse om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningen anser att de uppgifter som behövs för vården av patienten också omfattar sådana uppgifter som behöver behandlas i en integrerad verksamhet. På motsvarande sätt kan de tillåtna ändamålen inom socialtjänsten tolkas.

837

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

Syftet med att föra patientjournal är enligt nuvarande lagstiftning i första hand att bidra till en god och säker vård av patienten. Utredningen gör bedömningen att denna bestämmelse inte behöver ändras för att stämma överens med syftena att föra patientjournal i en gemensam vård- och omsorgsjournal. Även dokumentationen av socialtjänstinsatser i en integrerad verksamhet har betydelse för den medicinska vården. Det kan allmänt sett vara av värde för den medicinska personalen att ha en helhetsbild av patienten för att kunna erbjuda denne en god och säker vård.

I gällande rätt och vårt förslag till hälso- och sjukvårdsdatalag finns bestämmelser om patientens rätt att få uppgifter i en patient- journal förstörda. Någon motsvarande bestämmelse finns inte vad gäller uppgifter i en dokumentation inom socialtjänsten. När det gäller tiden för bevarande och för arkivering behöver vidare över- vägas om de regler som avser dokumentation i hälso- och sjukvården ska gälla för den gemensamma journalen. Det innebär i sådant fall en längre bevarandetid för uppgifter som härrör från socialtjänsten i en gemensam journal än vad som annars gäller.

Det finns idag viss skillnad i de regler som gäller möjligheten för den enskilde att få ta del av sin dokumentation inom hälso- och sjukvården och socialtjänsten. Normalt gäller inte sekretess till skydd för en enskild i förhållande till den enskilde själv. I hälso- och sjukvården finns dock i gällande rätt bestämmelser i offent- lighets- och sekretesslagen samt patientsäkerhetslagen som i vissa fall medför att sekretess kan bedömas föreligga även gentemot den enskilde själv. Någon sådan motsvarande begränsning finns inte för uppgifter inom socialtjänsten. Utredningen kommer att lämna förslag om att reglerna om sekretess mot patientens själv avseende uppgifter om honom eller henne tas bort (se avsnitt 33.5.2). Skill- naden vad som gäller den enskildes möjlighet att ta del av handlingar kommer därför inte att bestå om utredningens förslag blir verklighet. Utredningen kommer även lämna förslag som gör det tillåtet för vårdgivare och den som bedriver verksamhet inom socialtjänsten att komma överens om att medge individen direkt- åtkomst till den gemensamma journal som förs om honom eller henne.

838

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

Tillsyn

Samverkansutredningen tyngsta argument för att inte föreslå en gemensam journal var svårigheterna att kunna dela upp doku- mentationen i samband med tillsyn. När denna utredning lämnade sitt betänkande var fortfarande tillsynen över vård och omsorg uppdelad på olika myndigheter. Denna utmaning vad gäller en gemensam vård- och omsorgsjournalen är inte längre aktuell. Idag har Inspektionen för vård och omsorg ett uppdrag som täcker båda verksamheterna. Vi kan därför tvärtom hävda att den integrerade tillsynen är ett argument för en gemensam journal. En verksamhet som bedrivs integrerat ska förstås inspekteras integrerat. Tillsyns- myndigheten får sannolikt en bättre uppfattning om verksamheten och hur den bedrivs för att tillgodose den enskildes behov om det finns en integrerad och gemensam dokumentation.

Utredningens förslag

Det har under utredningens arbete blivit uppenbart att en gemen- sam dokumentation skulle kunna underlätta arbetet och bidra till en högre kvalitet i verksamheter där samverkan mellan olika aktörer och mellan hälso- och sjukvård och socialtjänst är ingående och omfattande. Exempel på sådana verksamheter finns kanske särskilt i äldreomsorgen, där såväl särskilda boenden som hemsjuk- vård och hemtjänst är verksamheter som kännetecknas av en djup integration. Genom Inspektionen för vård och omsorgs och tidigare Socialstyrelsens tillsyn har inte heller sällan framkommit att vissa verksamheter dokumenterar hälso- och sjukvårds- åtgärderna och socialtjänstinsatserna i samma journal. Det kan om inte annat visa på att det föreligger ett sådant behov för att kunna ge den enskilde en så bra vård och ett så bra omhändertagande som möjligt. I viss utsträckning kan därför inte uteslutas att nya rättsliga möjligheter att dokumentera i en gemensam vård- och omsorgsjournal skulle medföra att vissa saker som i och för sig redan förekommer idag blir lagliga.

Det finns även andra verksamheter inom både psykiatrin och missbruks- och beroendevården som skulle kunna dra nytta av möjligheterna till en gemensam vård- och omsorgsjournal. Det kan heller inte uteslutas att möjligheter till en gemensam vård- och omsorgsjournal innebär ett viktigt signalvärde och kan stimulera

839

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

till ökad samverkan genom att det i praktiken leder till en mycket djup integration av verksamheterna.

Utredningens uppfattning är att behovet av en gemensam vård- och omsorgsjournal framför allt finns i tätt integrerade verk- samheter där det finns ett mer eller mindre dagligt behov av att dokumentera och utbyta information mellan de inblandade vård- givarna och utförarna. Ett tydligt exempel är, som tidigare nämnts, den hälso- och sjukvård och socialtjänst som idag ges till personer på särskilda boenden. Inom områdena psykiatri och missbruksvård behövs för en bra vård och omsorg att uppgifter från både hälso- och sjukvården och socialtjänsten görs tillgängliga på ett bra sätt för att den enskilde ska kunna få optimalt stöd och hjälp. Allmänt framstår dock inte behovet av en gemensam journal lika tydligt i dessa verksamheter eftersom behovet av information inte uppstår lika ofta och är inte bestående över tid. Här utgörs behovet snarare av att tillgång till relevant information måste finnas vid rätt tillfälle. Det behöver alltså inte vara optimalt att sträva efter en gemensam vård- och omsorgsjournal inom alla verksamheter.

Utredningen föreslår, mot bakgrund av de behov som redovisats i det föregående, att det under vissa förutsättningar ska vara möjligt för vårdgivare och de som bedriver verksamhet inom socialtjänsten att föra en gemensam vård- och omsorgsjournal. Vi föreslår att denna möjlighet till gemensam vård- och omsorgsjournal ska vara en valfri form av vårddokumentation för de integrerade verksam- heter som erbjuder vård och omsorg åt personer med behov av både hälso- och sjukvård och socialtjänst. Bestämmelser om vård- och omsorgsjournal ska finnas i våra förslag till hälso- och sjukvårdsdatalag respektive socialtjänstdatalag. Särskilda förut- sättningar ska gälla för den gemensamma vård- och omsorgs- journalen, exempelvis vad gäller innehåll, bevarande och gallring. Se mer om detta i det följande.

Den gemensamma vård- och omsorgsjournalen innebär att vårdgivare och de som bedriver verksamhet inom socialtjänsten får behandla de personuppgifter som för socialtjänstens del behandlas för genomförande av beslut om bistånd, stödinsatser, vård eller behandling tillsammans med de uppgifter en vårdgivare behandlar för ändamålet vårddokumentation. Med vårddokumentation avses personuppgifter som behandlas för ändamål som avses i 2 kap. 5 § 2 och 3 i vårt förslag till hälso- och sjukvårdsdatalag. Det är uppgifter som behövs för att fullgöra journalföringsplikten och upprätta annan dokumentation som behövs i och för vården av patienter

840

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

samt för administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Definitionen av vårddokumentation finns angiven förslaget till hälso- och sjukvårdsdatalag.

Förutom att den enskilde ska ha behov av insatser från både hälso- och sjukvård och socialtjänst ska en ytterligare förutsättning för en gemensam vård- och omsorgsjournal vara att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsats, vård eller behandling och för att förebygga, utreda, eller behandla sjukdomar och skador inom hälso- och sjukvården. Genom detta understryks ytterligare kravet på uppgifternas bety- delse både för den hälso- och sjukvård och för den socialtjänst som individen har behov av. Det är därmed individen och individens behov som är det centrala för att verksamheter ska få använda sig av möjligheten med gemensam vård- och omsorgsjournal.

När det gäller vård och omsorg av enskilda med sammansatta behov är det inte sällan en teoretisk fråga i vilken dokumentation som t.ex. olika iakttagelser avseende den enskildes behov och till- stånd ska antecknas. Med utredningens förslag blir denna teo- retiska gräns mellan dokumentation enligt hälso- och sjukvårds- lagstiftningen och socialtjänstlagstiftningen onödig att ägna tid åt. Istället kommer journalföringen att kunna bli mer ändamålsenlig genom att samma företeelse inte behöver dokumenteras i två olika journaler. En gemensam vård- och omsorgsjournal gör det möjligt för integrerade verksamheter att fullt ut ta till vara fördelarna med ett samordnat arbetssätt. De hinder mot samverkan som uppställs genom det nuvarande regelverket om informationshantering ska inte finnas kvar. Utredningen gör bedömningen att den enskilde individen på så sätt kan få insatser av bättre kvalitet. En vård- och omsorgsjournal ersätter i verksamheten således det som idag betraktas som en patientjournal och det som betraktas som en social journal eller dokumentation. Det innebär att den gemensamma vård- och omsorgsjournalen måste kunna användas på motsvarand sätt och för samma ändamål som hittills har gällt för de två olika formerna av dokumentation. Personuppgifts- behandlingen ska således kunna göras för att exempelvis planera och genomföra de gemensamma insatserna, men även för upp- följning, kvalitetssäkring m.m.

För att det ska vara tillåtet att börja föra en sådan vård- och omsorgsjournal ska vårdgivare och de som bedriver socialtjänst göra en överenskommelse om detta. I överenskommelsen ska ingå

841

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

hur ansvaret för att tillgodose den enskildes rättigheter ska fördelas, se vidare i det följande. Hur denna överenskommelse ska slutas och vad som närmare ska ingå i en sådan går, enligt vår bedömning, inte att reglera i detalj. Det kan finnas anledning för kommunen att, i egenskap av huvudman för den integrerade verksamhet som utförs i äldreomsorgen, överväga om detta sätt att dokumentera och hantera information kan bidra till en god vård och omsorg och en högre effektivitet i verksamheten.

32.3.11Innehållet i en gemensam vård- och omsorgsjournal m.m.

Vi föreslår: En gemensam vård- och omsorgsjournal ska inne- hålla de uppgifter som för en vårdgivares del ska dokumenteras i en patientjournal enligt vårt förslag till hälso- och sjuk- vårdsdatalag samt de uppgifter som den som bedriver verk- samhet inom socialtjänsten ska dokumentera enligt social- tjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade.

Bestämmelser som reglerar innehållet i den gemensamma journalen ska finnas i såväl hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.

Bestämmelsen om journalförstöring ska vara tillämplig även på uppgifter i en gemensam vård- och omsorgsjournal.

Bestämmelsen om utplåning av uppgifter i en patientjournal ska inte tillämpas avseende uppgifter i en vård- och omsorgs- journal enligt 9 kap. hälso- och sjukvårdsdatalagen.

Utredningens förslag till gemensam vård- och omsorgsjournal innebär ingen förändring av dokumentationsplikten inom hälso- och sjukvården och socialtjänsten. När en integrerad verksamhet väljer att använda sig av möjligheten till en gemensam vård- och omsorgsjournal ska såväl de regler som gäller för dokumentation inom socialtjänsten som hälso- och sjukvården följas. Doku- mentationen ska alltså uppfylla kraven i båda regelverken. I den meningen bör verksamheten ha kunskap om vad som krävs för att uppfylla dessa krav – även om vårt förslag till gemensam journal inte gör det nödvändigt att klassificera viss information som antingen hörande till vårddokumentation eller socialtjänst-

842

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

dokumentation. Det viktiga är att det totala innehållet uppfyller krav som kan ställas i något av regelverken.

Syftet med en integrerad verksamhet kan bäst uppnås genom att den gemensamma dokumentationen i verksamheten uppfyller samtliga krav som gäller för de deltagande aktörerna. Bakgrunden till att man valt att arbeta samordnat bör vara att det finns fördelar med att ta tillvara den gemensamma kompetensen. Detta bör enligt utredningens mening återspeglas i den gemensamma journalen.

När det gäller innehållet i en patientjournal har patienten eller någon annan som omnämns i journalen rätt att få journalen helt eller delvis förstörd. Någon motsvarande bestämmelse finns inte vad gäller uppgifter i en dokumentation inom socialtjänsten. Utredningens förslag om gemensam vård- och omsorgsjournal innefattar förslag om att den ska försvaras i minst 10 år efter att sista anteckningen förts in. Det är samma bevarandetid som gäller för en patientjournal. Rätten för patienten att ansöka om journal- förstöring ingår som en del i skyddet av hans eller hennes inte- gritet.5 Mot denna bakgrund anser utredningen att även uppgifter i en gemensam vård- och omsorgsjournal ska omfattas av möjlig- heten att ansöka om journalförstöring. En enskild som anser att det finns uppgifter i den gemensamma journalen som är kränkande eller felaktiga ska få ansöka om journalförstöring oavsett om uppgiften kan hänföras till hälso- och sjukvården eller social- tjänsten.

Däremot föreslår vi inte att den nya bestämmelsen om vårdgivarens möjlighet att utplåna uppgifter i en patientjournal ska vara tillämplig på den gemensamma vård- och omsorgsjournalen. Denna undantagsbestämmelse ska tillämpas restriktivt. Innan en sådan möjlighet kan bli aktuellt avseende den gemensamma journalen måste tillämpningen få visa att det finns ett behov av denna form av utplåning av uppgifter.

5 Prop. 1984/85:189 s. 29

843

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

32.3.12Överenskommelse om gemensam vård- och omsorgsjournal

Vårt förslag: En överenskommelse om gemensam vård- och omsorgsjournal ska fastslå vem av parterna som ska ansvara för att tillgodose den enskildes rättigheter enligt personuppgifts- lagen (1998:204), hälso- och sjukvårdsdatalagen och social- tjänstdatalagen.

Överenskommelsen får omfatta att den enskilde ska medges direktåtkomst till uppgifter om sig själv enligt bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen och ska fastställa hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Bestämmelser om överens- kommelsens innehåll ska finnas i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen.

Utredningens förslag om möjlighet till direktåtkomst mellan hälso- och sjukvård och socialtjänst i integrerade verksamheter innebär en ny form av informationsutbyte. Även vårt förslag om en gemensam vård- och omsorgsjournal innebär en ny form av informations- utbyte mellan de inblandade verksamheterna. Syftet är att rätt information ska finnas tillgänglig för rätt personer, på rätt plats och i rätt tid. Sådan användning av ny teknik för dokumentation och för ändamålsenligt informationsutbyte får bara förekomma under säkra former. Såväl den som bedriver verksamhet inom social- tjänsten som vårdgivaren är ytterst ansvariga för en säker behandling av personuppgifter i sina verksamheter. Detta ansvar innebär t.ex. att personuppgifter ska behandlas på ett sådant sätt att obehöriga inte kan ta del av dem.

I detta ansvar för personuppgifterna som behandlas i verksam- heten ingår att utlämnande av uppgifter måste göras på ett säkert sätt. För att det inte ska vara oklart vem som ska ansvara för att tillgodose den enskildes rättigheter enligt de lagar som reglerar hanteringen av personuppgifterna i hälso- och sjukvården och socialtjänsten, måste parterna komma överens om vem eller vilka som ska tillgodose den enskildes rättigheter. En sådan överens- kommelse mellan vårdgivare och den eller de som bedriver verk- samhet inom socialtjänsten ska göras inför det att ett samarbete genom en gemensam vård- och omsorgsjournal realiseras.

844

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

Överenskommelsen som här avses kan innefatta hur vissa av de registrerades rättigheter ska kunna tillgodoses i praktiken. Det kan exempelvis handla om sådant som var den enskilde vänder sig för att få ett loggutdrag över den åtkomst som har förekommit till patientens uppgifter. Istället för att den enskilde exempelvis ska behöva vända sig till flera av de inblandade aktörerna kan det finnas skäl för dem att komma överens om och praktiskt arrangera det på sådant sätt att den enskilde endast behöver vända sig till en aktör för att få loggutdraget. En sådan aktör kan mycket väl vara ett personuppgiftsbiträde åt de inblandade aktörerna. Vidare kan överenskommelsen även reglera hur och till vem de registrerade ska vända sig med frågor, synpunkter eller klagomål. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det är tydligt vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne.

En vårdgivare och den som bedriver verksamhet inom social- tjänsten får också enligt bestämmelsen komma överens om att medge en enskild direktåtkomst till uppgifter i en gemensam vård- och omsorgsjournal. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation (loggar). Direktåt- komsten ska utformas så att den följer bestämmelserna i 5 kap. hälso- och sjukvårdsdatalagen och 4 kap. socialtjänstdatalagen. I en sådan överenskommelse ska aktörerna även komma överens om hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses.

32.3.13Att ta del av uppgifter genom direktåtkomst eller i en gemensam vård- och omsorgsjournal

Vårt förslag: Vårdgivare får ta del av personuppgifter, som den som bedriver verksamhet inom socialtjänsten har lämnat ut genom direktåtkomst, endast för ändamålen vård och behandling av patienten, kvalitetssäkring och kvalitetsutveckling av sådan vård och behandling samt intygsutfärdande. Den som bedriver verksam- het inom socialtjänsten får ta del av personuppgifter, som vård- givare har lämnat ut genom direktåtkomst, endast för ändamålen att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser, vård eller behandling.

845

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

Vårdgivare och den som bedriver verksamhet inom social- tjänsten får behandla personuppgifter i en gemensam vård- och omsorgsjournal för de ändamål som för vårdgivarens del är tillåtna enligt hälso- och sjukvårdsdatalagen och för social- tjänsten del i socialtjänstdatalagen. Bestämmelser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.

Bestämmelserna om behörighetstilldelning och åtkomst- kontroll i de respektive lagarna ska gälla även för behandling av personuppgifter i integrerade verksamheter.

Att ta del av uppgifter som gjorts tillgängliga genom direktåtkomst

Utlämnande av uppgifter genom direktåtkomst från en vårdgivare till den som bedriver verksamhet inom socialtjänsten är, enligt utredningens förslag, villkorat av att uppgifterna kan antas ha betydelse för att genomföra beslut om bistånd, stödinsatser, vård eller behandling. På motsvarande sätt får den som bedriver socialtjänst lämna ut uppgifter genom direktåtkomst till vårdgivare om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador inom hälso- och sjukvården.

De grundläggande förutsättningarna för att få lämna ut upp- gifter bör sedan, enligt utredningens bedömning, även vara avgörande för vilka syften uppgifterna sedan ska få användas i den mottagande verksamheten. Med en sådan lösning anpassas de til- låtna ändamålen för personuppgiftsbehandling till de konkreta behov som ligger bakom förslaget att ge hälso- och sjukvården och socialtjänsten nya möjligheter att utbyta uppgifter genom direkt- åtkomst. Det innebär att vårdgivare och den som bedriver verk- samhet inom socialtjänsten endast ska kunna ta del av uppgifter som lämnats ut genom direktåtkomst för vissa begränsade ändamål.

Förutom för ändamål som rör den enskildes insatser, vård eller behandling anser utredningen att direktåtkomst även ska får användas för att säkra och utveckla kvaliteten av sådan verksamhet. Verksamheter inom hälso- och sjukvården och socialtjänsten som har ett nära samarbete kring en enskild måste också kunna utvecklas och säkras. Behoven av att kvalitetssäkra dessa situationer är inte mindre än vad behoven är i situationer där den enskilde bara har insatser från socialtjänsten eller bara är föremål för hälso- och sjukvård. Vårdgivare och de som bedriver socialtjänst och som samarbetar i frågor som rör enskildas hälsa och livskvalitet behöver

846

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

ha goda förutsättningar att vid behov behandla personuppgifter för kvalitetssäkring och utveckling. Reglerna om informations- hantering bör enligt utredningens uppfattning inte uppställa hinder för ett sådant kvalitetsarbete.

Mot bakgrund av detta föreslår utredningen att vårdgivare får ta del av personuppgifter, som den som bedriver verksamhet inom socialtjänsten har lämnat ut genom direktåtkomst, endast för ändamålen vård och behandling av patienten, kvalitetssäkring och kvalitetsutveckling av sådan vård och behandling samt intygs- utfärdande. Den som bedriver verksamhet inom socialtjänsten får i sin tur ta del av personuppgifter, som vårdgivare har lämnat ut genom direktåtkomst, endast för ändamålen att genomföra beslut om bistånd, stödinsatser, vård eller behandling eller för att säkra och utveckla kvaliteten av sådana insatser, vård eller behandling. Bestämmelser om detta bör tas in i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen.

Att ta del av uppgifter i en gemensam vård- och omsorgsjournal

Det grundläggande syftet med utredningens förslag om gemensam vård- och omsorgsjournal är att öka förutsättningarna för en ändamålsenlig informationshantering avseende personer med behov av både hälso- och sjukvård och socialtjänst. Det handlar om att se till att rätt information kan finnas på rätt plats i rätt tid för att den enskilde ska säkerställas en god vård och omsorg. En sådan informationshantering med individen och individens behov i centrum kräver att de inblandade aktörerna får behandla person- uppgifterna för de ändamål som krävs för att tillgodose detta behov.

När det gäller den gemensamma vård- och omsorgsjournalen ersätter den det som verksamheterna idag betraktar som en patientjournal och det som betraktas som en social journal eller social dokumentation. Det innebär att vård- och omsorgsjournalen måste kunna användas på motsvarande sätt och för samma ändamål som hittills har gällt för de två olika formerna av dokumentation. Det saknas därför, enligt utredningens bedömning, anledning att begränsa de tillåtna ändamålen för personuppgiftsbehandling. En sådan begränsning skulle även kunna motverka den djupare inte- gration och det mer ändamålsenliga samarbete som utredningens förslag kan medföra.

847

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

Personuppgiftsbehandlingen ska således kunna göras för att exempelvis planera och genomföra de gemensamma insatserna, men även för uppföljning, kvalitetssäkring m.m. Annars riskerar fördelarna med en gemensam vård- och omsorgsjournal att kraftigt begränsas.

Vårdgivare och den som bedriver verksamhet inom social- tjänsten ska därför, enligt utredningens förslag, få behandla person- uppgifter i en gemensam vård- och omsorgsjournal för de ändamål som för vårdgivarens del är tillåtna enligt hälso-och sjukvårds- datalagen och för socialtjänsten del i socialtjänstdatalagen. Det innebär att vårdgivare får behandla personuppgifter i enlighet med den grundläggande ändamålsbestämmelsen i 2 kap. 5 och 6 §§ hälso- och sjukvårdsdatalagen. Den som bedriver verksamhet inom socialtjänsten får behandla personuppgifter i enlighet med ända- målsbestämmelsen i 2 kap. 5 och 6 §§ socialtjänstdatalagen. Bestämmelser om detta ska tas in i båda dessa lagar.

Behörighetsstyrning och åtkomstkontroll

Vidare föreslår utredningen att de grundläggande bestämmelserna om vårdgivarens ansvar för behörighetstilldelning och åtkomst- kontroll ska gälla när en vårdgivare deltar i en integrerad verk- samhet som har valt att använda direktåtkomst för utbyte av personuppgifter. Vårdgivaren ska även ha ansvar för behörighets- tilldelning och åtkomstkontroll när det gäller de personer som arbetar åt vårdgivaren om vårdgivaren deltar i ett samarbete om gemensam vård- och omsorgsjournal. Motsvarande ansvar ska gälla för den som bedriver verksamhet inom socialtjänsten. Bestäm- melser om detta ska tas in i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen.

Utredningens förslag om krav på behörighetstilldelning och åtkomstkontroll i hälso- och sjukvården och socialtjänsten finns i respektive avsnitt. Här erinras endast om att dessa bestämmelser även gäller vid personuppgiftsbehandling i integrerade verksam- heter.

848

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

32.3.14Bevarande och arkivering av gemensam vård och omsorgsjournal

Vårt förslag: En handling i en gemensam vård- och omsorgs- journal ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. För allmänna handlingar gäller därutöver arkivlagen och de bestämmelser som meddelats med stöd av arkivlagen gälla.

När insatser från både hälso- och sjukvård och socialtjänst har slutat att ges till de enskilde ska den gemensamma vård- och omsorgsjournalen överlämnas till den kommun som ansvarat för socialtjänstinsatserna.

För att en gemensam vård- och omsorgsjournal ska kunna uppfylla alla de syften som en social journal och en patientjournal ska uppfylla måste vi även lämna förslag på hur en sådan doku- mentation ska arkiveras.

När det gäller bevarande, gallring och arkivering av uppgifter inom socialtjänst respektive hälso- och sjukvård så är det olika regler som gäller. En journalhandling ska bevaras i minst 10 år. Fram till dess får uppgifterna i journalen endast utplånas med stöd av bestämmelserna om journalförstöring. Utredningen har även lagt ett förslag som gör det möjligt för en vårdgivare att under vissa omständigheter utplåna vissa uppgifter (se kapitel 12). När det gäller socialtjänsten ska enligt huvudregeln anteckningar och andra uppgifter i en personakt hos socialnämnden gallras fem år efter det att sista anteckningen gjordes i akten. Detta följer av bestämmelser i 12 kap. 1 § SoL första stycket.

En gemensam vård- och omsorgsjournal är en ny typ av handling. Utredningen anser att denna dokumentation så långt möjligt ska avspegla och tillgodose behoven i en verksamhet som bedrivs integrerat. Den bör så långt som möjligt leva upp till de regelverk som gäller såväl inom socialtjänsten som inom hälso- och sjukvården. Men när det gäller bevarande och gallring kräver hänsynen till ordning och reda vid hantering av allmänna handlingar och till arkivvården att det finns ett tydligt regelverk som gäller just denna nya typ av handling.

Utredningen anser att de längre bevarandetiderna som gäller inom hälso- och sjukvården bättre tillvaratar de gemensamma behoven av att handlingar sparas och arkiveras. Det finns möjligen

849

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

även argument som kan tala för en lösning som mer liknar den för bevarande av handlingar inom socialtjänsten. Det kan t.ex. finnas skäl att av hänsyn till den registrerades integritet välja en lösning som innebär en kortare bevarandetid. Mot bakgrund av de patient- säkerhetsskäl som motiverar de längre bevarandetiderna som gäller inom hälso- och sjukvården väljer utredningen dock att föreslå att de längre tiderna också ska gälla för den gemensamma doku- mentationen i en integrerad verksamhet.

När det gäller arkivering handlar det om att välja en lösning så att det blir tydligt vad som ska gälla för den nya typen av handling. Den grundläggande förutsättningen för att det ska få föras en gemensam vård- och omsorgsjournal är att uppgifterna som ska dokumenteras rör en person med behov av vård och omsorg som är föremål för insatser inom socialtjänsten. Eftersom uppgifterna måste röra en person som befunnits har rätt till kommunala insatser i socialtjänsten framstår det som naturligt att det är den kommun som ansvarat för och finansierat socialtjänstinsatserna som ska ta hand om arkiveringen av den gemensamma vård- och omsorgsjournalen. Utredningen gör dock bedömningen att när det gäller arkivfrågan kan det även finnas andra lämpliga alternativ. Det väsentliga är att det finns tydliga regler vad som gäller för handlingarna så att dessa lätt kan återfinnas. Mot den bakgrunden och i detta skede anser utredningen att det mest ändamålsenliga är att handlingar i en gemensam journal ska arkiveras i den kommun som har ansvarat för de beslutade insatser som varit förutsättningar för den enskildes deltagande i den integrerade verksamheten. Det kan framstå som logiskt för den som vill leta reda på en sådan journal att vända sig till den kommunen.

32.3.15Sekretessbrytande bestämmelser för att möjliggöra förslagen

Vårt förslag: Hälso- och sjukvårdssekretess ska inte hindra att en uppgift om en enskild lämnas från en myndighet inom hälso- och sjukvården till en myndighet inom socialtjänsten eller till enskild utförare av socialtjänst enligt vad som föreskrivs om direktåtkomst i integrerade verksamheter i vårt förslag till hälso- och sjukvårdsdatalag.

850

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

Socialtjänstsekretess ska inte heller hindra att uppgift om en enskild lämnas från en myndighet inom socialtjänsten till en myndighet inom hälso- och sjukvården eller till en enskild vård- givare enligt vad som föreskrivs om direktåtkomst i integrerade verksamheter i vårt förslag till socialtjänstdatalag.

Sekretess ska inte heller hindra det informationsutbyte som en gemensam vård och omsorgsjournal för med sig.

Utredningens förslag om direktåtkomst mellan vårdgivare och den som bedriver verksamhet inom socialtjänst innebär att dessa aktörer under vissa förutsättningar kan få direktåtkomst till varandras personuppgifter. För att den vårdgivare som gör upp- gifter tillgängliga inte ska behöva göra en sekretessprövning i varje enskilt fall, föreslås ett undantag från hälso- och sjukvårds- sekretessen. Vi föreslår även motsvarande undantag från social- tjänstsekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare eller till den som bedriver verksamhet inom socialtjänsten enligt vad som föreskrivs om denna typ av direktåtkomst i hälso- och sjukvårdsdatalagen respektive social- tjänstdatalagen. Skyddet för den enskildes personliga integritet vid direktåtkomsten är tillgodosett genom de villkor som gäller för att direktåtkomsten ska vara tillåten.

På grund av de bestämmelser om undantag från sekretess som vi föreslår behövs ingen särskild reglering för att en enskild vårdgivare eller en enskild utförare ska kunna lämna ut uppgifter till en annan aktör genom direktåtkomst. Ett sådant utlämnande kan inte anses som obehörigt i den mening som avses i patientsäkerhetslagen eller socialtjänstlagen och innebär därmed inget brott mot tystnads- plikten. Det är samma konstruktion för lättnad i tystnadsplikten som gäller vid sammanhållen journalföring.

Vi föreslår även motsvarande lättnader i sekretessen för uppgifter inom hälso- och sjukvård och socialtjänsten för det utbyte av upp- gifter som den gemensamma vård- och omsorgsjournalen för med sig.

Det råder alltså normalt sekretess mellan hälso- och sjukvården och socialtjänsten. Därför behöver vi föreslå ändringar i offentlig- hets- och sekretesslagen som bryter sekretessen när ett utbyte av uppgifter görs med stöd av de bestämmelserna om direktåtkomst mellan hälso- och sjukvård och socialtjänst eller genom att verksamheterna använder en gemensam vård- och omsorgsjournal.

851

En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

SOU 2014:23

32.3.16Gemensam vård- och omsorgsjournal och sammanhållen journalföring

Vårt förslag: En vårdgivare får göra uppgifter i en gemensam vård- och omsorgsjournal tillgängliga i system för sammanhållen journalföring under de förutsättningar som anges för detta i hälso- och sjukvårdsdatalagen. En påminnelse om detta ska tas in i anslutning till bestämmelserna om gemensam vård- och omsorgsjournal i hälso- och sjukvårdsdatalagen.

En gemensam vård- och omsorgsjournal innebär att vårdgivare och de som bedriver verksamhet inom socialtjänsten kan hålla information om en individ samlad så att den kan användas på ett ändamålsenligt sätt för att ge individen den vård och det stöd som han eller hon behöver. Vi föreställer oss att denna möjlighet till gemensam dokumentation framförallt kommer att användas i verksamheter som är djupt integrerade, t.ex. på särskilda boenden. Även om informationen i den gemensamma vård- och omsorgs- journalen kommer att tillgodose en stor del av det behov som finns av att utbyta uppgifter om den enskilde kommer det ändå att finnas behov av att utbyta information med aktörer utanför den integrerade verksamheten. Det behovet kan komma att vara olika stort beroende på vilka aktörer som deltar i samarbetet om en gemensam journal. Utredningen antar att det kanske inte kommer vara så vanligt att t.ex. landstingets läkarinsatser deltar i samarbetet. Sammanhållen journalföring kommer därför sannolikt att även fortsättningsvis behövas som ett sätt för t.ex. ett särskilt boende att utbyta information med primärvården.

Utredningen bedömer därför att en vårdgivare ska få göra uppgifter i en gemensam vård- och omsorgsjournal tillgängliga för andra vårdgivare med stöd av regelverket för sammanhållen journalföring. Det innebär t.ex. att sådana uppgifter kan göras till- gängliga i den nationella patientöversikten (NPÖ). En distrikt- sköterska eller hälso- och sjukvårdspersonal inom akutsjukvården kan i sitt omhändertagande genom att ta del av uppgifter i NPÖ beakta viktiga omständigheter i den enskildes hälsotillstånd. En vårdgivare som deltar i den integrerade verksamheten och som samtidigt deltar i ett system för sammanhållen journalföring kan å sin sida ta del av uppgifter om den enskilde i den sammanhållna journalföringen genom att tillämpa de regler som gäller för det. Det

852

SOU 2014:23 En ändamålsenlig informationshantering mellan hälso- och sjukvård och socialtjänst

är t.ex. viktigt för en kommunal vårdgivare att kunna ta del av upp- gifter om vilka läkemedel som förskrivits till den enskilde av primärvården eller den slutna vården. Den gemensamma vård- och omsorgsjournalen får inte blir ett nytt sätt att låsa in information. Utredningen anser därför att det är nödvändigt att en vårdgivare som deltar i ett sådant arbete också kan utbyta uppgifter genom sammanhållen journalföring. En bestämmelse som erinrar och uttryckligen tillåter detta ska därför tas in i hälso- och sjukvårds- datalagen.

853

33Kommunikation mellan vård- och omsorgsaktörer och medborgare

33.1Bakgrund

Internet har i dag kommit att bli en primär källa för medborgare i jakt på information relaterad till hälso- och sjukvården och socialtjänsten. Invånare söker efter information om hälsa och sjukdomar exempelvis på 1177 Vårdguiden, apoteksaktörernas hemsidor och på Google. På motsvarande sätt används enskilda kommuners hemsidor för att ta reda på information om enskildas rättigheter inom socialtjänsten och vilket utbud olika kommuner har.

Samtidigt har internet även blivit en viktig kommunikations- kanal mellan medborgarna och vårdgivarna och mellan med- borgarna och de som bedriver socialtjänst. I dag finns exempelvis möjligheter att via nätet ta del av uppgifter i patientjournaler, boka tider hos sjukvården, förnya recept, ställa frågor till läkare, beställa självtester m.m. Även för sådan information som vårdgivarna behöver från patienterna utvecklas nu funktioner för att kom- municera det över nätet. Som exempel kan nämnas funktioner som möjliggör för patienter att rapportera in olika mätvärden, att svara på enkäter om upplevd livskvalitet efter t.ex. en operation, att fylla i och skicka in hälsodeklarationer eller liknande inför ett kommande läkarbesök m.m.

På motsvarande sätt sker en utveckling inom socialtjänsten för att ta fram e-tjänster där invånare kan ansöka om bistånd, informera sig om och välja olika utförare, låta närstående ta del av omsorgsinformation från äldreomsorgen m.m.

I strategin för Nationell eHälsa anges bland annat följande.

855

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Individen i sin roll som invånare, patient, brukare och anhörig ska ha tillgång till lättillgänglig och kvalitetssäkrad information om hälsa, vård och omsorg samt åtkomst till dokumentation från sina tidigare insatser och behandlingar. Hon eller han ska erbjudas individuellt anpassad service och interaktiva e-tjänster för att kunna utöva del- aktighet och självbestämmande utifrån sina egna förutsättningar.

33.1.1Vårt uppdrag

Av utredningsdirektivet framgår bland annat att utvecklingen de senaste åren har varit sådan att den enskilde på flera sätt fått en starkare ställning i förhållande till hälso- och sjukvården. Den enskilde har i många fall behov av att kunna registrera uppgifter för att exempelvis komplettera eller förbereda ett läkarbesök. Den enskilde bör också som huvudregel kunna ha tillgång till sina egna uppgifter.

Vidare anför regeringen att det i nuvarande lagstiftning är svårt att identifiera gränsen mellan patientens egen personuppgifts- behandling och vårdgivarens behandling av personuppgifter enligt dennes personuppgiftsansvar. För att patienten ska kunna vara en medproducent av information inom hälso- och sjukvården och rapportera in information som exempelvis patientrapporterade utfallsmått måste denna gräns tydliggöras i lagstiftningen. Mot denna bakgrund är vårt uppdrag följande.

Analysera och lämna förslag som juridiskt tydliggör gränsen mellan patientens egen personuppgiftsbehandling och vård- givarens personuppgiftsbehandling enligt dennes person- uppgiftsansvar för sådana känsliga uppgifter som den enskilde rapporterar in till hälso- och sjukvården eller socialtjänsten,

överväga behovet av lagreglering av personuppgiftsansvar för säkerhetsåtgärder vid it-kommunikation med enskilda individer.

Vidare har vi genom tilläggsdirektiv övertagit frågor på detta område, som ursprungligen hanterades av Patientmakts- utredningen.1 Vårt uppdrag är därför att ta ett helhetsgrepp om de rättsliga frågorna vid en ökad kommunikation mellan hälso- och sjukvårdens aktörer och medborgarna. Vi ska i detta sammanhang bland annat beakta sekretessfrågor, frågor om direktåtkomst och frågor om hantering av allmänna handlingar.

1 Dir. 2012:23.

856

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Utvidgning av uppdraget

I utredningsdirektivet talas, med något undantag, i princip endast om patienters kommunikation med hälso- och sjukvården. Efter- som vi ser att behovet av klarläggande även finns för liknande kommunikation mellan medborgare och socialtjänstens aktörer, har vi valt att vidga vårt uppdrag till att omfatta även de rättsliga frågor som gör sig aktuella i de situationerna. Vår bedömning är även att det ligger i linje med den grundläggande tanken i utredningsdirektivet om att utgå ifrån individen och individens behov oavsett hur individens resa genom hälso- och sjukvården och socialtjänsten ser ut.

Sammanfattningsvis är vårt uppdrag således att analysera de rättsliga förutsättningarna och vid behov lämna nödvändiga författningsförslag kring den ökade kommunikation som vi ser växa fram i dag mellan å ena sidan medborgarna och å andra sidan hälso- och sjukvårdens och socialtjänstens aktörer.

33.1.2En utveckling med flera mål

Utvecklingen inom hälso- och sjukvård och socialtjänst går allt mer mot att patienter och närstående betraktas som samarbetspartners och resurser i arbetet. För att kunna vara den resursen krävs att individer får del av det kunskapsunderlag som skapas genom den dokumentation som skapas av vård- och omsorgsaktörerna. Många individer betraktar i dag det även som självklart att kunna ta del av personlig information om sin hälsa via nätet på samma sätt som man kan hantera sin ekonomi på internetbanken eller utföra ärenden på olika myndigheters webbplatser.

Många av de insatser som görs på detta område bottnar i övertygelsen om att e-tjänster på olika sätt kan bidra till att stödja, engagera, motivera och underlätta för individen i vardagen. Tjänster som gör det möjligt för individen att stärka sin ställning, öka sin delaktighet och få en fördjupad kunskap om sin hälsosituation. Information och smarta e-tjänster som tillsammans på ett enkelt och överskådligt sätt kan ge den enskilde just det beslutsstöd som behövs för att i större utsträckning kunna fatta rätt beslut om sin egen hälsosituation, vare sig det handlar om en individ med en kronisk sjukdom eller någon med ett mer tillfälligt hälsoproblem. Att ge tillgång till vårddokumentation handlar därför inte om att

857

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

göra individen till någon slags journalrevisor, utan istället om att ge individen bättre förutsättningar än tidigare för att kunna bli sin egen hälsocoach. Även om grundtanken och ambitionen har funnits sedan många årtionden tillbaka, genom att patienten länge haft en rätt att ta del av sin egen dokumentation, är det först nu som möjligheterna finns att göra det ännu bättre än tidigare. Med ny teknik ges möjligheter att hantera de omfattande och komplexa informationsmängder om individer på ett bättre och mer effektivt sätt än vad som är möjligt vid en manuell pappershantering.

Vidare finns en förhoppning om att en stärkt ställning för individen i sin tur ökar möjligheterna för en mer jämlik och tillgänglig vård och omsorg av hög kvalitet. Det förutsätter i sin tur att de nya möjligheterna för delaktighet och kommunikation möts upp av nödvändiga förändringar av vård- och omsorgsprodu- centernas verksamheter, arbetssätt, processer, organisations- och professionskulturer samt rutiner.

Parterna bakom strategin för Nationell eHälsa anför bl.a. att en ökad tillgänglighet till hälso- och sjukvården och socialtjänsten förutsätter en enkel och målgruppsanpassad tillgång till användar- vänlig information. Det ger förutsättningar för egenmakt och självbestämmande samt stärker individens upplevda nytta, delaktig- het och insyn i de insatser som berör en själv.

Genom att utveckla personliga e-tjänster vill man ge individen möjlighet att själv dokumentera uppgifter om sin egen hälsosituation. Det kan exempelvis handla om motionsvanor, kost, vilka receptfria läkemedel man tar, hur man mår från tid till annan osv. Det kan även handla om utveckling av e-tjänster med ett tydligt fokus på prevention och folkhälsofrämjande aspekter.

Ytterligare sådana tjänster som lyfts fram som centrala för individen är till exempel en samlad lista över de läkemedel individen står på, en samlad bild av de vaccinationer individen tagit, en möjlighet att kunna följa sin remiss från det att den skickats till att den mottagits och åtgärdats, en möjlighet att få provsvar levererade via nätet och att själv kunna rapportera in mätvärden och olika former av självskattningar.

I strategin för Nationell eHälsa anges att följande områden och tjänster är av särskild vikt för det fortsatta arbetet.

Alla invånare ska kunna använda säkra personliga e-tjänster för åtkomst till information om egna vård- och omsorgsinsatser.

858

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Tjänster där individen själv kan dokumentera och dela uppgifter om sin egen hälsa ska utvecklas som en resurs för både personal och individen själv.

Information om kvalitet, tillgänglighet och bemötande ska presenteras på ett målgruppsanpassat och användarvänligt sätt för att möjliggöra fria och informerade val.

33.2Några utvecklingsarbeten inom området

Sedan många år tillbaka har ett antal olika utvecklingsprojekt bedrivits för användningen av internet som kommunikationskanal mellan medborgarna och vård- och omsorgsaktörerna. I det följande nämns några av dessa projekt översiktligt, i syfte att ge en bild över vad som har gjorts och vilken utveckling som fortfarande är på gång.

33.2.1E-tjänster och erfarenheter från landstinget i Uppsala

I Landstinget i Uppsala län har man alltsedan 1997 arbetat med att elektroniskt lämna ut journaluppgifter till patienter. Projektet Sustains (Support Users To Access Information and Services) har under många år bedrivits på en utvald vårdcentral där de listade patienterna, om de har velat, har haft möjlighet att läsa delar av sin journal på nätet. Inledningsvis var det en översikt över patienternas vårdkontakter och diagnoser.

Projektet har nu utvecklats och erbjuder sedan 8 oktober 2012 samtliga länsinvånare att ta del av sin patientjournal genom direktåtkomst över internet (Min journal på nätet). För att kunna ta del av sina uppgifter krävs bl.a. inloggning, med e-legitimation eller engångslösenord via sms, i Mina vårdkontakter.

Under arbetet med att tillhandahålla patientinformation över nätet har landstinget identifierat ett antal viktiga frågeställningar. En av dessa är hur vårdnadshavares tillgång till sina barns patient- journaler ska få gå till. Med tanke på att barn i takt med stigande ålder och mognad ska tillmätas egen förmåga att hantera sitt behov av sekretess och integritetsskydd, även gentemot föräldrar, har landstinget för närvarande valt att inte alls tillhandahålla journal- uppgifter genom direktåtkomst för barn mellan 13–17 år. För

859

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

yngre barn har vårdnadshavare dock möjlighet att ta del av barnets journal över nätet.

Vidare har landstinget i detta skede valt att undanta patient- information från vissa verksamheter från direktåtkomsten, bl.a. för att minimera riskerna för patienter i utsatta positioner. Det rör exempelvis enheten för kvinnofrid vid Akademiska sjukhuset.

Ytterligare en frågeställning som aktualiserats är hur sekretess- bestämmelsen i 25 kap. 6 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, ska tillämpas. Enligt den bestämmelsen gäller sekretess även i förhållande till patienten själv, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. En följd av bestämmelsen är att någon form av sekretessprövning behöver göras även när journaluppgifter ska lämnas ut till individen själv. För att kunna automatisera utlämnandeprocessen har landstinget valt att genom policybeslut slå fast vilka informationsmängder som alltid ska lämnas ut och vilka som ska kräva en mer manuell prövning i det enskilda fallet.

Intressant i sammanhanget är landstingets egen uppskattning över hur ofta den aktuella sekretessbestämmelsen tillämpas. Utredningen har vid kontakter med landstinget fått informationen att bland de 11 000 patientjournalerna som uppskattningsvis lämnades ut under 2011 har endast fem journaler gått för särskild bedömning enligt ovan. Av dessa fem är det sedan bara en journal som inte har lämnats ut.

Under projektet Sustains har flera olika e-tjänster introducerats för landstingets invånare. Det har bland annat handlat om möjlig- heter att betala sjukvårdsavgift och uppdatera patienters och närståendes kontaktuppgifter. Nedan följer en kortfattad redovis- ning av ytterligare några e-tjänster.

Min journal på nätet

Genom tjänsten får patienter tillgång till sin patientjournal. Sedan lanseringen av tjänsten 3 december 2012 har antalet nya användare ökat med omkring 100 per dag och den 12 december 2013 hade tjänsten använts av 42 081 unika patienter.2

2 Landstinget i Uppsala, Rapport om införande av e-hälsotjänster i Uppsala (2014) s. 22.

860

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Läsa logglistan

Patienter har fått möjlighet att direkt över internet ta del av uppgifter om vilka som har tagit del av patientens journal, dvs. logglistan. Genom funktionen får patienten en översikt över åtkomsterna och kan upptäcka om någon anmärkningsvärd åtkomst har förekommit och därefter initiera en utredning om det. Enligt uppgifter från landstinget har tjänsten, under perioden 11 april 2013 till 6 december 2013, använts av 12 274 unika patienter 67 168 gånger.3

Delegering av läsrättighet

Tjänsten innebär att patienten kan medge att en annan person får läsrättighet till patientens journal, dvs. själv kan ta del av den via internet. En tanke med tjänsten är att exempelvis göra det möjligt för närstående att följa med och vara delaktiga i familjemedlemmars kontakter med hälso- och sjukvården.

Spåra remiss

Det har gjorts möjligt för patienterna att själva läsa status på sin remiss, dvs. om och när den är skickad, mottagen och besvarad samt om och när svaret är läst av remittenten. Patienten får tillgång till e-tjänsten vid en inloggning på Min journal via nätet.

33.2.2Mina vårdkontakter

Stockholms läns landsting har inom ramen för Vårdguiden, numera 1177 Vårdguiden, sedan 2003 utvecklat medborgartjänsten Mina vårdkontakter. Ett av syftena med tjänsten var att öka till- gängligheten och göra det enklare för medborgare att kontakta vården på sina egna villkor. I dag är samtliga landsting anslutna till Mina vårdkontakter och kan där välja vilka olika tjänster med- borgarna ska kunna använda. Exempel på tjänster som kan till- handahållas medborgarna är beställning av tider, av- och ombok- ning av tider, förnya recept, be mottagningen ta kontakt. Det är

3 Landstinget i Uppsala, Rapport om införande av e-hälsotjänster i Uppsala (2014) s. 11.

861

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

även möjligt för individen att själv lägga in anteckningar om inbokade läkarbesök, vaccinationer m.m. i en kalender.

För att kunna använda Mina vårdkontakter måste individen registrera sig och skapa ett användarkonto. För att ingen ska kunna ta del av information om andra individer krävs det även att alla identifierar sig med stark autentisering vid inloggningen. I dag är det möjligt att logga in med e-legitimation eller med engångs- lösenord som distribueras via sms.

Mina vårdkontakter är under ständig utveckling och från och med 12 december 2012 är det möjligt att använda tjänsten även i en mobiltelefon eller på en surfplatta. Allt för att underlätta för individerna att kontakta vården och utföra tjänster.

PER – patientens egen registrering

PER är en tjänst som i dag nås via Mina vårdkontakter och som riktar sig till personer med en reumatisk sjukdom. Tjänsten gör det möjligt för individen att inför ett kommande besök hos sin behandlande läkare registrera uppgifter om sitt hälsotillstånd. Patienten registrerar sådant som rör det vardagliga livet och vad man klarar av i det, men även sådant som om lederna är ömma och svullna. Förutom att det ökar patientens flexibilitet att kunna registrera uppgifter hemifrån vid en tidpunkt som passar patienten bäst medför tjänsten också att uppgifterna finns tillgängliga för läkaren redan när patientbesöket startar. Vid besöket har läkare och patient därmed redan tillgång till samma information och kan utifrån den diskutera behandlingsåtgärder m.m.

Mina hälsotjänster

Stockholms läns landsting har på uppdrag av CeHis, Center för ehälsa i samverkan, drivit projektet Mina hälsotjänster. Mål- sättningen har varit att projektet ska bidra till utvecklingen av nya e-tjänster som samordnar och stödjer patienternas vård- processer och tillhandahålla en teknisk plattform som möjliggör tjänsterna samt leverera processbeskrivningar, affärsmodeller och riktlinjer som effektiviserar och kvalitetssäkrar utvecklingen av e-tjänster. Genom att vidareutveckla Mina vårdkontakter har projektet bidragit till att invånare bl.a. kan nå Mina vård-

862

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

kontakter via mobil och surfplatta, se sin remisstatus, boka provtagning och få svar samt lämna självskattningar som tillförs patientjournalen.

33.2.3Omsorgsdagboken

Stockholms stad har utvecklat Omsorgsdagboken, där äldre personer och deras närstående kan följa hur omsorgen bedrivs dag för dag. Syftet med Omsorgsdagboken är att de äldre och deras närstående ska få en ökad insikt och delaktighet i hur omsorgen om den äldre bedrivs.

Via tjänsten kan användaren exempelvis ta del av beslut, journalanteckningar gjorda enligt socialtjänstlagen (2001:453), förkortad SoL, händelser av vikt, avvikelser, genomförandeplanen, rapporterade utförartillfällen, kontaktuppgifter och vad som kontinuerligt händer från den ena dagen till den andra. Den innehåller även information om hur samtycke ges, avbryts och ändras samt vilka personer som har fått samtycke att ta del av den äldres omsorgsdagbok.

För att ta del av innehåll i Omsorgsdagboken krävs inloggning med e-legitimation samt för en närstående, att den äldre lämnat ett skriftligt samtycke till att en närstående får ta del av informationen.

33.2.4Mina vårdflöden

Mina vårdflöden är ett utvecklingsprojekt som leds av Stockholms läns landsting med som genomförs bland annat med Västra Götalandsregionen, Region Skåne, Karolinska Institutet, Lunds Universitet, Jönköping Business School m.fl. Projektet finansieras delvis av innovationsmyndigheten Vinnova.

Det övergripande syftet med projektet är att stimulera till att nya kunskapsbaserade e-tjänster utvecklas. Målet är dels att skapa nya invånartjänster för en mobil nationell plattform som gör det möjliggör för patienten att själv följa, äga och förvalta sina vårdflöden avseende stroke, lungcancer, höftoperationer och hjärt- sjukdomar. En tanke är således att förse patienten med ett verktyg för att följa sin resa genom olika processer i vården och även kunna kommunicera direkt med exempelvis behandlande läkare. Patienten ska kunna följa sin remiss på samma sätt som det i dag t.ex. är

863

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

möjligt att följa leveransprocessen vid en bokbeställning på nätet, dvs. kunna se att remissen är skickad, mottagen, bokad samt att åtgärd är genomförd.

33.2.5Din journal på nätet – förstudien

På uppdrag av CeHis har Inera AB genomfört en förstudie kring de etiska och rättsliga aspekterna för att ge patienten tillgång till sin journal över internet.4 Förstudien består av två delrapporter och en slutrapport.

Förstudien har bland annat haft som mål att belysa vilka möjligheter som finns för att tillgängliggöra journalinformation via Internet till invånare och vilka juridiska, etiska och medicinska konsekvenser det kan få. En utgångspunkt i projektet har varit strategin för Nationell eHälsa, som bland annat strävar efter att alla invånare enkelt ska kunna ta del av information som rör den egna personen och kunna kommunicera och interagera med hälso- och sjukvård och socialtjänst på olika sätt.

Förstudien bygger dels på erfarenheter från projekt i Sverige och andra länder där man redan testat att göra journalinformation tillgänglig på internet, dels på egen, ny insamlad kunskap. Inom ramen för studien har man hållit seminarium, genomfört enkätundersökning bland invånare, gjort målgruppsanalyser med djupintervjuer av invånare och tagit fram en forskningsöversikt över publicerade vetenskapliga artiklar inom området.

Invånarnas behov och önskemål

Resultatet av förstudiens undersökningar bland invånare visar att de flesta har önskemål om att få ta del av sin journalinformation via internet, men att behoven kan se olika ut beroende på vilka vårdkontakter de enskilda individerna har.

De önskemål som i djupintervjuer framkom bland huvud- sakligen friska personer med glesa vårdkontakter var främst att kunna överblicka sina vaccinationer, men också att kunna läsa i journalen efter ett läkarbesök för att bekräfta vad läkaren sa, både för en patient själv och ibland som närstående till exempelvis en äldre patient som har svårt att minnas och redogöra för samtalet.

4 Din journal på nätet – förstudien (Inera, 2011).

864

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Bland gruppen med kroniska sjukdomar fanns behov av att ta del av uppgifter under vissa omständigheter. Exempelvis framkom behov av att kunna kontrollera uppgifter, att använda dem för en second opinion eller som grund för att anmäla upplevda fel eller missförhållanden.

Av förstudien framkommer även många andra möjliga behov, exempelvis att

förstå och känna till sin diagnos och den utredning som är gjord,

få direkt och snabbare information än i dag,

kunna vara informationsbärare av sin egen sjukdomshistoria,

kunna vara journalrevisor och bidra till ökad säkerhet och kvalitet, en medskapare,

få en pedagogisk förstärkning av ett budskap via journal- anteckningar,

överblicka och förstå kommande vårdinsatser,

kunna planera sitt liv bättre efter förväntade utredningar och vårdinsatser,

att kunna se mönster, få en överblick, samt

att kunna bli mer delaktig i och kunna påverka sin vård, till exempel genom att själv kunna tillföra information om exempel- vis mätvärden och egenvårdsinsatser.

Sammanfattningsvis rör det första och största behovet specifika e- tjänster där journalinformation är en integrerad del av tjänsten tillsammans med exempelvis information från vårdens administra- tiva system. Det handlar bland annat om att få en samlad bild av sina läkemedel, vaccinationer, provsvar eller möjlighet att följa sina remisser.

Ytterligare ett önskemål gäller möjligheten till en allmän översikt över alla sina vårdkontakter och den relaterande journal- informationen. Här har förstudien funnit att invånare vill se både aktuella och historiska uppgifter för att själv kunna söka fram de uppgifter man vill ta del av. Att enbart visa upp patientjournalen som den ser ut i dag utan att utveckla varken presentationen av innehållet eller kommunikationen kring innehållet anses som mindre värdefullt.

865

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Förstudien visar även att invånare, över internet, vill kunna ta del av loggar över vilka som läst den egna vårddokumentationen.

I den allmänna diskussionen uttrycks ofta en oro för att patienter ska bli oroliga av att läsa sina journaler på nätet. Dels kan det handla om att språket är så svårtillgängligt att det skapar missförstånd, dels om risken för att journalinformationen beskriver något oroväckande som patienten inte känner till och som inte är lämpligt att få veta via internet utan att ha direkt tillgång till vårdpersonalens stöd och råd.

I förstudien framkommer att invånare till viss del har insikt om att informationen som skapas i vården kan vara svårtolkad, men att oron för feltolkningar och obehagliga insikter om hälsan inte verkar vara lika utbredd bland invånare som debatten ibland har gett uttryck för. Det som däremot oroar patienter är att vården skulle börja hålla viss information hemlig om journalen blev tillgänglig på Internet, dvs. att viss information skulle doku- menteras på ett annat ställe. Viss oro finns även för att själva informationen ska bli mer luddig och diffus om vårdpersonal inte vågar uttrycka sig i klartext.

Utöver transparens i informationen är frågor om personlig integritet och sekretess också områden där invånare uttrycker en viss oro över hur journalinformation över nätet kommer att hanteras.

Reflektioner från hälso- och sjukvårdens medarbetare

I förstudien har man även belyst frågorna vårdens perspektiv. Vårdens medarbetare ser både potentiella för- och nackdelar med att patienten får ta del av sin journalinformation över internet. Fördelarna beskrivs som att samarbetet med patienten kan bli mer jämlikt och individanpassat och att informationen kan ge ökad följsamhet och leda till bättre kvalitet på både informationen och på vården.

Som tänkbara nackdelar uppges att patienten kan få tillgång till känslig, och kanske inte helt verifierad information, exempelvis vid provsvar eller röntgenbilder. Oron för detta skulle i sin tur kunna leda till att vårdens medarbetare undviker att anteckna vissa arbetshypoteser, vilket skulle försämra patientsäkerheten.

Andra utmaningar som vårdpersonal ser med att göra journal- information mer tillgänglig är till exempel att informationen inte är

866

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

pedagogiskt formulerad och därför svårbegriplig för patienten. Vidare har lyfts fram att journalsystemen inte är uppbyggda kring vårdprocesser och uppföljning utan består av en stor mängd uppgifter i kronologisk ordning, som kan vara svårt att ta till sig.

De farhågor som vården framför kring att preliminära uppgifter och arbetshypoteser kan bli synliga för patienten vid fel tillfälle och riskerar att skapa onödig oro har bland annat diskuterats av Sveriges Läkarförbund. Läkarförbundet har föreslagit ett system för rådrum avseende sådana uppgifter, vilket innebär en funktion för att märka vissa informationsmängder så att de inte utlämnas direkt, utan först då ansvarig läkare hunnit bekräfta uppgifterna och haft möjlighet att kommunicera med patienten. Senast efter 14 dagar föreslås rådrummet upphöra och informationen då göras tillgänglig för patienten, om inte ansvarig läkare manuellt har gjort den tillgänglig innan dess.

Några slutsatser från förstudien

Förstudiens slutsats är att patienter och vårdgivare i grunden vill samma sak, dvs. att bidra till och ta del av en så god vård som möjligt. Vården har en insikt om att patienterna vill ta del av den dokumentation som berör dem själva, men vill av olika skäl kunna erbjuda detta under bra och ordnade former. Patienterna har i sin tur en förståelse för vårdens behov av bra arbetsverktyg att dokumentera i, samt att vårdarbetet redan kräver en stor mängd administration som inte bör öka på grund av e-hälsotjänster på området.

I förstudien pekas även på det faktum att en individ sällan är enbart en patient inom hälso- och sjukvården utan samma person har ofta behov av kontakter med andra aktörer som skola, socialtjänst, försäkringskassa, arbetsförmedling, patientföreningar m.fl. De olika aktörerna har ibland behov av att få samlad information om, och kommunicera med varandra och med indi- viden, exempelvis inom ett hälsoärende som innefattar både lands- tingets vård och kommunal omsorg. Förstudiens bedömning är att individens egna incitament att vara den som äger och ”förmedlar” informationen är starka och kan underlätta informationsöver- föringen i vissa situationer.

867

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

33.2.6Hälsa för mig – ett personligt hälskonto

Regeringen har uttalat att patienter och medborgare bör få elektronisk tillgång till sin vårdinformation och ett verktyg som underlättar för den enskilde att engagera sig i sin egen hälsa och hälsoutveckling. Därför har regeringen under 2012 tagit initiativ till att utveckla och erbjuda samtliga invånare i Sverige ett personligt hälsokonto på internet, kallat Hälsa för mig. Det ska ge den enskilde en samlad tillgång till information och andra tjänster som rör deras hälsa. Syftena är bland andra att stimulera till ökat engagemang i den egna hälsan, stärka patientmedverkan i vården, öka patientsäkerheten och skapa förutsättningar för ny innovation på e-tjänsteområdet.

Regeringen skriver i ett informationsblad från den 18 oktober 2012 att ett personligt hälsokonto bedöms vara ett effektivt stöd för den enskilde vid planering, genomförande och uppföljning av livsstilsrelaterade förändringar liksom vid hälso- och sjukvårds- relaterade händelser. Det personliga hälsokontot kan innehålla listor över förskrivna läkemedel, medicinsk information av olika slag eller information om genomförda vaccinationer. Det kan även innehålla en hälsodagbok där den enskilde kan föra in information om friskvård, egenvård, kostvanor etc. Hälsokontot ska således göra det möjligt för den enskilde att dokumentera och följa sin hälsoutveckling.

En ambition är att den enskilde ska kunna utbyta information med både vårdgivare som personen besökt eller behandlats hos, offentliga organisationer och myndigheter samt marknadens aktörer inom hälsosektorn för friskvårdsinformation som har uppgifter som berör den enskildes hälsa och hälsotillstånd och som kan vara av värde för denna.

Bland annat mot denna bakgrund har regeringen tagit initiativ till ett utvecklingsprojekt som syftar till att etablera en teknisk grundplattform för att utveckla hälsokontot. I det ingår att skapa förutsättningar för offentliga vårdgivare, privata utförare och andra entreprenörer att kunna erbjuda nya interaktiva tjänster.

Hälsa för mig ska kunna användas av alla invånare med bedöms av regeringen bli särskilt viktigt för dem som har stora vård- och omsorgsbehov och deras närstående.

Som en grundläggande förutsättning anger regeringen att den enskilde själv bestämmer vilken information som ska laddas ner och lagras i Hälsa för mig samt även vilken information som man

868

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

eventuellt vill dela med sin vårdgivare eller sina närstående. Hälsa för mig är även tänkt att ge en möjlighet att lämna frivillig information till vården om hälsa och biverkningar samt omdömen som kan användas i kvalitetsregister och i uppföljning och kvali- tetssäkring av vården.

Uppdraget att driva utvecklingsprojektet Hälsa för mig har regeringen gett åt eHälsomyndigheten. I myndighetens instruktion anges bland annat att myndigheten ska ”tillhandahålla en elektro- nisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa”.5

33.2.7Internationell utblick

Även i andra länder har ett antal olika initiativ tagits för att göra patientinformation tillgänglig på Internet och/eller skapa nya vägar för att kommunicera med hälso- och sjukvården. Här ska endast kort nämnas några av de initiativen och vilka erfarenheter de visar.

Min e-journal i Danmark

I Danmark har Min e-journal funnits på nätet för patienter sedan 2007 och användningen har gradvis ökat vartefter att allt fler vårdgivare har anslutit sig. Den danska lösningen bygger på att vårdgivarna och patienterna har tillgång till samma system. Under det första kvartalet 2011 har mellan 50 000 och 60 000 patienter har loggat in på e-journal per månad. Utöver ett antal journaluppgifter kan patienten även ta del av loggar över vilka som har tagit del av journalinformationen.

I den danska lösningen har således både patienter och hälso- och sjukvårdspersonal åtkomst till patientens uppgifter i e-journalen. På sådant sätt liknar det en form av sammanhållen journal som patienten kan läsa och ta del av. Någon möjlighet för patienten att dokumentera uppgifter om sin hälsa finns inte.

Journalinformation som skapas av de hälso- och sjukvårds- aktörer som är anslutna till e-journal publiceras där med 14 dagars fördröjning. Det görs för att göra det möjligt för personal i vården att kontakta en patient om det visar sig att något är allvarligt.

5 3 § förordning (2013:1031) med instruktion för E-hälsomyndigheten.

869

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

För barn och unga gäller att journalinformation överförs till e- journalen, men att informationen först kan ses när den unge fyller 15 år. Det är inte möjligt för vårdnadshavare att få del av sina barns e-journal. Inte heller är det möjligt för en anhörig till en patient att få tillgång till dennes e-journal.

De danska invånarna når sin e-journal på nätet via webbsidan sundhed.dk, som är en organisation som leds av staten, regionerna och kommunerna. Ansvaret för de informationsmängder som invånarna kan ta del av i e-journalen ligger på respektive region.

Förutom Min e-journal finns andra tjänster på sundhed.dk, som exempelvis ”Mit medicinkort” som ger en överblick över de medi- ciner den enskilde står på eller ”Mina konsultationer” som ger en överblick över besök hos läkare och annan hälso- och sjukvårds- personal.

Kaiser Permanente (USA), My Health Manager

Utredningen har besökt Kaiser Permanente för att bland annat få en bild av organisationens informationshantering, vilken i många sammanhang lyfts fram som en förebild på området. Kaiser Permanente är den största icke-vinstdrivande sjukvårds- organisationen i USA med omkring 9 miljoner medlemmar (patienter). Deras medlemmar har möjlighet att skapa ett konto i tjänsten My Health Manager och där ta del av olika e-tjänster. Inom ramen för My Health Manager kan patienterna välja vårdgivare, använda s.k. säker e-post för att ställa frågor och få svar från sin läkare, förnya recept, se utdrag ur sin patientjournal, se provsvar, läkemedelslista, vaccinationer m.m.

Det är även möjligt att ta del av uppgifter och utföra ärenden åt en anhörig, t.ex. en äldre förälder. För att få en sådan rättighet krävs ett samtycke från den anhörige.

För My Health Manager finns en fastställd administrativ process där den som vill öppna ett konto måste identifiera sig, ta del av information om vad som erbjuds och vad individen kan förvänta sig, godkänna användarvillkor m.m.

Kaiser Permanente kan hittills visa på en rad positiva effekter som möjligheterna i My Health Manager ger. En farhåga hade innan varit att medlemmarna skulle börja ställa en massa frågor via den säkra e-posten och därmed öka belastningen på personalen, men den farhågan har än så länge inte visat sig vara reell. Däremot

870

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

har Kaiser Permanente kunnat visa resultat på minskat antal besök i primärvården samt förbättrat blodtryck och andra värden hos de patienter som använder kontot.

En ytterligare intressant aspekt i sammanhanget är att Kaiser Permanente, trots ett digert utbud av e-tjänster inom My Health Manager, för tillfället inte erbjuder medlemmarna någon form av tjänst för personlig dokumentation.

33.3Några reflektioner kring informationsflöden och aktörer

Genomgången ovan av olika initiativ och utvecklingsprojekt inom området visar tydligt på att det finns många olika ändamål, aktörer och kommunikationsvägar. Generellt befinner sig individen på olika sätt i navet av informationshanteringen, men personuppgifts- behandlingen görs av en mängd olika aktörer och för en mängd olika syften.

Vidare kan konstateras att denna typ av invånartjänster som det här är fråga om ger upphov till ett antal olika informationsflöden. Vissa tjänster handlar endast om att göra information tillgänglig, medan andra tjänster även syftar till att inbjuda till kommunikation eller ge individen en möjlighet att självständigt kunna hantera och förfoga över utlämnade uppgifter.

Beroende på vilka aktörer som är inblandade och vilka typer av informationsflöden det är fråga om väcks olika rättsliga fråge- ställningar, t.ex. om gränser för personuppgiftsansvar eller i frågor om sekretess och hantering av allmänna handlingar. Nedan exemplifieras några av de informationsflöden som det kan handla om i den ökade kommunikationen mellan medborgare och vård- givare eller mellan medborgare och de som bedriver socialtjänst.

Informationsflöden där individen delges information

En vårdgivare eller den som bedriver socialtjänst kan tillhandahålla information till individen genom elektroniska utlämnanden över internet. Följande exempel kan nämnas.

Utlämnande av vårddokumentation som exempelvis ordinerade läkemedel, provsvar, diagnoser, journalanteckningar etc.

871

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Utlämnande av beslut eller anteckningar om de insatser som utförts inom ramen för socialtjänsten.

Utlämnande av s.k. registerutdrag.

Utlämnande av logglistor, dvs. dokumentation om den åtkomst som förekommit till individens journaluppgifter.

Ett annat exempel på när individen delges information är när eHälsomyndigheten lämnar ut uppgifter om uthämtade läkemedel ur den s.k. läkemedelsförteckningen. I dag görs sådant utlämnande exempelvis genom en e-tjänst som nås efter inloggning i Mina vårdkontakter.

Motsvarande exempel skulle även kunna gå att finna på områden utanför vård- och omsorgssektorn. Som ett exempel kan nämnas kommunikation från myndigheter som Försäkringskassan, Skatte- verket eller Arbetsförmedlingen.

Informationsflöden där individen både delges och delger information

Vårdgivaren eller den som bedriver socialtjänst kan tillhandahålla information till individen och göra det möjligt för honom eller henne att interagera och själv bidra med information genom elektronisk kommunikation. Följande exempel kan nämnas.

Besvarande av olika former av enkäter i socialtjänsten och hälso- och sjukvården.

Inrapportering av olika mätvärden, t.ex. för blodtryck eller blodsockervärden.

Bokning, ombokning och avbokning av tider.

Inrapportering av självskattning, hälsodeklarationer, livsstils- formulär m.m. inför besök hos en vårdgivare eller utförare.

Fråge- och svarsfunktioner där medborgare kan skicka en fråga direkt till exempelvis behandlande läkare eller socialsekreterare och få svar.

872

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Informationshantering där individen dokumenterar på eget initiativ och sedan kan delge andra

En grundtanke inom ramen för flera av de i det föregående redovisade projekten och tjänsterna är att individen ska få möjligheter att själv dokumentera och hantera sådan information som individen anser är viktig för sin hälsa och sitt välmående. Det kan exempelvis göras inom ramen för en eller flera tjänster av hälsodagbokskaraktär som alla kan hanteras och lagras på ett och samma ställe. Sådan information kan sedan individen på eget initiativ välja att dela med sig av till andra.

Det kan även gå till på ett sådant sätt att en vårdgivare eller den som bedriver socialtjänst vänder sig till individen med förfrågan om sådana uppgifter som individen ursprungligen dokumenterat på eget initiativ, men som exempelvis vårdgivaren nu visar intresse för och efterfrågar.

Följande exempel kan nämnas på sådan informationshantering där individen kan dokumentera och förvalta uppgifter om sin livssituation och som även kan delas med andra i eller utanför vård- och omsorgssektorn.

Dokumentation om friskvård, motion och andra hälsofrämjande aktiviteter.

Dokumentation om kostvanor, alkohol, tobak m.m.

Dokumentation om sådana receptfria läkemedel som individen tar.

Dokumentation om välbefinnande, livskvalitet och hälso- situation i stort.

Dokumentation om arbets- eller studiesituationen, gjorda jobbansökningar etc.

Individens egen lagringsplats

Gemensamt för exemplen ovan, oavsett om det är individen som i första skedet har dokumenterat uppgifter om sig själv för sin egen räkning eller efter uppmaning av en vård- och omsorgsaktör eller om exempelvis en vårdgivare har lämnat ut vårddokumentation till individen, är att individen för eget bruk skulle kunna hantera, samla och lagra den information som skapas. Förutom att informationen

873

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

kommuniceras med en vårdgivare, en utförare i socialtjänsten eller en annan aktör, skulle även individen kunna välja att spara informationen för eget bruk. Att förse individen med de möjlig- heterna är en av grundtankarna bakom flera av de redovisade utvecklingsprojekten samt regeringens initiativ med det personliga hälsokontot Hälsa för mig.

I stället för att diabetespatienten endast rapporterar in sitt senaste HbA1c-värde genom den e-tjänst vårdgivaren tillhanda- håller kan patienten även vilja spara ner den informationen och lagra den tillsammans med annan information, exempelvis i ett personligt hälsokonto eller motsvarande. I en för ändamålet designad e-tjänst i sitt hälsokonto skulle individen sedan kunna få en överskådlig bild, t.ex. genom grafer, över sina blodsockervärden över tiden. Tillsammans med annan viktigt information bildas då ett för individen eget beslutsstöd kring t.ex. diabetessjukdomen. I stort sett motsvarande möjligheter finns redan i dag för de patienter inom reumatologin som använder den tidigare nämnda tjänsten PER, patientens egen registrering.

Motsvarande kan förstås gälla för alla andra exempel där individen antingen får information utlämnad eller själv bidrar med information till vård- och omsorgsaktörerna.

Relevanta aktörer och intressenter

Vi ser i dag en utveckling mot att erbjuda individen en egen lagringsplats för hälsorelaterade uppgifter, vilken på sikt kan bli själva navet för den omfattande informationshantering som görs av olika aktörer för delvis olika ändamål. För att trygga individens behov av integritet och sekretess krävs bland annat att de olika sätten att kommunicera kartläggs, analyseras och tydliggörs. Det finns behov av att identifiera gränsen mellan individens och andra inblandade aktörers personuppgiftsbehandling och personuppgift- sansvar.

De centrala aktörer som vi kan identifiera är, förutom individen själv, offentliga och privata vårdgivare, offentliga och privata verksamheter inom socialtjänsten, leverantörer av e-tjänster riktade till individen samt leverantörer av individens lagringsplats (exempelvis lagringsplatsen Hälsa för mig eller motsvarande). Ytterligare en aktör är eHälsomyndigheten, som i dag är person- uppgiftsansvarig för läkemedelsförteckningen som innehåller

874

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

uppgifter om uthämtade läkemedel. Det är tillåtet för myndigheten att elektroniskt lämna ut uppgifter om uthämtade läkemedel till den enskilde individen.

Andra användare än individen kan vara individens ställ- företrädare, exempelvis vårdnadshavare, eller närstående. De har också en viktig roll i detta. En vårdnadshavare kan över internet exempelvis vilja kommunicera, hantera och samla information om sina barns kontakter med vårdgivare och utförare i socialtjänsten. En närstående kan även anförtros att göra detta åt exempelvis en äldre förälder eller annan närstående person. Det kan handla om att kunna ta del av sådant som händer i förälderns vardag, t.ex. på sätt som görs i den tidigare nämnda Omsorgsdagboken. Men en närstående kan även ha en mer aktiv roll åt någon i sin närhet, t.ex. att vara den som över internet bokar tider, tar del av provsvar, följer remissgången m.m. för en annan person.

Utöver de centrala aktörerna ovan finns även ett antal tänkbara intressenter utanför denna sfär. De kan exempelvis vara myndig- heter som Försäkringskassan och Arbetsförmedlingen. Även forskningshuvudmän och andra kan komma att visa intresse för den information som individen förvaltar. Ytterligare en grupp intressenter kan vara andra individer, t.ex. inom ramen för en patientgruppering eller andra forum i individens sociala och privata sfär.

För att tydliggöra bilden och identifiera de legala ansvars- gränserna behövs en analys av de olika aktörernas syften och roller.

33.4Kort genomgång av gällande rätt

Den ökade kommunikationen mellan vård- och omsorgsaktörerna och medborgarna behöver ta hänsyn till de legala förutsättningar som finns. Lagstiftningen för utlämnande av uppgifter till individer, vare sig det görs manuellt, med direktåtkomst eller genom annat elektroniskt utlämnande skiljer sig något åt mellan hälso- och sjukvården respektive socialtjänsten. I det följande redovisas en kortfattad genomgång av några grundläggande förutsättningar, som exempelvis individens rätt att ta del av information om sig själv, ifall uppgifter får lämnas ut elektroniskt samt vilka krav på säkerhetsåtgärder som kan behöva uppfyllas.

För frågor om personuppgiftsansvar hänvisas dels till vad som tidigare redovisats i förslagen till hälso- och sjukvårdsdatalag och

875

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

socialtjänstdatalag, dels till våra överväganden längre fram i detta avsnitt. Vidare berörs generella frågor om personuppgiftansvar för övergripande frågor om tekniska och organisatoriska säkerhets- åtgärder i kapitel 10 och 25.

33.4.1Patientens rätt att ta del av sin journal i hälso- och sjukvården

Inom den offentliga hälso- och sjukvården regleras patientens rätt at ta del av sin journal och andra handlingar och uppgifter av tryckfrihetsförordningen, förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, samt, vad gäller sättet för utlämnande, patientdatalagen (2008:355) förkortad PDL. För utlämnanden från privata vårdgivare gäller patientsäkerhetslagen (2010:659), förkortad PSL, och patientdatalagen.

Av tryckfrihetsförordningen och offentlighets- och sekretess- lagen följer att en patient i princip alltid har rätt att ta del av uppgifter om sig själv. Undantag gäller, enligt 25 kap. 6 § OSL, i förhållande till den vård- och behandlingsbehövande själv om uppgifter om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården och behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne. Om detta undantag inte är tillämpligt ska journalen lämnas ut till patienten och om undantaget är tillämpligt endast för delar av journalen ska journalen lämnas ut i övriga delar.

I 2 kap. 12 och 13 §§ TF anges närmare när och på vilket sätt journalen ska lämnas ut. Av bestämmelserna följer bland annat att ett utlämnande ska göras genast eller så snart som möjligt och att patienten har rätt att få en avskrift eller en kopia av journalen.

För privata vårdgivare gäller enligt 8 kap. 2 § nu gällande patientdatalag att en journalhandling ska på begäran av patienten eller av en närstående till patienten så snart som möjligt tillhandahållas honom eller henne för att läsas eller skrivas av på stället eller i avskrift eller kopia, om inte annat följer av 6 kap. 12 § eller 13 § första stycket PSL. Bestämmelsen i 6 kap. 12 § PSL motsvarar bestämmelsen i 25 kap. 6 § OSL och innebär således att tystnadsplikt gäller i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.

876

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Av patientdatalagen följer även att frågor om utlämnande av en journalhandling från en privat vårdgivare ska prövas av den som är ansvarig för journalhandlingen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning. Med den som ansvarar för journalen avses enligt förarbetena den som enligt föreskrift är skyldig att föra journalen eller se till att journalen förs. Om den som ansvarade för journalen vid behandlingstillfället inte längre tjänstgör, får hans eller hennes efterträdare i verksamheten regelmässigt anses ha övertagit ansvaret för journalen.6

33.4.2Elektroniskt utlämnande av uppgifter till patienten

Även om patienten har en grundläggande rätt att ta del av sin patientjournal och andra uppgifter har patienten ingen rätt att kräva att uppgifterna ska utlämnas elektroniskt.

För offentliga och privata vårdgivare finns dock möjligheter enligt patientdatalagen att lämna ut uppgifterna på medium för automatiserad behandling. Ett sådant utlämnande kan exempelvis göras genom elektronisk filöverföring, USB-minne eller annat.

Dessutom har i och med patientdatalagen gjorts möjligt för vårdgivare att medge en patient direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som av vårdgivaren behandlas för ändamålet vårddokumentation. Under samma förutsättningar får vårdgivare medge en patient direkt- åtkomst till s.k. logglistor, det vill säga dokumentation över den åtkomst som förekommit till patientens uppgifter. För att understryka att en sekretessprövning enligt offentlighets- och sekretesslagen och patientsäkerhetslagen är nödvändig i samband med att uppgifter görs tekniskt åtkomliga för patienten anges i patientdatalagen att det är fråga om uppgifter ”som får lämnas ut till den enskilde”.

Patientdatautredningen uppmärksammade några faktorer som eventuellt skulle kunna vara till nackdel för vissa individer ifall vårdgivaren fick möjlighet att medge patienten direktåtkomst.7 En sådan faktor var risken för att patienten skulle missförstå informationen och en annan var att det kan finnas risk för att vissa

6Prop. 1984/85:189 s. 48.

7SOU 2006:82 s. 385 f.

877

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

patienter utsätts för påtryckningar från t.ex. närstående eller blivande arbetsgivare att visa dem uppgifterna. Ett sätt att begränsa sådana risker var enligt patientdatautredningen att inte göra uppgifterna allt för lätt tillgängliga. I sammanhanget anförde patientdatautredningen bland annat följande.8

Uppgifter om en patient behöver ju inte med automatik finnas till- gängliga för denne via Internet enbart därför att en vårdgivare erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter. Till- gängligheten bör istället förutsätta att patienten inledningsvis på något sätt framfört önskemål till vårdgivaren om att få direktåtkomst till sina uppgifter. Denna förutsättning kommer sannolikt även innebära att det framför allt är de lite mer intresserade patienterna som kommer att ha direktåtkomst till sina patientuppgifter. En framställan om ett önskemål förutsätter ju överväganden från den enskildes sida och ett aktivt handlande. Det ger även vårdgivaren tillfälle att informera pati- enten om t.ex. vart han eller hon kan vända sig för att få hjälp att tyda uppgifterna.

För tydlighetens skull kan tilläggas att vår tanke inte är att det skall krävas en formell ansökan från patienten som utmynnar i ett slags tillstånd. Alla patienter som framför önskemål till en vårdgivare som erbjuder sina patienter möjlighet att få direktåtkomst till patient- uppgifter ska alltså kunna få sådan åtkomst.

33.4.3Krav på säkerhetsåtgärder m.m. i hälso- och sjukvården

Med hänsyn till behovet av skydd för den personliga integriteten krävs vissa säkerhetsåtgärder för att vårdgivare ska få lämna ut vårddokumentation till patienter genom utlämnande på medium för automatiserad behandling eller med direktåtkomst.

Det måste exempelvis finnas tillräckligt säkra tekniska lösningar för att säkerställa identiteten, dvs. att den som efterfrågar uppgifter verkligen är den person denne utger sig för att vara. En annan central säkerhetsåtgärd som krävs är att skydda kommunikationen av uppgifterna från insyn, exempelvis genom kryptering, ifall de lämnas ut elektroniskt.

Patientdatautredningen anförde dessutom att det bör finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av att de är sekretessbelagda eller omfattas av tystnadsplikt i förhållande till patienten.

8 SOU 2006:82 s. 386.

878

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Socialstyrelsens föreskrifter

Förutom att de grundläggande kraven i 31 § personuppgiftslagen (1998:204), förkortad PUL, på organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifter, har Social- styrelsen utfärdat föreskrifter om krav på säkerhetsåtgärder vid kommunikation med enskilda. Av 2 kap. 5 § Socialstyrelsens före- skrifter (SOSFS 2008:14) om informationshantering och journal- föring i hälso- och sjukvården följer krav på vårdgivare som använder öppna nät (t.ex. internet eller Sjunet) på att ansvara för att det i ledningssystemet finns rutiner som säkerställer att

1.överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och

2.åtkomst till patientuppgifter föregås av stark autentisering. Vidare framgår att vårdgivaren i sin informationssäkerhetspolicy

får besluta om undantag från kraven i punkten 1 ovan, för överföring till patienter av påminnelser och kallelser till vård och behandling. Ett sådant beslut ska föregås av en behovs- och riskanalys. En överföring av en påminnelse eller en kallelse får dessutom endast göras efter att patienten har gett sitt medgivande. Överföringen får heller inte avslöja detaljer om en patients hälsotillstånd eller andra personliga förhållanden.

I föreskrifterna förtydligas även säkerhetskraven vid enskildas direktåtkomst. Av 2 kap. 13 § följer att vårdgivaren ska säkerställa att en enskilds direktåtkomst till sina patientuppgifter och till dokumentation om åtkomst (logglistor) endast tillåts efter att den enskilde har identifierats genom stark autentisering.

Vidare anges i 14 § samma kapitel att den vårdgivare som medge en enskild direktåtkomst till sina patientuppgifter även ska ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska kunna lämnas ut genom direktåtkomst.

Om vårdgivaren endast medger den enskilde en begränsad direktåtkomst till sina patientuppgifter, ska vårdgivaren informera den enskilde om detta. Vårdgivaren ska även upplysa patienten om vart han eller hon kan vända sig för att få hjälp med att förstå dokumentationen.

879

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

33.4.4Individens rätt till uppgifter om uthämtade läkemedel

Förutom patientens rätt att ta del av uppgifter i sin patientjournal och vårdgivarnas möjligheter att lämna ut uppgifterna genom direktåtkomst eller annat elektroniskt utlämnande har individen även en rätt att ta del av uppgifter om de läkemedel som han eller hon hämtat på apotek.

Enligt lagen (2005:258) om läkemedelsförteckning ska eHälso- myndigheten föra ett register över köp av förskrivna läkemedel (läkemedelsförteckning). Med köp avses även förvärv av läkemedel med fullständig kostnadsreducering.

Läkemedelsförteckningen innehåller bland annat uppgifter om den enskildes namn och personnummer, inköpsdag, vara, mängd och dosering. Den registrerade har enligt lagens 11 § rätt att när som helst få ett s.k. registerutdrag enligt 26 § PUL, dvs. infor- mation om de uppgifter om individen som behandlas i läke- medelsförteckningen. Ett sådant utlämnande till individen, av uppgifter om individen själv, får göras antingen manuellt, på medium för automatiserad behandling eller genom direktåtkomst.

En privatperson har i dag möjlighet att få ett utdrag ur läkemedelsförteckningen genom att legitimera sig på ett apotek. För individer som har anslutit sig och skapat ett konto på Mina vårdkontakter finns möjlighet att efter inloggning med e- legitimation ta del av sin läkemedelsförteckning. Där presenteras även en lista över de personer som har läst den enskildes läkemedelsförteckning och när detta gjordes.

33.4.5Individens rätt till information i socialtjänsten

Inom den offentligt drivna socialtjänsten regleras individens rätt att ta del av uppgifter om sig själv av tryckfrihetsförordningen och offentlighets- och sekretesslagen. För utlämnanden från privata utförare av socialtjänst gäller socialtjänstlagen och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS.

Av tryckfrihetsförordningen och offentlighets- och sekretess- lagen följer att en individ i princip alltid har rätt att ta del av uppgifter om sig själv.

I 2 kap. 12 och 13 §§ TF anges närmare när och på vilket sätt uppgifter ska lämnas ut. Av bestämmelserna följer bland annat att

880

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

utlämnande ska göras genast eller så snart som möjligt och att individen har rätt att få en avskrift eller en kopia av journalen.

Vidare finns bestämmelser i 11 kap. SoL om handläggning av ärenden. I kapitlets 7 § anges bland annat att dokumentation ska utformas med respekt för den enskildes integritet och att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne.

När det gäller myndighetsutövningen inom socialtjänsten ska bland annat förvaltningslagens (1986:223) bestämmelser om parts rätt att få ta del av uppgifter och underrättelser av beslut tillämpas.

Av 7 kap. 4 § SoL följer att en handling i en personakt i privat verksamhet som står under Inspektionens för vård och omsorg tillsyn ska, om det begärs av individen, så snart som möjligt till- handahållas för läsning eller avskrivning på stället eller i avskrift eller kopia. Motsvarande bestämmelser finns även i lagen om stöd och service till vissa funktionshindrade.

För socialtjänstens del finns inte någon motsvarande bestäm- melse som den för hälso- och sjukvården, om att sekretess i vissa fall kan gälla även gentemot individen själv.

33.4.6Elektroniskt utlämnande till individen i socialtjänsten

I lagen (2001:454) om behandling av personuppgifter inom social- tjänsten saknas motsvarande bestämmelser som finns i patient- datalagen om utlämnande genom direktåtkomst eller på medium för elektronisk behandling. Lagen hänvisar endast, genom 8 §, att de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och lagen om stöd och service till vissa funktions- hindrade gäller vid utlämnande av personuppgifter som finns inom socialtjänsten.

Dessa bestämmelser handlar endast om frågan ifall uppgifter får lämnas ut, inte om frågan hur de i sådant fall får lämnas ut. Avsaknaden av bestämmelser innebär inte att det är omöjligt att elektroniskt lämna ut uppgifter i socialtjänsten. Utlämnande av uppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § PUL, som är tillåten om utlämnandet görs i enlighet med de ändamål som är bestämda för personuppgiftsbehandlingen och att kraven på informations- säkerhetsåtgärder iakttas. Dessutom måste utlämnandet göras med beaktande av bestämmelser om sekretess och tystnadsplikt.

881

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Sammanfattningsvis gäller således att uppgifter i socialtjänsten kan lämnas ut elektroniskt om personuppgiftsbehandlingen som sådan är tillåten samt att det inte föreligger någon sekretessen för uppgifterna. Det innebär att det i praktiken inte föreligger några hinder för socialtjänsten att på begäran av den enskilde lämna ut uppgifter om honom eller henne på medium för elektronisk behandling. Så länge som kraven på informationssäkerhet upp- rätthålls.

Inte heller kan en avsaknad av bestämmelser som ger den enskilde en möjlighet till direktåtkomst till uppgifter i social- tjänsten anses förhindra att en utförare av socialtjänst medger enskilda just sådan åtkomst. För hälso- och sjukvårdens del fanns innan patientdatalagen en begränsande regel i dåvarande vård- registerlagen (1998:544), som innebar att endast den som behövde tillgång till uppgifterna för att kunna utföra sitt arbete fick ha direktåtkomst till uppgifterna. Bestämmelsen tolkades av Data- inspektionen och domstolar på ett sådant sätt att det inte bedömdes vara möjligt att låta patienten få direktåtkomst till uppgifter om sig själv, eftersom patienten inte kunde sägas behöva uppgifterna för sitt arbete. Någon sådan motsvarande bestämmelse finns däremot inte på socialtjänstens område.

Utredningen ser därför inga rättsliga hinder för socialnämnder eller privata utförare att erbjuda enskilda individer direktåtkomst till uppgifter om sig själv. Detta givetvis under förutsättning att den enskilde är identifierad på ett tillräckligt säkert sätt och att övriga åtgärder för att skydda uppgifterna från obehörig åtkomst har vidtagits.

33.4.7Krav på säkerhetsåtgärder m.m. i socialtjänsten

Det saknas särskilda bestämmelser om säkerhetsåtgärder i lagen om behandling av personuppgifter inom socialtjänsten. Genom lagens hänvisning till personuppgiftslagen står det dock klart att de grundläggande kraven på organisatoriska och tekniska säkerhets- åtgärder som följer av 31 § PUL gäller för hantering av uppgifter i socialtjänsten.

Av den bestämmelsen och praxis från Datainspektionen har bland annat slagits fast känsliga personuppgifter om hälsa eller personuppgifter som av andra skäl är integritetskänsliga, t.ex. för att de omfattas av sekretess, endast får lämnas ut via öppna nät till

882

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (exempelvis e-legitimation), engångslösenord eller motsvarande. Dessutom ska person- uppgifterna vara krypterade vid överföring.

En följd av detta är att uppgifter från socialtjänsten inte får lämnas ut över internet till den enskilde, med mindre än att uppgifterna är krypterade vid överföringen och att den enskilde kan styrka sin identitet genom stark autentisering. Sådana uppgifter bör i regel, för det fall de inte är att betrakta som känsliga person- uppgifter enligt personuppgiftslagen, åtminstone anses vara särskilt integritetskänsliga och därmed särskilt skyddsvärda.

33.5Våra överväganden och förslag

Den ökade elektroniska kommunikationen mellan aktörer inom hälso- och sjukvård och socialtjänst och enskilda medborgare ger upphov till en rad rättsliga frågeställningar av olika karaktär, som exempelvis rörande personuppgiftsansvar, förutsättningar för direkt- åtkomst, sekretess och hantering av allmänna handlingar.

Flera av frågorna är inte nya och är delvis redan omhändertagna i lagstiftningen. Samtidigt kan konstateras att den rådande utvecklingen ger upphov till nya frågor om lagstiftningens närmare tillämpning. Vidare kan det finnas skäl att så långt möjligt harmo- nisera regelverken vad gäller utlämnande av information till enskilda inom socialtjänsten och hälso- och sjukvården.

33.5.1Direktåtkomst för enskilda i socialtjänsten

Vårt förslag: En bestämmelse i socialtjänstdatalagen ska ange att den som bedriver verksamhet inom socialtjänsten får medge enskild direktåtkomst till personuppgifter om henne eller honom. Den enskilde får även medges direktåtkomst till dokumentation om åtkomst. Regeringen eller den myndighet som regeringen bestämmer, får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.

Hänvisning: Ytterligare frågor om den enskildes möjlighet att förfoga över sin direktåtkomst, t.ex. genom att låta andra ta del av uppgifter om den enskilde, behandlas i avsnitt 33.5.11.

883

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Inom socialtjänstens område saknas uttryckliga bestämmelser om förutsättningarna för att lämna ut uppgifter till enskilda genom direktåtkomst. Nuvarande lag om behandling av personuppgifter inom socialtjänsten hänvisar endast till att de begränsningar som följer av offentlighets- och sekretesslagen, socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade gäller vid utlämnande av personuppgifter som finns inom socialtjänsten. För socialtjänstens del finns inte någon motsvarande bestämmelse som den för hälso- och sjukvården om att sekretess i vissa fall kan gälla även mot individen själv. Utredningen har i genomgången av gällande rätt även konstaterat att nuvarande regelverk, trots avsaknad av uttryckliga bestämmelser om direktåtkomst för enskilda, inte kan anses förhindra en sådan direktåtkomst. Däremot kan en avsaknad av bestämmelser riskera att skapa en osäkerhet för vad som gäller hos dem som ska tillämpa lagstiftningen. Dessutom kan det förhållandet att det för hälso- och sjukvårdens del uttryckligen regleras, ge upphov till en sådan osäkerhet. Mot den bakgrunden finns det skäl att harmonisera lagstiftningarna även i dessa delar.

Utredningens bedömning är även att en tydlig reglering kan utgöra en viktig signal för att stimulera en utveckling av fler e- tjänster som på olika sätt kan öka servicen och tillgängligheten gentemot invånarna samt stärka den enskildes inflytande och del- aktighet i socialtjänsten. Nu när vi föreslår en helt ny social- tjänstdatalag med ett antal olika bestämmelser om utlämnande genom direktåtkomst har även bestämmelser om direktåtkomst för enskilda en naturlig och självklar plats. Sammantaget gör det att vi föreslår bestämmelser på socialtjänstens område som i allt väsentligt överensstämmer med motsvarande bestämmelser i hälso- och sjukvården.

Enligt utredningens förslag ska en enskild kunna medges direktåtkomst till sina egna uppgifter som behandlas av den som bedriver verksamhet inom socialtjänsten. Utredningen ser inte något behov av att införa en skyldighet för den som bedriver verksamhet inom socialtjänsten att tillhandahålla enskild direkt- åtkomst till uppgifter utan endast en möjlighet till detta. Det finns naturligtvis inget hinder mot att uppgifter om den enskilde även lämnas ut på medium för automatiserad behandling.

Den som bedriver verksamhet inom socialtjänsten ska ha en frihet att själv avgöra om och i vilken omfattning enskilda ska

884

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

erbjudas direktåtkomst. Det behöver således inte röra samtliga uppgifter rörande enskilda utan det kan mycket väl röra sig om avgränsade informationsmängder som exempelvis kontaktuppgifter till socialtjänsten, biståndsbeslut, genomförandeplaner, dokumen- tation av genomförande av beslutade insatser m.m. Detta innebär att enskilda kan medges direktåtkomst såväl till sådana uppgifter som behandlas i samband med utredningar eller bistånds- bedömning som uppgifter som behandlas vid genomförande av beslutade insatser. Även sådana uppgifter som den som bedriver socialtjänst behandlar med stöd av den enskildes samtycke, får lämnas ut genom direktåtkomst.

Enligt den bestämmelse som vi föreslår ska utlämnande genom direktåtkomst endast avse uppgifter om den enskilde själv. Det innebär att det saknas stöd för att till den enskilde lämna ut sådana uppgifter om andra personer som kan återfinnas i socialtjänstens dokumentation rörande den enskilde. Som exempel kan nämnas uppgifter rörande familjemedlemmar, närstående eller andra upp- giftslämnare. Enligt 26 kap. 5 § OSL gäller även sekretess för uppgift i anmälan eller utsaga av en enskild om någons hälso- tillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt med om uppgiften röjs. Det innebär att den som bedriver verksamheten alltid måste göra en bedömning om sådana uppgifter finns bland den information som man har för avsikt att lämna ut genom direktåtkomst och om uppgifterna i sådant fall omfattas av sekretess. Med hänsyn till behovet av skydd för uppgiftslämnare och anmälare behöver den som bedriver verksamheten därför ha rutiner som säkerställer att sådana uppgifter inte lämnas ut genom direktåtkomst om de omfattas av sekretess.

Vidare framgår av den föreslagna bestämmelsen att den enskilde får medges direktåtkomst till sådan dokumentation som avser personalens elektroniska åtkomst till den enskildes uppgifter (behandlingshistorik, logglistor). Genom en sådan åtkomst kan den enskilde själv bilda sig en uppfattning om den åtkomst till uppgifterna som förekommit.

Regeringen, eller den myndighet som regeringen bestämmer, bör få meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid direktåtkomst. För att den enskilde ska kunna medges direktåtkomst krävs att det finns tillräckligt säkra tekniska lös-

885

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

ningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Data- inspektionen ska meddela sådana föreskrifter. På hälso- och sjukvårdens område följer krav på säkerhetsåtgärder av Social- styrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

För ytterligare frågor om enskildas möjligheter att förfoga över direktåtkomsten, exempelvis genom att låta någon annan ta del av den enskildes uppgifter genom direktåtkomst, se vidare avsnitt 33.5.11.

33.5.2Direktåtkomst för patienter och frågan om sekretess mot patienten själv

Vårt förslag: Bestämmelserna i 25 kap. 6 § OSL och i 6 kap. 12 § andra stycket PSL om sekretess och tystnadsplikt gentemot patienten själv ska tas bort.

Patientdatalagens nuvarande bestämmelse om enskildas direktåtkomst till uppgifter om dem själva förs över till hälso- och sjukvårdsdatalagen, men anpassas med anledning av vårt förslag om att ta bort sekretessen mot patienten själv. Vidare tas den nu gällande begränsningen om att patienten endast får medges direktåtkomst till uppgifter som behandlas för ända- målet vårddokumentation bort. Patientens möjlighet att få direktåtkomst till loggar överförs oförändrad från patient- datalagen. På samma sätt som i dag får regeringen eller den myndighet som regeringen bestämmer meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direkt- åtkomst.

Hänvisning: Ytterligare frågor om den enskildes möjlighet att förfoga över sin direktåtkomst, t.ex. genom att låta andra ta del av uppgifter om den enskilde, behandlas i avsnitt 33.5.11

Inledning

Normalt gäller inte sekretess till skydd för en enskild i förhållande till den enskilde själv. I hälso- och sjukvården finns dock bestäm- melser i offentlighets- och sekretesslagen samt patient-

886

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

säkerhetslagen som i vissa fall medför att sekretess kan bedömas föreligga även gentemot den enskilde själv. Bestämmelsen i 25 kap. 6 § OSL lyder som följer.

Sekretessen enligt 1–5 §§ gäller i förhållande till den vård- eller behandlingsbehövande själv för uppgift om hans eller hennes hälso- tillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

Bestämmelsen är ingalunda ny, utan har funnits i sin nuvarande utformning alltsedan ikraftträdandet av 1980-års sekretesslag. I propositionen 1979/80:2 anförs att bestämmelsen bör utformas mycket restriktivt och att det endast i rena undantagsfall bör komma ifråga att en myndighet under hänvisning till en enskildes bästa vägrar den enskilde att ta del av uppgifter om sig själv. Bland annat framgår följande.9

Den förtroendefulla samverkan mellan medicinalpersonal och patient som bör prägla allt vård- och behandlingsarbete kan knappast främjas av en ordning som innebär att det i inte helt obetydlig omfattning är möjligt att vägra patienten att ta del av sin egen behandlingsjournal. Skadeverkningar bör istället i största möjliga utsträckning förebyggas genom att den som gör anteckningar i journalen utformar dessa med beaktande av att patienten kan komma att läsa dem. Enligt pro- memorian kan det emellertid inte uteslutas att det i undantagsfall kan föreligga ett medicinskt betingat behov av en möjlighet att låta jour- nalsekretessen gälla också i förhållande till patienten själv. En sådan regel bör dock utformas mycket restriktivt.

----

Förutsättningarna för att journalen ska kunna undanhållas en patient har i promemorieförslaget getts en något snävare avgränsning än enligt gällande rätt. Enligt förslaget krävs att det är av synnerlig vikt med hänsyn till vården och behandlingen att uppgiften inte lämnas till patienten. Dessutom gäller att det skall vara fråga om pågående vård eller behandling. En tillfrisknad person skall enligt promemorian inte kunna vägras tillgång till sin journal med den motiveringen att kunskap om dennas innehåll skulle kunna föranleda att han insjuknade på nytt. Enligt promemorian måste det anses vara från principiell synpunkt riktigast att en person som inte är föremål för någon vård eller behandling ges rätt att själv fatta de beslut som kan ha betydelse för hans hälsotillstånd.

För den privata hälso- och sjukvårdens del finns en motsvarande bestämmelse i 6 kap. 12 § andra stycket PSL. Enligt den bestäm-

9 Prop. 1979/80:2 s. 177 ff

887

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

melsen gäller tystnadsplikt även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten. Eftersom bestämmelsen är av samma innebörd som motsvarande bestäm- melse i offentlighets- och sekretesslagen talas i det följande endast om den bestämmelsen.

Problembeskrivning

Det kan å ena sidan konstateras att tillämpningsområdet för bestämmelsen om sekretess mot patientens själv är väldigt snävt. Det ska således röra sig om en situation när den enskilde är föremål för pågående vård och där det med hänsyn till ändamålet med den pågående vården och behandlingen är av synnerlig vikt att uppgift om den enskildes eget hälsotillstånd inte lämnas till honom eller henne.

Å andra sidan kan bestämmelsens tillämpningsområde betraktas som mycket vidsträckt när den ställs i relation till användningen av den typ av e-tjänster vi talar om här. E-tjänster som mer eller mindre automatiskt lämnar ut och tar emot uppgifter till och från patienter. Åtminstone teoretiskt kan sekretessbestämmelsen bli tillämplig så fort en vårdgivare lämnar ut aktuella uppgifter om exempelvis provsvar, journalanteckningar, läkemedel, remissvar m.m. till patienter. Detta oavsett om de uppgifter som lämnas ut har påverkan på ändamålet med patientens vård eller behandling. Bara det faktum att uppgifterna kan göra det innebär sannolikt att det krävs rutiner för sekretessprövning i varje enskilt fall.

Från andra sektorer i samhället lämnas i dag sekretessbelagda uppgifter ut till individer genom smidiga elektroniska lösningar över internet. Som exempel kan nämnas Skatteverket och Försäkr- ingskassan. Även de myndigheterna hanterar individinformation som omfattas av sekretess och måste då vid utlämnande göra någon form av sekretessprövning. Prövningen bör dock, till skillnad från vad som gäller i hälso- och sjukvården, i princip kunna begränsas till frågan om den som efterfrågar informationen verkligen är identisk med den som informationen rör. Ur ett sekretess- perspektiv blir det viktiga således att säkerställa att ingen annan än den enskilde får uppgifterna utlämnade till sig. En sådan typ av sekretessprövning kan givetvis omsättas i en automatisk elektro- nisk kontroll, t.ex. genom att villkora ett utlämnande med att den

888

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

som efterfrågar informationen identifierar sig med e-legitimation eller motsvarande lösning för stark autentisering.

För hälso- och sjukvårdens del gäller dock att sekretess- prövningen inte enbart ska innefatta kontroller av identiteten hos mottagaren utan även av de omständigheter som kan förhindra ett utlämnande enligt 25 kap. 6 § OSL. Det är något som sannolikt är komplicerat, eller kanske till och med omöjligt, att helt auto- matisera.

Utredningens uppfattning är att sekretessbestämmelsen gente- mot patienten själv kan hindra användningen av effektiv teknik för kommunikation mellan vården och medborgarna. Det är därför nödvändigt, inte minst mot bakgrund av regeringens strävanden att på olika sätt stärka patientens ställning, att analysera om bestämmelsen fortfarande är ändamålsenlig eller om den bör tas bort.

Tillämpningen av sekretessbestämmelsen i dag

Det har inte varit möjligt för utredningen att få fram bred statistik över hur ofta eller i vilka situationer den aktuella sekretess- bestämmelsen i själva verket tillämpas i dag. En fingervisning i sammanhanget kan hämtas från den tidigare redogjorda uppgiften från Landstinget i Uppsala län, där man enligt egen uppgift lämnade ut 11 000 journaler under 2011. Fem av dessa journaler gick till chefläkare för bedömning, vartefter beslut om att hemlig- hålla uppgifter fattades i ett av fallen.

Flera av de enskilda kontakter vi haft med hälso- och sjuk- vårdspersonal pekar i samma riktning, antingen har man aldrig hört att den tillämpats eller så känner man till ett fåtal gånger när uppgifter har hemlighållits med hänvisning just till denna bestäm- melse.

Det har även framkommit att det verkar råda en osäkerhet om hur bestämmelsen ska tillämpas. Bland annat har berättats att bestämmelsen har använts för att inte lämna ut journaluppgifter som har varit formulerade på ett sätt man befarat skulle kunna ha gjort patienten arg, kränkt eller orolig. Det verkar också före- komma en viss sammanblandning mellan den nu aktuella sekretess- bestämmelsen och den som ger skydd för uppgiftsutlämnare.

Till stöd för bestämmelsen har genom åren framförts dess betydelse inom psykiatrin. I den allmänna debatten har inte sällan

889

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

sagts att det är nödvändigt att hemlighålla vissa uppgifter för den som lider av svåra psykiska besvär. Annars skulle förutsättningarna för patienters vård- och behandling riskera att försämras, eller att patienter till och med skulle kunna vidta åtgärder som är farliga för dem själva. Vid utredningens kontakter med företrädare för psykiatrin har denna bild däremot blivit ifrågasatt. Tvärtom anförs att en förutsättning för en framgångsrik vård och behandling är ett förtroende och en transparens mellan vårdpersonalen och pati- enten. Någon generell risk för att det skulle vara farligt för pati- enter inom psykiatrin att ta del av uppgifter om deras hälsotillstånd bedömer man inte föreligga.

Bestämmelsen bör tas bort

Det är otvetydigt att det finns omständigheter som talar för att bestämmelsen om sekretess mot patienten själv inte bör finnas kvar. Det kan ifrågasättas om den verkligen är ändamålsenlig i en tid när mycket av utvecklingsarbetet går mot att sätta patienten i centrum, utgå ifrån patientens process och på olika sätt stärka dennes ställning i hälso- och sjukvården. En förutsättning för att kunna ge patienten en större insikt i sin hälsosituation och på olika sätt stimulera till att öka patientens delaktighet och inflytande i vården är bl.a. att patienten har tillgång till rätt information. Öppenhet i relationen och kommunikationen mellan vården och patienterna är generellt sett en nödvändig ingrediens i denna utveckling.

Till stöd för att ta bort bestämmelsen kan även tas de över- väganden som gjordes i samband med dess införande i 1980-års sekretesslag och som har redovisats ovan. Det uttalades tydligt att bestämmelsen skulle utformas restriktivt och endast tillämpas i rena undantagsfall. De praktiska möjligheterna att tillämpa bestäm- melsen på ett sådant sätt är väsentligt förändrade i dag jämfört med tidigare när det var fråga om en manuell informationshantering.

Samtidigt kan det naturligtvis inte uteslutas att det kan uppstå enskilda situationer där ett hemlighållande av uppgifter skulle kunna vara motiverat. Men det är sannolikt att behovet av ett sådant hemlighållande är i det närmaste försvinnande litet. I förar- betena till bestämmelsen anförs inte bara att bestämmelsen bör tillämpas endast i undantagsfall, utan också att skadeverkningar istället bör förebyggas genom att den som gör anteckningar i

890

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

journalen utformar dessa med beaktande av att patienten kan komma att läsa dem. Dessa uttalanden och ställningstaganden gjordes för drygt trettio år sedan, i en tid när patientens ställning i hälso-och sjukvården generellt kan betraktas som betydligt svagare än vad som är fallet i dag. Att patienten kan komma att ta del av uppgifter och att anteckningar i en patientjournal så långt möjligt ska utformas så att patienten förstår dem, får i dag betraktas som självklara och grundläggande förutsättningar.

Vidare är vår uppfattning att det snarare kan finnas behov av att anpassa informationsinsatserna efter patientens aktuella situation och hälsotillstånd än att hemlighålla uppgifterna. Det kan inte uteslutas att det finns en risk att dagens bestämmelse i viss utsträckning kan motverka sådana individuella informationsinsatser genom att istället tillämpa bestämmelsen och ”lägga locket på”. En naturlig utveckling mot en mer patientcentrerad hälso- och sjukvård vore att tillhandahålla individuellt anpassad information i sådana situationer det bedöms påkallat med hänsyn till patientens hälsotillstånd.

I sammanhanget kan även nämnas att motsvarande bestämmelse har funnits i Danmark, men att den togs bort under 2010. Den nuvarande danska bestämmelsen innebär dock att den tidigare sekretessbestämmelsen ska tillämpas på uppgifter som är dokumenterade före den nya bestämmelsens ikraftträdande 2010. En relevant fråga är om den valda lösningen i Danmark, dvs. att uppgifter som där är dokumenterade under en tid med föregående sekretessbestämmelse fortfarande ska omfattas av sekretess och tystnadsplikt, kan vara en lämplig väg att gå även för svensk del. Utredningen har övervägt detta, men funnit att det finns sådana grundläggande skillnader mellan den danska ursprungsbestäm- melsen och bestämmelsen i 25 kap. 6 § OSL, att det inte framstår som ett lämpligt alternativ.

Motiven bakom den danska lösningen var framför allt att ta hänsyn till uppgifter som var dokumenterade på ett visst sätt under en tid då det fanns möjlighet att hemlighålla uppgifter för patienten. Bestämmelsen i offentlighets- och sekretesslagen tar dock inte alls tar sikte på hur en uppgift är formulerad, utan endast på att det ska röra en uppgift om hälsotillstånd avseende en patient som är under pågående vård och behandling. Därför gör sig inte samma skäl gällande i Sverige. Det saknas enligt vår uppfattning befogade skäl att låta uppgifter hemlighållas för den enskilde endast på grund av att de är formulerade på ett visst sätt.

891

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Sammantaget gör utredningen bedömningen att risken med att ta bort bestämmelsen väger förhållandevis lätt jämfört med de vinster som skulle uppkomma, såväl vad gäller ökade fundamentala patienträttigheter som möjligheterna för patienter att med effektiva och säkra e-tjänster kunna ta del av för individen viktig information om sitt hälsotillstånd. Många individer förutsätter att det i dag ska gå att hantera uppgifter om hälsa på motsvarande sätt som uppgifter om ekonomi, skatter, socialförsäkringsförmåner osv. Ur ett rent patienträttighetsperspektiv skulle ett borttagande av bestämmelsen ytterligare befästa patientens ställning och dennes rätt till samma information om sig själv som hälso- och sjukvårds- personalen har. Eftersom bestämmelserna är teknikneutrala skulle ett borttagande föra med sig att det ur ett sekretesshänseende blir oväsentligt om patienten efterfrågar uppgifter muntligt, på papper eller på elektronisk väg. Det går heller inte att bortse ifrån att ett upphävande av bestämmelsen kan komma att ha en positiv inverkan såväl på dokumentationen i hälso- och sjukvården som för vårdens sätt att kommunicera med patienten.

Sammanfattningsvis föreslår utredningen således att bestäm- melserna om sekretess och tystnadsplikt gentemot patienten själv i 25 kap. 6 § OSL och i 6 kap. 12 § andra stycket PSL ska upphävas.

Med detta sagt vill vi även understryka att förslaget inte innebär att patienter automatiskt, utan att själva ha efterfrågat det, ska få del av uppgifter från hälso- och sjukvården. Att bestämmelsen tas bort innebär endast att en vårdgivare inte kan neka en patient att ta del av uppgifter om sig själv om patienten begär att få ta del av dem. Vidare påverkar förslaget inte heller frågan om uppgifter ska lämnas ut manuellt, genom direktåtkomst eller på medium för automatiserad behandling. Det står vårdgivare fritt att själv fatta beslut i frågor om tillvägagångssättet för utlämnande. Många gånger bör särskilt utlämnande genom direktåtkomst ge anledning till frågor av etisk karaktär eller till särskilda lämplighets- överväganden. Det kan exempelvis handla om vårdnadshavare ska få ha direktåtkomst till uppgifter om barn i olika åldrar, om information från vissa särskilt känsliga verksamheter bör undantas från direktåtkomst eller om ett utlämnande genom direktåtkomst ska göras med viss fördröjning. Frågor som dessa är högaktuella redan i dag. Ett upphävande av de aktuella bestämmelserna skulle inte medföra någon skillnad i det avseendet.

892

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Förslaget berör inte frågan om sekretess för uppgiftslämnare m.m.

Utredningens förslag innebär ingen förändring av det gällande regelverket om sekretess till skydd för andra som kan omnämnas i en patientjournal. Enligt 25 kap. 7 § OSL gäller exempelvis sekre- tess för uppgift i anmälan eller utsaga av en enskild om någons hälsotillstånd eller andra personliga förhållanden, i förhållande till den som anmälan eller utsagan avser, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.

Det innebär att vårdgivare alltid har att göra en bedömning om sådana uppgifter finns bland den information som avses lämnas ut genom direktåtkomst och om uppgifterna i sådant fall omfattas av sekretess. Med hänsyn till behovet av skydd för uppgiftslämnare och anmälare behöver vårdgivare därför ha rutiner som säkerställer att sådana uppgifter inte lämnas ut genom direktåtkomst om de omfattas av sekretess.

Följdändringar i bestämmelsen om direktåtkomst

Förslaget föranleder även behov av ändrade förutsättningar för vårdgivares möjligheter att lämna ut vårddokumentation genom direktåtkomst till patienter. Av den nuvarande bestämmelsen i 5 kap. 5 § PDL följer att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Det kursiverade ska inte föras över till hälso- och sjukvårdsdatalagen utan där ska anges att en vårdgivare får medge en enskild direktåtkomst till uppgifter om den enskilde själv.

Patienten ska kunna ges direktåtkomst till alla uppgifter om patienten

Enligt den nu gällande bestämmelsen i 5 kap. 5 § PDL får en vårdgivare endast ge patienten direktåtkomst till uppgifter som vårdgivaren behandlar för ändamålet vårddokumentation. Det innebär, såvitt vi kan bedöma, att vårdgivare är förhindrade att exempelvis ge patienten direktåtkomst till uppgifter som behandlas för andra ändamål, t.ex. kvalitetssäkring eller verksamhets-

893

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

uppföljning. I ett sådant fall skulle patienten inte kunna få direkt- åtkomst till uppgifter som patienten själv har bidragit med t.ex. genom att svara på enkäter som inte nödvändigtvis har betydelse för patientens vård och är att hänföra till ändamålet vård- dokumentation. Enligt vår bedömning saknas det skäl att begränsa vårdgivares möjlighet att ge patienter direktåtkomst till uppgifter om dem själva. Vi föreslår därför att den nuvarande begränsningen ska tas bort. I hälso- och sjukvårdsdatalagen ska således anges att vårdgivare får ge enskild direktåtkomst till uppgifter om den enskilde själv. På detta sätt kommer möjligheterna att lämna ut uppgifter genom direktåtkomst att motsvara den rättighet till samtliga uppgifter som följer av en begäran om ett s.k. register- utdrag enligt 26 § PUL.

Vidare föreslås att patientens möjlighet att genom direkt- åtkomst få tillgång till dokumentation om den åtkomst som före- kommit till patientens uppgifter (loggar) överförs oförändrad från patientdatalagen till hälso- och sjukvårdsdatalagen. På samma sätt som i dag föreslås även regeringen eller den myndighet som regeringen bestämmer få meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid enskildas direktåtkomst.

33.5.3Tydlig information och överenskommelser med den enskilde

Vår bedömning: Utlämnanden genom direktåtkomst eller kom- munikation med enskilda över internet bör föregås av tydlig information och någon form av överenskommelse. Några uttryckliga regler om detta bör dock inte tas in i lagstiftningen.

En grundläggande förutsättning för att enskilda ska känna trygghet med att känsliga personuppgifter om kontakter med hälso- och sjukvården eller socialtjänsten kommuniceras över internet är sannolikt att enskilda får tydlig information om de olika förutsättningarna och säkerhetsåtgärderna som gäller för kommu- nikationen. För att den enskilde via en e-tjänst ska få information från eller delge information till en vårdgivare eller till en som bedriver socialtjänst bör det även krävas någon form av överens- kommelse eller användarkontrakt mellan parterna.

894

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Känsliga uppgifter om hälsa bör, enligt utredningens uppfatt- ning, därför inte kommuniceras över internet om inte individen efter att ha fått närmare information har accepterat vård-och omsorgsaktörens erbjudande om detta. Informationshanteringen på detta område är komplex och innefattar en mängd olika aktörer och en mängd olika ändamål för personuppgiftsbehandlingen. Det är därför inte möjligt att göra en detaljuppräkning av vad infor- mationen ska omfatta, utan det får avgöras efter omständigheterna i det enskilda fallet. Några särskilda regler om krav på information eller överenskommelse mellan enskilda och de personupp- giftsansvariga bör därför inte införas i lagstiftningen. Det saknas även, enligt vår bedömning, anledning att anta att person- uppgiftsansvariga inom vård- och omsorgssektorn inte kommer att arbeta aktivt med frågan så att enskilda känner trygghet med hur uppgifter hanteras och skyddas.

På en övergripande nivå anser vi att den personupp- giftsansvarige, i enlighet med de grundläggande kraven på infor- mation vid personuppgiftsbehandling, alltid måste informera om den aktuella personuppgiftsbehandlingen. I detta bör, i tillämpliga fall, ingå information om sådant som vilka personuppgifter som behandlas, vad uppgifterna kommer att användas till och vilka säkerhetsåtgärder som är vidtagna. Vidare bör informationen och överenskommelsen belysa eventuellt övriga villkor för använd- ningen av e-tjänsten. Sådana villkor kan t.ex. röra inloggning med stark autentisering och användandet av vissa termer och begrepp.

Den enskilde behöver även information om vad som rent generellt kan förväntas av olika typer av e-tjänster. Sådan infor- mation kan exempelvis handla om individens möjligheter att få information förklarad eller förtydligad, om individen får upp- gifterna i samma stund som de dokumenteras, om individen kan kontakta den som lämnar ut information med en fråga i direkt anslutning till att informationen lämnas ut etc.

Även när det gäller sådana e-tjänster som möjliggör för individer att delge vård- och omsorgsaktörerna uppgifter, behövs information som tydliggör förväntningar och roller mellan olika aktörer. Utredningens sammantagna bedömning är att det bör finnas någon form av överenskommelse eller användarkontrakt mellan individerna och vårdgivarna eller utförarna i socialtjänsten eller den som tillhandahåller ett hälsokonto.

895

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

33.5.4Begreppet personligt hälskonto – behov av definition?

Vår bedömning: Enligt utredningen bör ett personligt hälso- konto i första hand definieras som en lagringsplats på nätet, där individen kan välja att för eget bruk lagra och i övrigt fritt hantera information som skapats av individen själv eller någon annan aktör.

Begreppet personligt hälsokonto bör i dagsläget inte defini- eras i lag, eftersom det är svårt att överblicka konsekvenserna av den rådande utvecklingen och vilka beröringspunkter olika varianter av personliga hälsokonton kommer att kunna ha med andra invånartjänster m.m.

Inledning

Begreppet hälsokonto har genom åren använts, både nationellt och internationellt, utan att det funnits någon egentlig definition eller beskrivning av de faktorer som kännetecknar eller bör känneteckna ett hälsokonto. Definitionen av e-hälsa har blivit mer eller mindre allmängiltig i Sverige och används i dag för att beskriva alla sorts tjänster och system som utvecklas med hjälp av it-baserade till- lämpningar och som möjliggör utveckling av elektroniska patient- journalsystem, telemedicin, personliga kroppsburna och bärbara kommunikationssystem, hälso- och sjukvårdsportaler och många andra it-baserade verktyg som bidrar till sjukdomsförebyggande, diagnos, behandling, hälsoövervakning och råd om levnadsvanor.

I rapporten ”På jakt efter ett eHälsokonto” analyseras frågan om innebörden av ett hälsokonto.10 Författarna anför att i Sverige verkar ett Hälsokonto associeras med en självständig it-baserad lösning (inte kopplat till något journalsystem) som underlättar för vårdgivaren att erbjuda den enskilde patienten administrativa personbaserade tjänster och för patienten att få en enhetlig bild av sin hälso- och sjukvårdsinformation. Genom att öppna ett person- ligt användarkonto för att elektroniskt få möjlighet att beställa vårdtjänster som vård- och omsorgsproducenterna erbjuder, har individen möjlighet att på egen hand hantera tjänster som inte alltid kräver realtidsinteraktion med vårdgivare, t.ex. boka besök eller ställa korta frågor. Av rapporten framgår även att ett hälsokonto

10 Vimarlund m.fl. På jakt efter ett eHälsokonto, (oktober 2011).

896

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

ska låta användaren registrera livsstilsrelaterad information och dela åtkomsten till informationen med tredje part. Mot denna bakgrund använder författarna följande definition.11

I denna studie definierar vi ett eHälsokonto som ett it-baserat system, exempelvis en portal och/eller en öppen plattform, som kan ha kopp- ling till eller kan interagera med en patientjournal (det kan dock också vara ett självständigt, ej integrerat system) och där den enskilde patienten kan ansvara för att registrera och uppdatera livsstilsrelaterad information (träningsprogram, dieter), egna mätningar (vikt, blod- tryck) samt data från externt utförda behandlingar (optikern, kliniker utomlands, alternativmedicinen). Syftet är att ge patienten en helhets- syn av sin egen hälsosituation samt en plattform för effektiv kom- munikation med vården. Patienten ska även, om han eller hon så önskar, kunna dela sin information med olika intressenter inom hälso- och sjukvården, anhöriga eller tredje part.

Våra reflektioner

Vi ansluter oss delvis till den definition av begreppet eHälsokonto som används i ovan nämnda rapport. Men vi vill av flera skäl skilja mellan den hantering av uppgifter som görs när t.ex. en vårdgivare lämnar ut information elektroniskt till en individ eller när individen interagerar med en vårdgivare och den hantering som individen själv kan välja att göra i nästa steg, dvs. att lagra eller att inte lagra informationen. Avgörande enligt oss bör således vara möjligheten för individen att lagra information för sin egen räkning. Vi vill därför använda oss av begreppet personligt hälsokonto; ett lagrings- utrymme för dokumentation som skapas av individen eller av någon annan, t.ex. en vårdgivare. Med personligt avses i första hand att kontot är privat i den meningen att individen själv bestämmer vad som ska dokumenteras i kontot och vad som ska sparas, raderas eller delas med andra. Benämningen personligt hindrar inte att det på ett sådant konto finns information om andra än individen, t.ex. barn eller andra närstående. Enligt utredningen bör ett personligt hälsokonto definieras som en lagringsplats på nätet, där individen kan välja att för eget bruk lagra och i övrigt fritt hantera infor- mation som skapats av individen själv eller någon annan aktör.

En fördel med att skilja lagringsplatsen från själva kommunika- tionsytan, t.ex. en e-tjänst för tidsbokning eller fråga och svar, är bland annat att det för individen blir tydligt att det är han eller hon

11 Vimarlund m.fl. På jakt efter ett eHälsokonto, (oktober 2011), s. 5.

897

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

som avgör vad som sedan ska sparas i dennes hälsokonto. Det innebär exempelvis att en individ är fri att använda olika e-tjänster som vård- och omsorgsaktörerna erbjuder, utan att den infor- mation som skapas i dessa tjänster automatiskt sparas utan att den enskilde fattar beslut om det.

Ytterligare en fördel med en tydlig distinktion mellan kommu- nikationsytan och lagringsytan är att gränsen mellan individens personuppgiftsbehandling och övriga aktörers behandling av personuppgifter tydliggörs. Motsvarande konsekvenser gäller även för de annars komplicerade frågorna om vad som är allmän handling och vad som inte är allmän handling, som skulle kunna uppstå om individen och vård- och omsorgsaktörens hantering inte separerades rent faktiskt.

En utgångspunkt är att all hantering av personuppgifter i det personliga hälsokontot uteslutande är av rent privat natur. En följd av det är bland annat att personuppgiftslagens bestämmelser inte gäller för personuppgiftsbehandlingen i det personliga hälsokontot. När individen däremot väljer att använda information som finns lagrad i hälsokontot och kommunicerar det med en aktör utanför kontot, t.ex. en vårdgivare, ett patientforum, en myndighet etc. kan personuppgiftslagens, och andra registerförfattningar, bli tillämplig på den behandlingen. Dessa frågor berörs mer ingående i avsnitten om personuppgiftsansvar i det följande.

Sammantaget bedömer utredningen att begreppet hälsokonto i nuläget inte bör definieras i lag. Det beror bland annat på svårig- heterna att överblicka konsekvenserna av den rådande utvecklingen och vilka beröringspunkter olika varianter av personliga hälso- konton kan komma att ha till övriga invånartjänster m.m. Där- utöver bedömer vi att det centrala är att reglera förutsättningarna för själva personuppgiftsbehandlingen och det informationsutbyte som äger rum, oavsett om en viss tjänst är att betrakta som ett hälsokonto eller inte. Det är i dag fullt möjligt för olika aktörer att erbjuda personliga hälsokonton till individer, vilket sannolikt kan komma att medföra att det utvecklas olika typer av hälsokonton eller motsvarande. Även mot den bakgrunden saknas enligt vår bedömning skäl för att definiera begreppet i lag.

898

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

33.5.5Personuppgiftsansvar för vårdgivare och den som bedriver socialtjänst

Vår bedömning: Vårdgivare och den som bedriver verksamhet inom socialtjänsten är enligt de grundläggande bestämmelserna om personuppgiftsansvar i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen personuppgiftsansvariga för den behandling av personuppgifter som utförs i dess verksamhet och som gör det möjligt för enskilda att ta del av eller lämna uppgifter. Det saknas behov av ytterligare författningsreglering av personuppgiftsansvaret i dessa situationer.

Genomgången ovan visar att kommunikationen av personuppgifter mellan vårdgivare eller den som bedriver verksamhet i social- tjänsten och medborgare förekommer för en rad olika ändamål. Vård- och omsorgsaktörerna kan vara privata eller offentliga och delvis omfattas av olika författningsbestämmelser för informa- tionshantering.

Kommunikationen kan initieras antingen av medborgaren, exempelvis genom en begäran om att få information utlämnad, eller efter att medborgaren accepterat ett erbjudande från vårdgivaren eller från den som bedriver verksamhet inom socialtjänst, exempel- vis om att fylla i en enkät om upplevd livskvalitet efter en viss operation eller insats i socialtjänsten. Gemensamt för informations- hanteringen är bland annat att det är vårdgivaren eller den som bedriver socialtjänst som tillhandahåller möjligheten för individen att ta del av information eller lämna sådan information som efter- frågas. För den personuppgiftsbehandling som en sådan informa- tionshantering föranleder bör vårdgivaren eller den som bedriver socialtjänst, i enlighet med de grundläggande bestämmelserna om personuppgiftsansvar, anses vara personuppgiftsansvarig.

Enligt vår bedömning innebär det exempelvis att en vårdgivare är personuppgiftsansvarig för den hantering av personuppgifter som äger rum när denne gör det möjligt för patienten att elektro- niskt rapportera in sitt blodtryck, svara på en enkät eller fylla i en hälsodeklaration.

I sammanhanget bör förtydligas att den som bedriver verk- samhet inom socialtjänst eller är vårdgivare kan anses vara personuppgiftsansvarig för den behandling av personuppgifter som kan komma att göras när individen väljer att elektroniskt delge

899

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

socialtjänsten eller hälso- och sjukvården sådan information som individen själv dokumenterat exempelvis i sitt personliga hälso- konto. För att vårdgivaren eller den som bedriver verksamhet inom socialtjänst ska bli personuppgiftsansvarig bör krävas att denne, precis som anförts ovan, tillhandahåller själva möjligheten för individen att dela med sig av uppgifterna. Det kan exempelvis göras genom en e-tjänst som vårdgivaren har ställt till den enskildes förfogande och utformat efter sitt behov, t.ex. med avseende på terminologi och informationsstruktur, eller av andra skäl valt att använda sig av.

Personuppgiftsansvaret för denna typ av e-tjänster omfattar bland annat att tillräckliga säkerhetsåtgärder är vidtagna. Det innebär exempelvis krav på att uppgifter inte görs åtkomliga över internet utan att mottagaren, dvs. individen, har styrkt sin identitet genom stark autentisering. Dessutom ska uppgifterna skyddas genom kryptering vid överföringen. I personuppgiftsansvaret ingår även sådana åtgärder som skyddar uppgifterna från förlust eller förvanskning under den elektroniska hanteringen. Den person- uppgiftsansvarige bör även beakta sådant som har att göra med den egna personalens, och möjligtvis personalens hos ett person- uppgiftsbiträde, behov av information, utbildning och rutiner för att hantera aktuella e-tjänster.

Vidare ska erinras om vård- och omsorgsaktörens ansvar för att den information som lämnas ut via en e-tjänst, med hänsyn till bestämmelserna om sekretess och tystnadsplikt, får lämnas ut.

Utredningens sammantagna bedömning är att det föreslagna regelverket om personuppgiftsansvar, som i allt väsentligt överens- stämmer med vad som redan gäller i dag, ger tydlig vägledning kring personuppgiftsansvarets fördelning och omfattning.

33.5.6Personuppgiftsansvar när utlämnade uppgifter lagras i ett personligt hälsokonto

Vår bedömning: Vårdgivare eller den som bedriver verksamhet i socialtjänsten har i normalfallet inget personuppgiftsansvar för sådan behandling av personuppgifter som förekommer när den enskilde har valt att lagra uppgifter i ett personligt hälsokonto. Det utesluter inte att någon annan kan ha ett personuppgiftsansvar för någon del av en sådan personuppgiftsbehandling.

900

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Om den enskilde, i enlighet med vad som beskrivs i föregående avsnitt, inte endast tar del av uppgifter som exempelvis en vårdgivare lämnar ut utan även väljer att vidta åtgärder för att lagra uppgifterna i ett personligt hälsokonto, väcks nya frågor om personuppgiftsansvaret. Motsvarande situation kan även aktuali- seras när den enskilde fyller i en enkät och förutom att kom- municera uppgifterna till vårdgivaren väljer att lagra enkäten och de ifyllda svaren i det personliga hälsokontot. Exempel på en sådan informationshantering skulle även kunna finnas vad gäller pati- enters inrapportering av mätvärden m.m.

Vi bedömer att i normalfallet bör en personuppgiftsbehandling av detta slag i ett personligt hälsokonto anses falla utanför vårdgivarens personuppgiftsansvar. Vårdgivaren har i en sådan situation varken några befogenheter eller faktiska möjligheter att vidta åtgärder som innebär personuppgiftsbehandling av sådana uppgifter som individen hanterar i sitt personliga hälsokonto.

Denna här bedömningen rör dock endast relationen mellan den enskilde och vårdgivaren eller den som bedriver socialtjänst. Det kan därför inte uteslutas att någon annan kan ha ett person- uppgiftsansvar för någon del av den personuppgiftsbehandling som förekommer när enskilda lagrar och hanterar uppgifter i ett personligt hälsokonto. Se vidare frågan om personuppgiftsansvar för den som tillhandahåller ett personligt hälsokonto i avsnitt 33.5.8.

Ytterligare en relevant fråga är när den tidpunkt då person- uppgiftsbehandlingen inte längre utförs inom vårdgivarens person- uppgiftsansvar inträffar. Svaret på frågan är sannolikt beroende på omständigheterna i det enskilda fallet. Det går därför inte att göra någon generell och entydig bedömning av saken. Det ankommer dock på vårdgivaren att utifrån de faktiska omständigheterna i det enskilda fallet göra en bedömning av personuppgiftsansvarets omfattning och räckvidd. Vårdgivaren har dock, som vi ser det, i normalfallet inget personuppgiftsansvar för den behandling av personuppgifter som individen råder över när uppgifterna väl har kommunicerats till och lagras i det personliga hälskontot. Det utesluter däremot inte att vårdgivaren kan ha ett person- uppgiftsansvar för delar av den personuppgiftsbehandling som görs innan dess och som utgör ett led i individens val att lagra uppgifter i det personliga hälsokontot. Motsvarande resonemang gäller även för liknande kommunikation mellan en utförare i socialtjänsten och individen.

901

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

33.5.7Hantering av uppgifter i ett personligt hälsokonto – för privat bruk

Vår bedömning: Sådan hantering av uppgifter som den enskilde företar i ett personligt hälsokonto bör i normalfallet anses göras som ett led i en verksamhet av rent privat natur och därmed falla utanför personuppgiftslagens, hälso- och sjukvårdsdatalagens och socialtjänstdatalagens tillämpningsområde. Detta under förutsättning att det rör sig om en sådan lagringsyta där den enskilde själv fritt hanterar informationen och förfogar över grundläggande frågor som vilka uppgifter som ska doku- menteras och lagras, hur de ska användas, om de ska raderas m.m. Det finns inget behov av att ytterligare författningsreglera detta.

Den bärande tanken med ett personligt hälsokonto är att det ska vara en lagringsyta där individen fritt kan välja att dokumentera och lagra information exempelvis relaterat till hälsa. Ytterligare en grundläggande förutsättning är att ett personligt hälsokonto är frivilligt även i det avseendet att det är den enskilde själv som fattar beslut om att starta eller avsluta ett hälsokonto.

Uppgifter kan tillföras ett personligt hälsokonto på en mängd olika sätt. Utgångspunkten är dock att det är individen själv som fattar beslut och avgör vilken information som ska lagras och hur länge. Förutom att information kan tillföras av individen själv, t.ex. genom att notera uppgifter, kan individen välja att låta sådana uppgifter som lämnas ut från hälso- och sjukvård eller socialtjänst lagras i hälsokontot.

Om dessa förutsättningar är för handen bedömer utredningen att det handlar om sådan personuppgiftsbehandling som görs som ett led i verksamhet av rent privat natur. Det innebär bland annat att personuppgiftslagens bestämmelser inte gäller för den person- uppgiftsbehandling som här beskrivs. En ytterligare förutsättning är naturligtvis att ingen aktör, förutom den enskilde, har befogenheter eller faktiska möjligheter att ta del av personuppgifter och självständigt vidta åtgärder som innebär personuppgifts- behandling. Detta bedöms även vara en grundförutsättning för att enskilda ska känna trygghet och ha förtroende för att obehöriga och utomstående inte kan ta del av och initiera en behandling av personuppgifter rörande den enskilde.

902

SOU 2014:23 Kommunikation mellan vård- och omsorgsaktörer och medborgare

Även e-delegationen ger stöd för ovanstående resonemang i deras vägledning för verksamhetsutveckling inom e- förvaltningen.12

Vidare bedömer utredningen att det saknas skäl att ytterligare författningsreglera den här aktuella frågan om personuppgifts- ansvar, eftersom det redan följer av grundläggande bestämmelser i personuppgiftslagen. En specifik författningsreglering bedöms även som i praktiken omöjlig med hänsyn till de olika former av personliga hälsokonton som eventuellt kan komma att utvecklas av olika aktörer.

33.5.8Personuppgiftsansvar för den som tillhandahåller ett personligt hälskonto

Vår bedömning: Den som tillhandahåller ett personligt hälso- konto bedöms ha personuppgiftsansvaret för den behandling av personuppgifter som görs för att administrera den enskildes konto och för övergripande frågor om organisatoriska och tekniska säkerhetsåtgärder. Någon ytterligare författnings- reglering för att tydliggöra detta bedöms inte behövas.

För det personliga hälsokontot Hälsa för mig bedöms eHälsomyndigheten ha ett personuppgiftsansvar i enlighet med ovanstående.

Den som tillhandahåller ett personligt hälsokonto, eller en mot- svarande lagringsyta, har ett ansvar för att hantera den enskildes uppgifter på ett sådant sätt som tillgodoser såväl individens behov av integritetsskydd som krav på en i övrigt ändamålsenlig hantering av viktig information.

Enligt vad som framförts ovan bör personuppgiftsbehandlingen i ett personligt hälsokonto anses utföras för privat bruk. Det innebär att den som tillhandahåller ett hälsokonto inte är person- uppgiftsansvarig för den behandling av personuppgifter som görs för privat bruk inom ramen för den enskildes hälsokonto. Med detta menas att den som tillhandahåller hälsokontot åtminstone inte är personuppgiftsansvarig för behandlingen av de uppgifter som hanteras och dokumenteras av den enskilde. För denna

12 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013).

903

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

hantering av uppgifter kan den som tillhandahåller kontot knappas anses ha bestämt ändamål och medel. Dessutom ska denne, enligt vad som redovisats ovan, inte heller ha några befogenheter eller faktiska möjligheter att vidta åtgärder som innebär person- uppgiftsbehandling i denne del. Jämförelser kan exempelvis göras med en leverantör av e-postkonton.

Enligt vår uppfattning bör den som tillhandahåller ett personligt hälskonto dock vara personuppgiftsansvarig för sådana åtgärder som denne har befogenheter och faktiska möjligheter att påverka, dvs. sådant som rör drift, skötsel och hantering av de olika system, databaser och annat som krävs för att kontinuerligt tillhandahålla hälsokontot. Precis som för vad som gäller vid andra liknande situationer bör den som tillhandahåller ett hälsokonto även vara personuppgiftsansvarig för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder, dvs. för sådana åtgärder som ska vidtas för att skydda de behandlade personuppgifterna.

Enligt 31 § PUL ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de person- uppgifter som behandlas. Åtgärderna ska åstadkomma en säker- hetsnivå som är lämplig med beaktande av

a)de tekniska möjligheter som finns,

b)vad det skulle kosta att genomföra åtgärden,

c)de särskilda risker som finns med behandlingen av person- uppgifterna, och

d)hur pass känsliga de behandlade personuppgifterna är.

Den som tillhandahåller ett personligt hälskonto ska alltså vidta de tekniska och organisatoriska säkerhetsåtgärder som krävs för att säkra och trygga lagringen av individens känsliga information. Uppgifterna ska exempelvis skyddas från insyn och obehörig åtkomst, men även från förvanskning eller skada. För att den som tillhandahåller kontot med tillräckligt stor säkerhet ska kunna ge rätt person tillgång till rätt personuppgifter ska åtkomsten till uppgifter dessutom alltid föregås av stark autentisering. För att avgöra vilka övriga säkerhetsåtgärder som bör vidtas bör den som tillhandahåller kontot göra en noggrann risk- och sårbarhetsanalys.

Utöver detta bör personuppgiftsansvaret för den som tillhanda- håller kontot omfatta den behandling av personuppgifter som kan krävas för att administrera en individs personliga hälsokonto, dvs. hantering av ett begränsat antal grundläggande personuppgifter.

904

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Även e-delegationen anför ett liknande resonemang i den tidi- gare nämnda vägledningen för e-förvaltningen. Bland annat uttalas följande.13

Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade informa- tion som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme. Detta gäller såväl för utrymmen för en session som för konton och e- brevlådor. Det bör särskilt uppmärksammas att myndighetens person- uppgiftsansvar för drift och säkerhet omfattar även nytto- informationen om ett intrång sker i den enskildes eget utrymme och medför att nyttoinformationen sprids.

Även om e-delegationen utrycker det som om personuppgifts- ansvaret omfattar själva informationen och inte behandlingen av personuppgifterna, bör innebörden av resonemanget stämma väl överens med den bedömning vi gör i detta avseende.

Vidare bedömer vi att relationen mellan den som tillhandahåller ett personligt hälsokonto och en individ bör grundas i en överenskommelse, eller något slags användarkontrakt, som tydligt anger förutsättningarna för båda parters hantering av uppgifter för de aktuella ändamålen. Av informationen bör det bland annat tydligt framgå att individen har en, i förhållande till den som tillhandahåller kontot, oinskränkt rätt att hantera uppgifter som lagras i hälsokontot. Det är individen som disponerar över frågor som vad som ska lagras, hur länge det ska lagras och om någon information ska delas med andra. Överenskommelsen bör även tydligt ange att den som tillhandahåller kontot saknar rätt att ta del av individens lagrade information såtillvida det inte i enstaka fall är nödvändigt för att kunna utföra support eller annan administration av hälsokontot.

Det är vidare viktigt att påpeka att den enskilde som ingår en överenskommelse med en leverantör av personligt hälsokonto, inte kan samtycka till en sämre säkerhet än vad som är lämpligt med hänsyn till förhållandena och de personuppgifter som behandlas. För säkerhetsbrister är leverantören skadeståndsskyldig enligt personuppgiftslagen.

13 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.

905

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Hälsa för mig

Av eHälsomyndighetens instruktion framgår, som tidigare nämnts, att myndigheten ska tillhandahålla en elektronisk tjänst som ger enskilda personer möjlighet att i ett personligt hälsokonto kostnadsfritt lagra uppgifter om sin hälsa.14 Med anledning av detta och mot bakgrund av vad som redovisats ovan bedömer utred- ningen att eHälsomyndigheten har ett personuppgiftsansvar i enlighet med ovanstående för den personuppgiftsbehandling myndigheten kommer att utföra i det personliga hälsokontot Hälsa för mig.

33.5.9Hälsokonto och allmänna handlingar

Vår bedömning: Om den myndighet som tillhandahåller ett personligt hälsokonto förvarar uppgifterna (handlingarna) om enskilda endast som led i teknisk bearbetning eller teknisk lagring för den enskildes räkning, bör handlingarna i enlighet med 2 kap. 10 § tryckfrihetsförordningen inte anses som all- männa handlingar. Detta förutsätter att den som tillhandhåller det personliga hälskontot inte använder de uppgifter som individer dokumenterar och lagrar för några ändamål i sin egen verksamhet, t.ex. statistikframställning.

eHälsomyndigheten har förutsättningar att tillhandahålla ett personligt hälsokonto utan att handlingar om enskilda blir att anse som allmänna.

Ytterligare en fråga är om det spelar någon roll ifall den som tillhandahåller ett personligt hälsokonto är en myndighet eller en privat aktör. Frågan har särskilt att göra med offentlighetsprincipen och myndigheters hantering av allmänna handlingar. En uppenbar nackdel skulle vara om de personuppgifter en individ dokumenterar och lagrar på sitt personliga hälsokonto skulle kunna begäras ut av någon annan med stöd av principen om allmänna handlingars offentlighet.

Enligt 2 kap. 3 § första stycket TF avses med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälp-

14 3 § förordning (2013:1031) med instruktion för E-hälsomyndigheten.

906

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

medel. En handling är allmän om den för det första förvaras hos en myndighet och för den andra anses som inkommen till eller upprättad hos en myndighet.

Beträffande upptagningar, t.ex. elektroniskt lagrade uppgifter, gäller som huvudregel att den är förvarad och inkommen till myndigheten när upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.

Uppgifter som enskilda individer väljer att lagra och doku- mentera på en elektronisk lagringsplats som en myndighet till- handahåller måste mot bakgrund av ovanstående, generellt kunna anses som allmänna handlingar.

Av 2 kap. 10 § TF följer dock att en handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning inte anses som allmän handling hos den myndigheten. Detta har uppmärksammats av regeringen i samband med utvecklingen av det personliga hälsokontot Hälsa för mig och bildandet av eHälsomyndigheten. I instruktionen för eHälso- myndigheten anges att ”handlingar i ett personligt hälsokonto får endast förvaras hos myndigheten i form av teknisk lagring för enskilds räkning15”. Regeringens avsikt är således att de uppgifter som enskilda väljer att dokumentera och lagra i Hälsa för mig inte ska anses som allmänna handlingar.

Enligt det resonemang som förts i tidigare avsnitt är det individen som bestämmer ändamålen med behandlingen av person- uppgifter för sådant som dokumenteras och lagras i ett personligt hälsokonto. Den som tillhandahåller hälsokontot har i detta avse- ende en osjälvständig roll som innefattar att tillhandahålla en elektronisk lagringsplats och andra förutsättningar som gör det möjligt för en enskild individ att behandla personuppgifter. Utred- ningen bedömer därför att det generellt finns mycket som talar för att den hantering, som den som tillhandahåller ett personligt hälsokonto gör, endast görs som ett led i teknisk bearbetning och teknisk lagring för en annans räkning. För att detta även ska motsvara de faktiska förhållanden som råder bör ytterligare ett antal förutsättningar vara uppfyllda.

En utmaning i sammanhanget är att bestämmelsen i 2 kap. 10 § första stycket TF är utformad i en tid när den typ av elektroniska

15 3 § förordningen (2013:1031) med instruktion för E-hälsomyndigheten.

907

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

tjänster som det här är fråga om inte fanns. Men det har utvecklats viss rättspraxis som kan ge vägledning i frågan. Rekvisitet ”endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning”, i 2 kap. 10 § första stycket TF, innebär sannolikt att den myndighet som tillhandahåller ett personligt hälskonto inte sam- tidigt får använda uppgifterna för något ändamål i sin egen verksamhet. Frågan har bland annat uppmärksammast i den nyligen överlämnade betänkandet Ett minskat och förenklat uppgifts- lämnande för företagen. Utredningen anför exempelvis följande.16

Undantaget i 2 kap. 10 § tryckfrihetsförordningen tar sikte på hela den tid som myndigheten förvarar en handling. Därigenom måste det enligt utredningens analys anläggas en helhetssyn vid bedömning varför myndigheten förvarar handlingen. Har den myndighet som för- varar handlingen även behörighet att exempelvis framställa statistik utifrån innehållet i handlingarna går undantaget inte att tillämpa även om någon statistik ännu inte har framställts.

Motsvarande resonemang finns också i ett antal domstols- avgöranden. I rättsfallet RÅ 1994 ref. 64 hade Högsta förvaltnings- domstolen att ta ställning till om 2 kap. 10 § TF var tillämplig i ett fall där en klagande hade begärt att Riksrevisionsverket skulle lämna ut uppgifter om vilka utbetalningar som olika myndigheter hade gjort till ett visst företag. I målet framkom att en rad myndigheter hade valt att lagra sina ekonomidata i Riksrevisions- verkets datoriserade ekonomisystem. Domstolen fann dock att Riksrevisionsverket inte disponerade över myndigheternas redo- visningsdata. I stället var det fråga om en rent teknisk hantering eller lagring av uppgifterna. De handlingar i vilka de begärda uppgifterna förekom var därför inte att anse som allmänna hos Riksrevisionsverket.

I rättsfallet HFD 2011 ref. 52 framkom att databasen i fråga var ett för polismyndigheternas gemensamt webbaserat arbetsskade- system som administrerades av Rikspolisstyrelsen. Varje polis- myndighet hade sina administratörer med behörighet för tillgång till alla lagrade data som rörde den egna myndigheten. Ingen åtkomst förekom mellan polismyndigheterna. Dock hade tre befattningshavare på Rikspolisstyrelsen rikstäckande admini- stratörsbehörighet för att ta fram nationell statistik, lägga in behörigheter, rapportera till Arbetsmiljöverket och bistå polis- myndigheterna med hjälp av teknisk natur. Domstolen anförde att i

16 SOU 2013:80 s. 153 f.

908

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

vart fall användningen för framställning av nationell statistik samt rapporteringen till Arbetsmiljöverket medförde att undantaget i 2 kap. 10 § första stycket tryckfrihetsförordningen för teknisk bearbetning eller lagring inte var tillämpligt.

Mot bakgrund av vad som redovisats ovan bedömer utredningen att undantaget i 2 kap. 10 § TF kan vara tillämpligt med avseende på myndigheter som tillhandahåller ett personligt hälsokonto. För att undantaget ska vara tillämpligt krävs att det ”endast” är fråga om teknisk bearbetning eller lagring för annans räkning. Den som tillhandahåller hälsokontot får därmed inte bereda sig tillgång till och använda personuppgifterna för ändamål i sin egen verksamhet. Enligt vår bedömning innebär det att den som tillhandahåller ett personligt hälsokonto inte får behandla personuppgifterna för exempelvis statistikframställning eller andra sammanställningar. Såvitt vi kan bedöma bör det däremot anses vara möjligt för den som tillhandahåller ett personligt hälsokonto att behandla person- uppgifter i den utsträckning det är nödvändigt med hänsyn till att säkerställa den tekniska driften och skyddet för personuppgifterna.

Samtidigt ska förtydligas att sådana handlingar som inkommer till eller upprättas av den som tillhandahåller ett hälsokonto inom ramen för dess begränsade personuppgiftsansvar för administra- tion, skötsel och säkerhetsåtgärder kan komma att utgöra allmänna handlingar.

Hälsa för mig

I enlighet med ovanstående bedömer vi att eHälsomyndigheten har förutsättningar att tillhandahålla ett personligt hälsokonto utan att handlingarna med känsliga uppgifter om enskilda individer ska anses som allmänna. Det förutsätter dock, som ovan redovisats, att myndigheten inte kan använda uppgifterna för ändamål i den egna verksamheten.

909

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

33.5.10 Vem kan tillhandahålla ett personligt hälsokonto?

Vår bedömning: Såväl vårdgivare som den som bedriver social- tjänst bör, under motsvarande förutsättningar som anges ovan, kunna tillhandahålla ett personligt hälsokonto utan att hälso- och sjukvårdsdatalagens eller socialtjänstdatalagens regler m.m. blir tillämpliga på den behandling av personuppgifter som den enskilde fritt förfogar över och utför.

Under vårt arbete har det framkommit att det föreligger en osäkerhet kring frågan om vilken aktör som kan eller bör vara leverantör av ett personligt hälsokonto. Bland annat har Inera inom ramen för den tidigare nämnda förstudien Din journal på nätet gjort bedömningen att en vårdgivare inte kan eller bör vara leverantör för ett personligt hälsokonto. Det har motiverats med att patientdatalagens bestämmelser högst sannolikt skulle äga tillämpning på ett hälsokonto en vårdgivare svarar för. Tolkningen i förstudien innebär bl.a. att vårdgivaren skulle vara personupp- giftsansvarig både för sin egen och för patientens behandling av personuppgifter i hälsokontot, dvs. även den faktiska dokumenta- tionen m.m. av uppgifter som patienten själv förfogar över och utför.

Frågor om personuppgiftsansvar är komplicerade, inte minst i de fall där flera olika aktörer på något sätt är inblandade i olika steg av informationshanteringen. Personuppgiftsbehandlingen i och för ett personligt hälsokonto är ett tydligt exempel på detta. Vi har att göra med en situation där flera olika aktörer hanterar personuppgifter för flera olika ändamål och i flera olika roller. Samtidigt som situationen är komplex är den tydlig på så sätt att i själva hälsokontot är det individen själv som behandlar personuppgifter för ändamål som han eller hon sätter upp. Det är individen själv som avgör vilka person- uppgifter som ska behandlas, varför de ska behandlas, hur länge de ska sparas, med vem de ska delas osv. I enlighet med definitionen av personuppgiftsansvarig i personuppgiftslagen är det därmed individen som bestämmer ändamålet med behandlingen. Personuppgifterna behandlas för privat bruk och är undantagen personuppgiftslagens bestämmelser. Denna bedömning, som redovisats ovan i avsnitt 33.5.7 förändras nödvändigtvis inte av det faktum att det personliga hälsokontot tillhandahålls av en vårdgivare.

Den nu gällande patientdatalagen blir, enligt utredningens uppfattning, inte tillämplig eftersom det inte handlar om sådan

910

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

personuppgiftsbehandling som en vårdgivare utför (jfr 2 kap. 6 § PDL) Därmed bör inte patientdatalagen anses bli tillämplig på den faktiska behandling av personuppgifter som exempelvis görs när en individ för sin egen skull för hälsodagbok eller lagrar läkemedels- listor, oavsett om en vårdgivare har tillhandahållit de grundläggande förutsättningarna för lagringen. Den behandling av personuppgifter som den enskilde för sina egna ändamål företar anses därmed inte omfattas av en vårdgivares behandling av personuppgifter inom hälso- och sjukvården (jfr 1 kap. 1 § och 2 kap. 4 § PDL).

I linje med vad som framkommit i det föregående bör vård- givarens personuppgiftsansvar i denna del därför vara begränsat till den personuppgiftsbehandling som krävs för att administrera det personliga hälsokontot och garantera uppgifternas säkerhet.

Bedömningen ovan förutsätter naturligtvis att vårdgivaren inte har åtkomst till och kan använda personuppgifterna för ändamål i den egna verksamheten. Vid en sådan situation kan bedömningen i frågan om personuppgiftsansvar och i frågan om allmänna handlingar bli annorlunda.

Ovanstående resonemang gör sig enligt utredningen även gällande för det fall en leverantör av ett personligt hälsokonto eller motsvarande är verksam inom socialtjänsten.

33.5.11Den enskildes möjlighet att förfoga över sin direktåtkomst m.m.

Vårt förslag: I hälso- och sjukvårdsdatalagen och i socialtjänst- datalagen ska anges att vårdgivare respektive den som bedriver verksamhet inom socialtjänst enligt den enskildes anvisning, får medge en annan fysisk person än den enskilde direktåtkomst till sådana uppgifter och sådan dokumentation som får lämnas ut till den enskilde genom direktåtkomst.

Vår bedömning: Gällande rätt gör det möjligt för enskilda att för- foga över utlämnade uppgifter, t.ex. genom att medge annan person åtkomst till uppgifter i ett personligt hälsokonto eller låta annan person genom direktåtkomst ta del av uppgifter hos vårdgivare eller hos den som bedriver socialtjänst. För att undan- röja de oklarheter som finns i tillämpningen finns dock skäl att, i enlighet med vårt förslag, tydliggöra vad som gäller.

911

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Inledning

Under arbetets gång har frågan väckts om gällande rätt medger att enskilda låter någon annan ta del av den enskildes uppgifter genom den direktåtkomst som exempelvis en vårdgivare erbjuder. Som redovisats i det föregående har patienter i Uppsala en möjlighet att dela ut rättigheter till andra att ta del av vårddokumentation genom direktåtkomst. Det kan exempelvis handla om närstående som hjälper till att stödja familjemedlemmar eller andra nära i sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara delaktig och behjälplig i den enskildes medi- cinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om den enskilde.

Vid utredningens kontakter med patient- och anhörig- organisationer har detta framhållits som en positiv del i den pågående utvecklingen. Med enkel och säker tillgång till aktuell information får närstående bättre möjligheter att bidra till ökad hälsa och livskvalitet för nära och kära. Det kan även vara ett sätt för familjemedlemmar med stora geografiska avstånd mellan varandra, att hålla sig uppdaterade och bevaka den enskildes intressen i sådant som rör hälso- och sjukvårdskontakter. Att patienter och närstående ser ett behov att kunna låta närstående ta del av uppgifter om patienten bekräftas även av den tidigare nämnda förstudien i projektet Din journal på nätet.

Det kan inte heller uteslutas att i framtiden det kommer att utvecklas olika typer av internetbaserad hälso- och sjukvård och socialtjänst, som kan ersätta eller komplettera sådan verksamhet som i dag bedrivs genom fysiska möten. I en sådan internetbaserad verksamhet skulle det kunna uppstå situationer där exempelvis den enskildes familjemedlemmar på olika sätt deltar i verksamheten, t.ex. för att vara en del av och ett stöd för den enskildes vård och behandling. Det kan exempelvis handla om familjebaserad kognitiv beteendeterapi, KBT, där de medverkande kan ha behov av att i ett internetbaserat mottagningsrum ta del av vårddokumentation rörande den enskilde.

912

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Grundläggande avgränsning

Frågan om patientens möjligheter att förfoga över utlämnade upp- gifter kan enligt utredningen inte hanteras generellt, utan behöver specificeras utifrån de omständigheter som kan vara aktuella i olika situationer. En situation rör vårdnadshavare och barn. Enligt utred- ningens bedömning är vårdnadshavare barnets ställföreträdare fram till dess barnet är myndigt. Normalt anses i registerlagstiftningen att ställföreträdaren kan ersätta den enskilde. Datainspektionen har exempelvis i tillsynsbeslut angett att endast den registrerade eller dennes legala ställföreträdare kan lämna ett sådant samtycke som avses i personuppgiftslagen.17 Även datalagskommittén ansåg att föräldrar och andra ställföreträdare borde kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en viljeyttring i saken. Datainspektionen har även godtagit att sam- tycke för barn lämnas av vuxen medföljare som agerar på vårdnadshavarens uppdrag, exempelvis en mor- eller farförälder.18

Bland annat mot denna bakgrund bedömer vi samman- fattningsvis att patientdatalagens nuvarande bestämmelse inte hindrar att vårdnadshavare tar del av uppgifter om sina barn genom direktåtkomst. Det innebär att vårdhandshavare genom direkt- åtkomst ska kunna ta del av sina barns vårddokumentation på motsvarande sätt som om uppgifterna hade lämnats ut manuellt. Jämförelsen med den manuella hanteringen tydliggör att vård- nadshavares rättigheter i förhållande till sina barn inte är oinskränkta. Barn kan, beroende på situationen och ålder samt mognad, ha behov av ett visst sekretesskydd gentemot sina vård- nadshavare. Det innebär att sekretessregleringen i offentlighets- och sekretesslagen kan medföra att vårdnadshavare i undantagsfall inte bedöms ha rätt att ta del av viss information om barnet. Sådan information får naturligtvis inte heller lämnas ut genom direktåtkomst.

Ytterligare en situation rör personer med nedsatt beslutsförmåga som själv inte kan ta ställning i frågor om sekretess och person- uppgiftsbehandling. Såvitt utredningen bedömer saknas i dagsläget möjligheter för närstående att generellt få direktåtkomst till upp- gifter rörande en person som inte själv kan ta ställning till saken. I motsvarighet till vad som ovan anförts rörande barn har dock en legal ställföreträdare en möjlighet att ta del av den enskildes

17Datainspektionens beslut 2010-06-29, dnr 1392–2009 och 1512–2009.

18Datainspektionens beslut 2006-03-30, dnr 84–2006.

913

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

uppgifter genom direktåtkomst, naturligtvis under förutsättning att det ingår i ställföreträdarens uppdrag att sörja för den enskilde i frågor som rör hälso- och sjukvård m.m.

Eftersom frågor om ställningen för personer med nedsatt beslutsförmåga utreds av Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forsk- ningen (S 2012:06), bedömer vi att frågan ligger utanför vårt upp- drag. Samtidigt ska poängteras att det i ovanstående situation inte finns några legala hinder mot att lämna ut uppgifter på medium för automatiserad behandling, om uppgifterna kan lämnas ut med hänsyn till sekretess och utlämnandet i sig görs på ett sådant sätt att kraven på säkerhetsåtgärder uppfylls.

En tredje situation rör personer som är i stånd att själv låta andra, t.ex. en närstående, ta del av uppgifterna genom direktåtkomst. Det kan jämföras med situationer när en patient genom fullmakt ger någon en rätt att ta del av patientuppgifter. I en sådan situation handlar det således om att den enskilde själv vidtar en åtgärd för att göra det möjligt för någon annan att ta del av uppgifterna.

I det följande utgår vi uteslutande från denna situation när den enskilde själv har förmåga att ta ställning till frågor om integritet och sekretess. För att analysera möjligheterna för enskilda att förfoga över utlämnade uppgifter behöver de alternativa tillväga- gångssätten identifieras.

Alternativa sätt att elektroniskt förfoga över utlämnade uppgifter

Det finns sannolikt en mängd olika alternativa sätt för en enskild att elektroniskt förfoga över utlämnade uppgifter. Det är inte möjligt att i detta sammanhang inventera och analysera samtliga tänkbara alternativ, utan utredningen har valt att avgränsa bedöm- ningen till de två scenarion som vi ser som mest angelägna att försöka bringa klarhet i. I båda fallen handlar det om den enskildes möjligheter att förfoga över uppgifter som i ett första skede har lämnats ut från hälso- och sjukvården eller socialtjänsten antingen genom direktåtkomst eller på medium för automatiserad behand- ling. I vissa avseenden kan det ur ett rättsligt perspektiv betraktas som om den enskilde förfogar över sin direktåtkomst, medan det i andra avseenden kan vara fråga om ett vidareutlämnande av uppgifter som har lämnats ut, antingen genom direktåtkomst eller på medium för automatiserad behandling.

914

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Det första alternativet handlar om situationer när den enskilde, efter att själv ha valt att lagra de utlämnade uppgifterna i sitt personliga hälsokonto eller motsvarande, självständigt väljer att dela med sig av uppgifterna till någon annan. Detta kan i sin tur arrangeras på många olika sätt. Ett alternativ är att den enskilde själv vidtar en åtgärd för att skicka uppgifterna till någon annan, t.ex. genom en filöverföring. Ett annat sätt kan vara att den enskilde ger någon annan rättighet att ta del av uppgifterna på motsvarande sätt som gäller för den enskildes egen åtkomst. I en sådan situation kan t.ex. en närstående ta del av uppgifterna samtidigt som uppgifterna är tillgängliga för den enskilde själv. Detta sätt ligger i praktiken väldigt nära vad som beskrivs i det följande om den enskildes möjligheter att låta någon annan få direktåtkomst till den enskildes uppgifter.

Det andra alternativet handlar om situationer när den enskilde förfogar över sin direktåtkomst och låter någon annan få ta del av uppgifterna direkt i det utlämnade systemet, dvs. helt oberoende av en eventuell lagring i ett hälsokonto. Det innebär således att den enskilde låter någon annan få direktåtkomst till den enskildes uppgifter. Den här aktuella situationen kan, i likhet med ovan, beskrivas som om den enskilde ger någon annan en rättighet att ta del av den enskildes uppgifter genom direktåtkomst. Skillnaden jämfört med situationen ovan där den enskilde agerar självständigt inom ramen för sitt personliga hälsokonto måste den enskilde i den här aktuella situationen agera gentemot den som ansvarar för att lämna ut uppgifterna. Den enskilde behöver således kommunicera sin vilja att låta någon annan få direktåtkomst till uppgifterna till den som ansvarar för att utlämnandet görs på ett lagligt sätt. Det kan exempelvis jämföras med situationer när enskilda ger någon annan en fullmakt att begära ut journalhandlingar rörande den enskilde. I en sådan situation behöver fullmakten visas upp för den som ansvarar för utlämnandet så att denne kan göra en bedömning om det är lagligt att lämna ut uppgifterna.

Ett tredje alternativ är naturligtvis att den enskilde låter någon annan ta del av uppgifterna samtidigt som den enskilde själv gör det, t.ex. genom att låta en närstående sitta bredvid, eller att den enskilde helt enkelt låter någon annan använda den enskildes e- legitimation för att själv kunna logga in och ta del av uppgifter. Detta sätt kommer inte att beröras annat än som jämförelse till de två alternativa sätten som beskrivits ovan.

915

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Den enskilde bedöms ha möjligheter att förfoga över utlämnade uppgifter som lagras i ett personligt hälsokonto eller motsvarande

Som redovisats ovan i avsnitt 33.5.7 bedömer vi att den enskildes behandling av personuppgifter i ett personligt hälskonto eller mot- svarande görs för privat bruk i den meningen att personuppgifts- lagens regler inte blir tillämpliga på den enskildes personuppgifts- behandling. Själva avsikten med ett personligt hälsokonto är att det ska vara individens eget utrymme, där den enskilde självständigt och fritt kan välja att dokumentera och lagra uppgifter. Det innebär enligt vår mening att det står den enskilde fritt att även själv bestämma om någon annan ska få ta del av de uppgifter som den enskilde väljer att lagra i sitt personliga hälsokonto. Vidare ligger dessa åtgärder helt utanför vårdgivarens eller den som bedriver socialtjänsts kontroll. Dessa har varken befogenheter eller faktiska möjligheter att agera i frågor som rör behandling av person- uppgifter i den enskildes personliga hälsokonto.

Mot denna bakgrund bedömer vi att det är fullt möjligt för enskilda att låta andra ta del av uppgifter som lämnats ut t.ex. från hälso- och sjukvården eller socialtjänsten och sedan lagrats i ett personligt hälsokonto eller motsvarande. En sådan informations- delning kan naturligtvis göras på en mängd olika sätt, allt ifrån olika former av filöverföringar till en mer direkt typ av åtkomst. Ett sådant sätt kan vara att den enskilde ger någon annan rättighet och en möjlighet att ”automatiskt” kunna ta del av uppgifterna i samma stund som uppgifterna är tillgängliga för den enskilde själv. Det kan med andra ord beskrivas som att någon annan kan titta in i den enskildes personliga hälsokonto och där ta del av de uppgifter som omfattas av den rättighet den enskilde har delat ut. Detta sätt ligger därmed i praktiken väldigt nära vad som beskrivs nedan om den enskildes möjligheter att låta någon annan får direktåtkomst till den enskildes uppgifter hos en vårdgivare eller hos den som bedriver socialtjänst.

916

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Den enskildes bedöms ha möjligheter att låta någon annan ta del av den enskildes uppgifter genom direktåtkomst hos en vårdgivare eller hos den som bedriver socialtjänst – med det bör tydliggöras i lag

I nuvarande patientdatalagen anges att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Frågan har väckts om paragrafens lydelse ska anses förhindra att vårdgivare låter någon annan som den enskilde har utsett ta del av uppgifter om den enskilde själv genom direktåtkomst.

Inledningsvis kan konstateras att frågan inte uttryckligen berörs i förarbetena till bestämmelsen. Vare sig i patientdatautredningens betänkande eller i regeringens proposition ges någon direkt väg- ledning. Däremot uppmärksammar patientdatautredningen att önskemål om direktåtkomst till journaluppgifter har framförts till utredningen från företrädare för ett antal patient- och anhörig- organisationer.19 Patientdatautredningen noterar också att det är fullt möjligt för en patient att genom fullmakt ge t.ex. en anhörig rätt att begära ut journalkopior hos vårdgivaren.

Vidare uttalar regeringen i förarbetena till patientdatalagen att ”direktåtkomst skulle också kunna vara ett sätt att låta journalen följa patienten genom att denne då kan låta en vårdgivare som han eller hon besöker för första gången, ta del av uppgifterna”.20 Även om regeringen inte går närmare in på hur detta skulle kunna tänkas gå till i praktiken, ger uttalandet åtminstone fog för att anse att regeringen bedömde det som fullt möjligt för den enskilde att i en sådan situation förfoga över sin direktåtkomst.

Även om bestämd vägledning saknas i förarbetena är såväl patientdatautredningen som regeringen tydliga med att den enskildes vilja och samtycke ska respekteras. En relevant fråga är därför vilken betydelse den enskildes samtycke kan ha i detta sammanhang. Patientdatautredningen anförde bland annat följande.21

En annan fråga som i ett fall prövats rättsligt är om vårdgivare får ge en patient elektronisk tillgång, direktåtkomst, till personuppgifter om sig själv i ett vårdregister. Fallet rörde ett landsting som avsåg att ge de patienter som ansökte om det elektronisk tillgång till vissa patient- journaluppgifter m.m. (…) Här skall bara anges att länsrätten fann detta stå i strid mot vårdregisterlagen, eftersom den lagen föreskriver

19SOU 2006:82 s. 384.

20Prop. 2007/08:126 s. 158.

21SOU 2008:82 s. 207 f.

917

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

att endast den som behöver det för att kunna utföra sitt arbete får ha direktåtkomst till ett vårdregister, se 8 § vårdregisterlagen. Vi är emellertid tveksamma till om 8 § vårdregisterlagen bör tolkas som en sådan bestämmelse i nationell lagstiftning som upphäver verkan av att den enskilde registrerade samtycker till en personuppgiftsbehandling; att ge enskilda registrerade direktåtkomst till personuppgifter om sig själva är nämligen att se som en personuppgiftsbehandling i sig. Det är, menar vi, en alltför vidsträckt tolkning av vårdregisterlagen i för- hållande till vad som följer av personuppgiftslagens och dataskydds- direktivets bestämmelser om när personuppgiftsbehandling är tillåten. I sammanhanget kan noteras att frågan inte berördes i vårdregister- lagens förarbeten. (…)

Enligt vår uppfattning kan ifrågasättas om det är rimligt att tolka lagstiftning – som syftar till att skydda enskildas personliga integritet – såsom in dubio innebärande ett absolut förbud mot sådan person- uppgiftsbehandling som den enskilde registrerade uttryckligen sam- tycker till eller önskar, ja kanske t.o.m. ställer krav på. Särskilt gäller detta i sådan lagstiftning som, i avsaknad av särbestämmelser, komplet- teras av personuppgiftslagens bestämmelser enligt vilka uttryckligt samtycke med något undantag utgör laglig grund för personuppgifts- behandling. Det sagda menar vi inte bara gäller i fråga om direkt- åtkomst utan även i fråga om andra bestämmelser i vårdregisterlagen.

Vi delar patientdatautredningens resonemang vad gäller det prin- cipiella ställningstagandet att en registrerads uttryckliga samtycke ska anses utgöra laglig grund för personuppgiftsbehandling och att det får inskränkas endast i undantagsfall när det är särskilt motiverat med hänsyn till behovet av integritetsskydd. Ett sam- tycke gör i princip alltid personuppgiftsbehandling tillåten enligt såväl personuppgiftslagen som dataskyddsdirektivet. Regeringen har även i förarbetena till personuppgiftslagen uttalat att det, när någon har lämnat ett frivilligt samtycke till en viss person- uppgiftsbehandling, inte längre finns något integritetsskydds- intresse som gör det befogat att förbjud den behandling som den registrerade och den personuppgiftsansvarige är överens om.22

Patientdatautredningen ansåg att regeringens resonemang var av principiell karaktär och att det hade bäring på personupp- giftsbehandling i hälso- och sjukvården. Mot den bakrunden föreslogs en bestämmelses om betydelsen av patientens samtycke. I patientdatalagen återfinns därför en grundläggande bestämmelse i 2 kap. 3 § som tydliggör att sådan behandling av personuppgifter som inte är tillåten enligt lagen ändå får utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Av paragrafen

22 Prop. 1997/98:44 s. 69.

918

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

framgår även att det finns ett undantag från den huvudregeln, vilket innebär att en vårdgivare inte ens med den enskildes samtycke kan ta del av uppgifter i system för sammanhållen journalföring för andra ändamål än de som är uttryckligen tillåtna enligt patient- datalagen. Något undantag som skulle begränsa patientens möjlig- heter att i övriga situationer samtycka till frågor om person- uppgiftsbehandling finns däremot inte.

Samtidigt finns skäl att analysera vilken betydelse bestämmelsen i 5 kap. 4 § PDL kan ha i detta sammanhang. Enligt den bestäm- melsen gäller att utlämnande genom direktåtkomst till person- uppgifter är tillåten endast i den utsträckning som anges i lag eller förordning. Regeringen motiverade bestämmelsen enligt följande.23

Direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter inom hälso- och sjukvården. Det finns därför anledning att genom reglering i patientdatalagen klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör därför bara få ske i den utsträckning som medges i lag eller förordning.

Någon ytterligare motivering eller vägledning kring bestämmelsen lämnas dessvärre inte av regeringen. Inte heller redovisas hur bestämmelsen ska tillämpas och ställas i relation till bestämmelsen om betydelsen av patientens samtycke i 2 kap. 3 §. Vidare ger inte patientdatautredningens betänkande någon ytterligare vägledning, utan utredningen anför motsvarande motivering som regeringen gör ovan. Samtidigt utesluter patientdatautredningen inte att det på vissa specialområden inom hälso- och sjukvården kan finnas skäl att tillåta ytterligare direktåtkomst än vad utredningen föreslog, men att det får utredas och övervägas i särskild ordning.24

En omständighet som kan tyda på att avsikten med bestämmelsen i 5 kap. 4 § inte varit att generellt inskränka den enskildes möjlighet att samtycka i vissa frågor om direktåtkomst är det ovan redovisade uttalandet från patientdatautredningen angå- ende betydelsen av den enskildes samtycke. Patientdatautredningen anförde, med särskilt fokus på frågan om direktåtkomst, att det kan ifrågasättas om det är rimligt att tolka lagstiftningen som ett absolut förbud mot sådan personuppgiftsbehandling som den enskilde uttryckligen samtycker till eller önskar. Vi delar denna principiella uppfattning.

23Prop. 2007/08:126 s. 76.

24SOU 2006:82 s. 223.

919

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

Men, oavsett hur det inbördes förhållandet mellan 2 kap. 3 § och 5 kap. 4 § PDL tolkas anser vi att den situation som här är för handen handlar om en personuppgiftsbehandling som är tillåten i förhållande till den enskilde. Det innebär, enligt vår bedömning, att personuppgiftsbehandlingen även är tillåten för den som agerar i den enskildes ställe. I enlighet med vad som anfördes inledningsvis är en vårdnadshavare som agerar i sitt barns ställe eller en legal ställföreträdare som agerar i en enskilds ställe, normalt att jämställas med den registrerade (dvs. den enskilde). Dessa kan då få del av den enskildes uppgifter på motsvarande sätt och under samma förutsättningar som gäller för den enskilde själv. En sådan ordning är även möjlig att uppnå i andra sammanhang där den enskilde önskar att någon annan agerar i den enskildes ställe, dvs. när den enskilde exempelvis ger någon annan en fullmakt att vidta åtgärder för den enskildes räkning. Såvitt utredningen bedömer hindrar inte gällande rätt att enskilda genom sitt medgivande, t.ex. genom en fullmakt, ger någon annan befogenhet att ta del av personuppgifter eller vidta åtgärder som leder till personupp- giftsbehandling. Som exempel på detta kan nämnas de fullmakter mellan privatpersoner som eHälsomyndigheten tillhandahåller. Genom en sådan fullmakt kan en enskild ge en eller flera andra privatpersoner fullmakt att för den enskildes räkning t.ex. hämta ut läkemedel, hämta ut information om elektroniska recept, lämna samtycke till personuppgiftsbehandling i högkostnadsdatabasen och till att recept sparas elektroniskt.

Utredningen ser ingen anledning att göra någon annan bedöm- ning när det gäller en enskilds möjligheter att låta någon annan agera i den enskildes ställe i frågor om direktåtkomst till den enskildes personuppgifter. Vi bedömer därför att gällande rätt inte hindrar en enskild att lämna medgivande till någon annan att ta del av den enskildes uppgifter hos vårdgivare eller i socialtjänsten genom direktåtkomst. Med stöd av ett sådant medgivande anser vi att hälso- och sjukvården och socialtjänsten redan i dag kan lämna ut uppgifter genom direktåtkomst till någon som den enskilde utsett.

Samtidigt anser vi att det är viktigt att lagregleringen blir så tydlig som möjligt och att eventuella tillämpnings- och tolknings- svårigheter inte hindrar en önskad utveckling. Utredningen bedömer att enskilda kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får

920

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

närstående bättre förutsättningar att bistå i frågor om hälso- och sjukvård och socialtjänst samt ökade möjligheter att bevaka den enskildes intressen.

Mot bakgrund av behoven av ökad tydlighet bedömer vi således att hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att enskilda kan förfoga över sin direktåtkomst.

Närmare om vårt förslag

Vår sammantagna bedömning att enskilda som är i stånd att fatta beslut i de här aktuella frågorna om personuppgiftsbehandling bör kunna förfoga över sin direktåtkomst i den utsträckning som praktiskt görs möjligt av vårdgivare och de som bedriver social- tjänst. Vi föreslår således att det både för hälso- och sjukvårdens och socialtjänstens del tydliggörs att det är tillåtet att lämna ut uppgifter om den enskilde genom direktåtkomst inte bara till den enskilde själv, utan även till någon annan enskild som den enskilde utser. I en sådan situation bedömer vi att den enskilde lämnat medgivande till någon annan att agera i den enskildes ställe.

Även om enskilda redan i dag möjligen kan anses ha en i det närmaste oinskränkt rätt att själv förfoga över den direktåtkomst det handlar om, bedömer vi samtidigt att lagen endast bör tydlig- göra vad som ska gälla i den situation som vi har analyserat och motiverat. Av det skälet anser vi att lagstiftningen endast bör tydliggöra möjligheten att låta andra enskilda få direktåtkomst. Genom den begränsningen tydliggörs att lagstiftaren särskilt tagit ställning till att medge en annan enskild, inte t.ex. arbetsgivare eller försäkringsbolag, direktåtkomst till uppgifter hos vårdgivare eller de som bedriver socialtjänst. Vi bedömer även att detta ligger helt i linje med motiven bakom vårt förslag. Den bakomliggande tanken är att det ska vara möjligt för enskilda att låta andra enskilda, t.ex. närstående, som på olika sätt är delaktiga i den enskildes vård och omsorg, ta del av korrekta och aktuella uppgifter på ett ändamåls- enligt sätt.

Vidare bedömer utredningen att regleringen i offentlighets- och sekretesslagen medger att en patient på detta sätt släpper på sekretessen mot en annan enskild, t.ex. en närstående. Av 12 kap. 1 § OSL följer att en enskild kan helt eller delvis häva sekretessen som gäller till skydd för honom eller henne. Om en enskild

921

Kommunikation mellan vård- och omsorgsaktörer och medborgare

SOU 2014:23

eftergivit sekretessen till förmån för någon annan, inte minst om det är en närstående, bör det så långt möjligt respekteras. Det ligger även i linje med de grundläggande kraven i hälso- och sjukvårds- lagen (1982:763) och socialtjänstlagen om att verksamheten ska byggas på respekt för patientens självbestämmande och integritet.

En grundläggande förutsättning är, som ovan nämnts, att den enskilde har möjligheter att själv fatta beslut i frågor som rör sekretess och personuppgiftsbehandling. Eftersom direktåtkomst trots allt är en mer integritetskänslig form av utlämnande, bl.a. eftersom tillgången till uppgifter är omedelbar, är det också viktigt att den enskilde i praktiken också tillhandahålls ändamålsenliga möjligheter att vid behov snabbt ändra sin bedömning såväl i sekretessfrågan som i frågan om direktåtkomst. Den enskilde bör därmed enkelt kunna ta tillbaka eller begränsa tidigare gjorda medgivanden till direktåtkomst. I annat fall uppstår risker för integritetsförluster för den enskilde som vill förfoga över sprid- ningen av sina uppgifter genom att ta tillbaka tilldelade rättigheter.

Ur ett praktiskt perspektiv bör det gå att utveckla tekniska lösningar som gör det möjligt för enskilda att förfoga över sin direktåtkomst på sätt som här beskrivits. Medgivandet till personuppgiftsbehandlingen och eftergivandet av sekretessen skulle möjligen kunna konstrueras på så sätt att den enskilde, efter att ha fått information om förutsättningarna för att dela ut dessa möjligheter till andra, loggar in med stark autentisering och anger att medgivandet avser en utpekad person. De närmare tillväga- gångssätten för detta bör vara upp till hälso- och sjukvårdens och socialtjänstens aktörer att ta fram och utforma på ett ändamåls- enligt och säkert sätt.

Om ovanstående inte skulle vara möjligt kan alternativet befaras bli att enskilda, som inte har ett personligt hälsokonto, låter andra personer använda den enskildes e-legitimation eller motsvarande för att därigenom uppnå samma effekt. Vi bedömer att det finns flera nackdelar med en sådan utveckling. En uppenbar nackdel är självklart att processen i sådana fall inte är lika transparent ifråga om vem som får del av uppgifter om enskilda och hur det närmare går till. Vidare finns ingen möjlighet att i efterhand avgöra om det är patienten själv som tagit del av informationen eller om det i själva verket varit någon annan. Även med tanke på hur e- legitimationer i egenskap av värdehandlingar bör hanteras finns betänkligheter med en sådan utveckling.

922

SOU 2014:23

Kommunikation mellan vård- och omsorgsaktörer och medborgare

Även det faktum att den enskilde bedöms ha fulla möjligheter att låta andra ta del av utlämnade uppgifter om de väl lagrats i ett personligt hälsokonto, talar för att det inte bör vara någon skillnad ifall åtkomsten istället ges direkt till system hos vårdgivaren eller den som bedriver verksamhet inom socialtjänst. Det handlar i dessa fall om samma uppgifter och i praktiken även om samma omedelbara tillgång.

Ytterligare en omständighet som talar för att denna möjlighet tydligt bör anges i lagen är att det inte heller kan uteslutas att det i framtiden utvecklas ytterligare varianter på de sätt som är möjliga för en enskild att dela med sig av uppgifter. Den kan exempelvis utvecklas tekniska funktioner som gör det möjlighet för den enskilde att förfoga över utlämnade uppgifter på andra sätt än genom att de först lagras i ett personligt hälsokonto.

923

34 Internationellt informationsutbyte

34.1Bakgrund

I utredningens uppdrag ingår att analysera och redovisa vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Om gällande rätt hindrar sådant uppgiftslämnande ska utredaren lämna författningsförslag som gör uppgiftslämnandet möjligt. Såsom direktiven får förstås, ska analysen omfatta möjligheterna till utlämnande även till länder utanför EES.

I direktiven anges följande som skäl till varför utredningen ges detta uppdrag. Det finns behov av att kunna utbyta person- uppgifter mellan länder både när det gäller vårdinsatser och läke- medel. Svenska medborgare kan t.ex. behöva söka vård när de är utomlands eller ha möjlighet att hämta ut recept som förskrivits i Sverige. Samtidigt är förstås den nationella lagstiftningen specifik för Sverige. Det finns därför skäl att utreda vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder. Utredaren bör beakta det pågående projektet Smart Open Services for European Patients (epSOS), som är ett pilotprojekt för gräns- överskridande vårdtjänster. Syftet är att möjliggöra elektronisk överföring av recept och patientöversikter mellan länder i Europa. För närvarande deltar 23 europeiska länder i projektet.

I föreliggande avsnitt analyseras och redovisas vilka rättsliga och andra hinder som finns för vårdgivare i Sverige att med en patients samtycke på elektronisk väg lämna ut uppgifter om patienten till vårdgivare i andra länder. Vidare analyseras och redovisas vilka rättsliga och andra hinder som finns för E-hälsomyndigheten att med en patients samtycke på elektronisk väg lämna ut uppgifter om patientens läkemedel till apotek i andra länder.

925

Internationellt informationsutbyte

SOU 2014:23

34.2Våra överväganden om elektroniskt utlämnande till vårdgivare i andra länder

34.2.1Utlämnande med den enskildes samtycke

Vår bedömning: Patientdatalagen (2008:355), offentlighets- och sekretesslagen (2009:400) samt personuppgiftslagen (1998:204) medger att patientuppgifter med stöd av patientens uttryckliga samtycke lämnas ut till vårdgivare i andra länder.

Inledningsvis kan konstateras att patientdatalagen, förkortad PDL, är tillämplig på den behandling som en vårdgivare gör i samband med utlämnandet av patientuppgifter till en annan vårdgivare.

Frågan är då med vilket stöd i patientdatalagen som ett utläm- nande till en annan vårdgivare kan göras. För besvarandet av den frågan ges i utredningens direktiv en särskild förutsättning, näm- ligen att analysen ska avse den situationen när patienten har lämnat sitt samtycke till den personuppgiftsbehandling som utlämnandet innebär.

Ett samtycke är av betydelse för behandlingens förenlighet med patientdatalagen. I 2 kap. 3 § första stycket PDL framgår att behandling av personuppgifter som inte är tillåten enligt patient- datalagen ändå får göras, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § PDL eller om något annat framgår av annan lag eller förordning.

Enligt förarbetena till 2 kap. 3 § första stycket PDL innebär bestämmelsen att som huvudregel ska gälla att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning, se 2 kap. 4 § PDL, om den enskilde har lämnat ett uttryckligt samtycke till detta.1

Beträffande innebörden av ett uttryckligt samtycke sägs i förarbetena att något skriftligt samtycke från den enskilde i och för sig inte fordras, men att det ändå många gånger kan vara lämpligt att ha ett sådant för att förebygga eventuella framtida tvister.2

Vad gäller den närmare innebörden av vad ett uttryckligt sam- tycke ska anses vara vid tillämpning av patientdatalagen, söker förarbetena ledning i vad som gäller vid tillämpningen av person-

1Prop. 2007/08:126 s. 227.

2Prop. 2007/08:126 s. 227.

926

SOU 2014:23

Internationellt informationsutbyte

uppgiftslagen, förkortad PUL.3 Enligt 3 § PUL är ett samtycke ”varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne”. Att ett samtycke är uttryckligt, anser Datainspektionen i sin informations- skrift om samtycke innebära att samtycket måste komma till uttryck på ett särskilt tydligt sätt och att konkludent handlande i normalfallet inte är godtagbart när samtycket ska vara uttryckligt. För övrigt gäller även personuppgiftslagen vid sådan behandling av personuppgifter inom hälso- och sjukvården, om inte annat följer av patientdatalagen eller föreskrifter som meddelats med stöd av patientdatalagen.

I 5 kap. 1 och 2 §§ PDL finns hänvisningar till bestämmelser i andra författningar om möjligheten för vårdgivare att lämna ut patientuppgifter inom den allmänna respektive den enskilda hälso- och sjukvården. Bland annat hänvisas där till offentlighets- och sekre- tesslagen, förkortad OSL, och patientsäkerhetslagen (2010:659), förkortad PSL, som bägge innehåller bestämmelser som är av betydelse för om ett utlämnande får göras.

För uppgifter inom den offentliga hälso- och sjukvården om en enskilds hälsotillstånd eller andra personliga förhållanden, gäller enligt 25 kap. 1 § OSL sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men. Motsvarande bestämmelse för den enskilda hälso- och sjukvården finns i 6 kap. 12 § första stycket PSL. Vid tillämpning av bestämmelsen kan viss ledning hämtas från mot- svarande bestämmelse i OSL.4

Av 12 kap. 2 § första stycket OSL framgår att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i offentlighets- och sekretesslagen.

Vår sammanfattande bedömning

Utredningens sammanfattande bedömning är att varken patient- datalagen, offentlighets- och sekretesslagen eller personupp- giftslagen hindrar ett utlämnande med patientens uttryckliga sam- tycke av patientuppgifter till en annan vårdgivare. Men i person-

3Prop. 2007/08:126 s. 64.

4Socialstyrelsens vägledning Sekretess och tystnadspliktsgränser i socialtjänsten och hälso- och sjukvården s. 18.

927

Internationellt informationsutbyte

SOU 2014:23

uppgiftslagen ställs vissa krav som måste vara uppfyllda för att det ska anses vara frågan om ett uttryckligt samtycke, som kan utgöra laglig grund för behandling av känsliga personuppgifter.

34.2.2Elektroniskt utlämnande på medium för automatiserad behandling till andra länder

Vår bedömning: Patientdatalagen, offentlighets- och sekretess- lagen samt personuppgiftslagen medger att patientuppgifter med stöd av patientens uttryckliga samtycke lämnas ut på medium för automatiserad behandling till vårdgivare i andra länder. Samtidigt ställs i patientdatalagen och personuppgifts- lagen m.m. tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.

Frågan är då om gällande rätt tillåter att en vårdgivare på elektro- nisk väg lämnar ut uppgifter om patienten till vårdgivare i andra länder.

I 5 kap. 6 § PDL anges att om en personuppgift får lämnas ut, får det göras på ”medium för automatiserad behandling”. Uttrycket används för att skilja den nämnda formen för elektroniskt utläm- nande från den form som i allmänhet kallas för ”elektronisk åtkomst” eller ”direktåtkomst”. För denna sistnämnda form av elektronisk utlämnande, har i patientdatalagen skapats en särskild term – ”sammanhållen journalföring”.

Med medium för automatiserad behandling avses enligt för- arbetena följande.5

…förenklat uttryckt, elektroniskt utlämnande utan möjlighet för mot- tagaren att själv bereda sig tillgång till uppgifterna t.ex. genom användning av e-post, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut om överföring av den som lämnar ut uppgifterna. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte. Som exempel kan anföras att då en låst elektronisk handling skickas som bilaga i e- post eller om en cd-rom lämnas ut med lagrad information och kvalificerat kopieringsskydd är det enligt regeringens uppfattning fråga om ett utlämnande på medium för automatiserad behandling. Till

5 Prop. 2007/08:126 s. 77.

928

SOU 2014:23

Internationellt informationsutbyte

skillnad från elektronisk åtkomst och direktåtkomst sker vid annat utlämnande på medium för automatiserad behandling en prövning i varje enskilt fall av om uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnande.

I utredningen är den situationen aktuell, att patientuppgifterna lämnas ut till en vårdgivare i annat land. När det gäller elektroniskt utlämnande på medium för automatiserad behandling, gör det ingen skillnad i patientdatalagens mening. Det innebär att så länge kraven för ett sådant utlämnande är uppfyllda, spelar det i princip ingen roll vem som är mottagare av uppgifterna, det kan röra sig som om en vårdgivare, privatperson eller annan typ av verksamhet än hälso- och sjukvård.

Säkerhetsåtgärder

Ett elektroniskt utlämnande på medium för automatiserad behand- ling får dock endast göras om tillräckliga och i lag och föreskrift föreskrivna säkerhetsåtgärder vidtas vid den behandling som utlämnandet innebär.

Kraven på säkerhetsåtgärder framgår av flera bestämmelser – av 4 kap. patientdatalagen, av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården och av personuppgiftslagen.

I 2 kap. 5 § nämnda föreskrifter anges exempelvis att om vårdgivaren använder ett öppet nät, såsom Internet eller Sjunet, för att lämna ut patientuppgifter, ska vårdgivaren ansvara för att det i ledningssystemet finns rutiner som säkerställer att överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och att åtkomst till patientuppgifter föregås av stark autentisering. Liknande krav framgår även av Datainspek- tionens allmänna råd om säkerhet för personuppgifter.

Överföring till tredje land

Patientdatalagen innehåller inga särskilda bestämmelser om över- föring av personuppgifter till andra länder. Som framgått ovan, gäller förutom patientdatalagen även personuppgiftslagen när personuppgifter behandlas inom hälso- och sjukvården (så länge

929

Internationellt informationsutbyte

SOU 2014:23

inte annat följer av patientdatalagen eller av föreskrifter som meddelats med stöd av patientdatalagen).

Personuppgiftslagen hindrar inte att personuppgifter förs över till länder inom EES. Till länder utanför EES-området (vilka i personuppgiftslagen benämns ”tredje land”) gäller dock enligt 33 § PUL ett principiellt förbud för överföring, men med en rad undantag. Bland annat är överföring till tredje land möjlig enligt 34 § PUL om den registrerade har lämnat sitt samtycke till över- föringen. För att vara giltigt i detta sammanhang, måste det vara tydligt att samtycket avser just överföring av den registrerades personuppgifter till tredje land.

Rekommendationer föranledda av epSOS

Bestämmelserna i patientdatalagen och personuppgiftslagen ska tillsammans med de föreskrifter som meddelats med stöd av dessa lagar, genomföra EU:s dataskyddsdirektiv när det gäller behandling av personuppgifter inom hälso- och sjukvården. Vid en analys av vilka krav som bör ställas på ett elektroniskt utlämnande av uppgifter från hälso- och sjukvården, bör därför den praxis som utbildats på EU-gemensam nivå beaktas.

För att dataskyddsdirektivet ska tillämpas på ett enhetligt sätt i medlemsstaterna har man bildat den s.k. Artikel 29-gruppen. Gruppen består av, bland andra, en företrädare för varje nationell tillsynsmyndighet i EU-medlemsstaterna.

Artikel 29-gruppen har lämnat vissa rekommendationer beträff- ande just överföring av personuppgifter om hälsa och läkemedel, såsom den är tänkt att göras inom ramen för det s.k. epSOS- projektet. EpSOS (European Patients Smart Open Services) är ett pågående projekt för gränsöverskridande vårdtjänster. Syftet med epSOS är att möjliggöra elektronisk överföring av recept och patientuppgifter från hälso- och sjukvården mellan länder i Europa. Efter att på en övergripande nivå ha granskat epSOS, lämnade Artikel 29-gruppen i januari 2012 en rad olika rekommendationer i syfte att vägleda projektet när det gäller tillämpningen av de viktigaste principerna i dataskyddsdirektivet.

Rekommendationerna handlar både om behandlingens laglighet som om vilka säkerhetsåtgärder som är nödvändiga. Eftersom rekommendationerna är generellt hållna, är de relevanta för alla

930

SOU 2014:23

Internationellt informationsutbyte

system för överföring av känsliga personuppgifter såväl inom som utanför EES.

För det som i detta sammanhang är av intresse, rekommenderar Artikel 29-gruppen i huvudsak följande.

Behandlingen av uppgifter om hälsa måste ha en tydlig laglig grund. Ett samtycke i två steg kan vara en sådan laglig grund, när det saknas annan laglig grund såsom stöd i författning. (Det första samtycket som inhämtas avser att patientens uppgifter görs tillgängliga inom epSOS-systemet och det andra samtycket avser tillfället när en vårdgivare eller ett apotek får faktisk åtkomst till patientens uppgifter).

Behandlingen av personuppgifter ska vara strikt begränsad till det minimum som är nödvändigt för att uppfylla epSOS syften, vilka måste vara särskilda, uttryckliga och legitima.

För att säkerställa att uppgifterna inte sparas längre än nöd- vändigt i epSOS-systemet, bör en maximal lagringstid fastställas och likaså en gemensam rutin för som vad skall hända med uppgifterna i slutet av lagringsperioden.

Varje sökning efter personuppgifter som är tillgängliga via epSOS måste föranledas av ett verkligt behov av tillgång till specifik information om den vård eller behandling som ska ges eller det läkemedel som ska förskrivas eller dispenseras i ett särskilt fall.

En hög IT-säkerhetsnivå är nödvändig i epSOS. Särskilt följande åtgärder och överenskommelser är nödvändiga för att fullt ut beakta de säkerhetsprinciper som följer av dataskyddsdirektivet och av de särskilda riskerna i samband med behandlingen av personuppgifter i epSOS-systemet:

-All personal som genomför projektet ska ges tydliga, skriftliga instruktioner om hur de ska använda epSOS- systemet i syfte att förhindra säkerhetsrisker och brott.

-Lämpliga åtgärder ska vidtas vid användning av lagrings-och arkiveringssystem för patientöversikten och e-recepten för att skydda data mot obehörig åtkomst, stöld och partiell eller total förlust av lagringsmedia.

931

Internationellt informationsutbyte

SOU 2014:23

-För dataöverföringen måste säkra kommunikationsprotokoll och punkt-till-punkt-kryptering (”end-to-end-encryptation”) användas som baseras på krypteringsstandarder för en säker elektronisk kommunikation.

-Särskild uppmärksamhet måste ägnas åt att anta ett pålitligt och effektivt elektroniskt identifieringssystem som ger stark autentisering (av både anställda och patienter).

-Systemet måste på ett korrekt sätt kunna registrera och spåra de enskilda verksamheter som tillsammans utgör den totala databehandlingen.

-Obehörig åtkomst till data och/eller förändringar av data ska förhindras när back-up uppgifter överförs och/eller lagras (t.ex. med hjälp av kryptering).

-När det gäller e-receptsystemet, bör ytterligare åtgärder sättas in för att säkerställa att apoteksaktörer bara kan komma åt elektroniska recept för att tillhandahålla de läkemedel som förskrivits.

-Varje åtkomst som görs i nödsituationer ska loggas och granskas.

Alla personuppgiftsansvariga som behandlar uppgifter inom ramen för epSOS-projektet måste ge de registrerade rätt till till- gång till och rättelse/radering/blockering av deras egna upp- gifter.

I sammanhanget kan noteras att Sverige inom ramen för epSOS- samarbetet i dagsläget tillämpar just ett sådant samtycke i två steg som artikel 29-gruppen rekommenderar.

I övrigt kan beträffande epSOS-projektet sägas att det invol- verar elektronisk överföring av patientuppgifter mellan vårdgivare och mellan apoteksaktörer i olika länder. Utredningen har dock inte klarlagt om överföringen utförs genom direktåtkomst eller genom det som i svensk lagstiftning benämns ”på medium för automatiserad behandling”. Det bedöms inte ligga inom ramen för vårt uppdrag.

932

SOU 2014:23

Internationellt informationsutbyte

Vår sammanfattande bedömning

Sammanfattningsvis kan konstateras att såväl patientdatalagen som personuppgiftslagen och offentlighets- och sekretesslagen gör det möjligt för vårdgivare att med en patients uttryckliga samtycke på elektronisk väg lämna ut uppgifter om patienter till vårdgivare i andra länder, på det sätt som i patientdatalagen benämns utläm- nande på medium för automatiserad behandling.

Likaså kan konstateras att det i patientdatalagen, i författningar som meddelats med stöd av patientdatalagen, i personuppgiftslagen och i dataskyddsdirektivet såsom det uttolkats av Artikel 29- gruppen, ställs tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.

34.2.3Får ett elektroniskt utlämnande göras genom direktåtkomst?

Vår bedömning: Patientdatalagen, offentlighets- och sekretess- lagen samt patientsäkerhetslagen hindrar en vårdgivare från att lämna ut uppgifter om en patient till vårdgivare i andra länder genom direktåtkomst, även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.

Som framgår ovan får ett utlämnande göras på medium för automatiserad behandling till länder såväl inom som utanför EES, om kraven i här aktuell lagstiftning är uppfyllda, dvs. att det finns ett uttryckligt samtycke (och ingen annan sekretess gäller som den enskilde inte kan efterge) samt att den elektroniska överföringen görs på ett tillräckligt säkert sätt som uppfyller de krav som finns i lag och föreskrifter.

Enligt patientdatalagen är även en annan form för elektroniskt utlämnande möjlig mellan olika vårdgivare – utlämnande genom direktåtkomst. Av 5 kap. 4 § första stycket PDL framgår att utläm- nande genom direktåtkomst till personuppgifter inom hälso- och sjukvården är tillåten, men endast i den utsträckning som anges i lag eller förordning.

Utlämnande genom direktåtkomst har således av lagstiftaren omgärdats av särskilda skyddsregler. I patientdatalagen kallas sådan direktåtkomst mellan olika vårdgivare för sammanhållen journal- föring och regleras i huvudsak i lagens kapitel 6.

933

Internationellt informationsutbyte

SOU 2014:23

I 6 kap. patientdatalagen uppställs en rad legala krav för sam- manhållen journalföring. Bland annat gäller enligt 6 kap. 1–3 §§ PDL att utbyte av patientuppgifter genom direktåtkomst i system för sammanhållen journalföring bara får göras:

rörande uppgifter som behandlas för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2 PDL.

om patienten i förväg informerats om vad den sammanhållna journalföringen innebär och om att hon eller han kan motsätta sig att vissa uppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

om patienten inte redan i förväg motsatt sig direktåtkomsten.

om andra vårdgivare kan få veta att det i systemet finns ospär- rade uppgifter om patienten, utan att samtidigt få veta vilken vårdgivare som har gjort uppgifterna tillgängliga och upp- gifternas innehåll.

om den mottagande vårdgivaren har en aktuell patientrelation med patienten.

om uppgifterna kan antas ha betydelse för att hos den mot- tagande vårdgivaren förebygga, utreda eller behandla sjukdomar och skador hos patienten.

om patienten samtycker till att den mottagande vårdgivaren tar del av personuppgifterna.

under förutsättning att alla inblandade vårdgivare tillämpar bestämmelserna i 4 kap. 2 och 3 §§ PDL om behörighets- tilldelning och åtkomstkontroll även vid sammanhållen journal- föring.

Det framgår tydligt i patientdatalagen att brister i uppfyllandet av dessa krav inte går att läka med hjälp av ett samtycke till att den mottagande vårdgivaren inte skulle behöva följa dem. I 6 kap. 5 § anges nämligen att en vårdgivare inte får behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 6 kap. 3 och 4 §§ även om patienten uttryckligen samtycker till det. Denna bestämmelse går enligt 2 kap. 3 § första stycket PDL inte att ”samtycka bort”.

934

SOU 2014:23

Internationellt informationsutbyte

Anledningen till att lagstiftaren omgärdat sammanhållen jour- nalföring med särskilda skyddsregler är att direktåtkomst anses som en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter. Lagstiftaren betonar därför att utlämnande genom direktåtkomst bara får användas i den utsträckning det är tillåtet i lag eller förordning.6

Lagstiftarens avsikt har varit att den vårdgivare som gör upp- gifter tillgängliga för andra vårdgivare vid sammanhållen journal- föring inte ska behöva göra någon sekretessprövning i varje enskilt fall. Av den anledningen och eftersom sekretess annars gäller för patientuppgifter inom hälso- och sjukvården, samt eftersom bestämmelser om direktåtkomst inte har sekretessbrytande effekt i sig, har bestämmelserna om sammanhållen journalföring i patient- datalagen behövt kombineras med särskilda sekretessbrytande regler.

Den sekretessbrytande regel som är aktuell här återfinns i 25 kap. 11 § tredje punkten OSL. Enligt bestämmelsen hindrar inte hälso- och sjukvårdssekretessen enligt 25 kap. 1 § OSL att uppgift lämnas till en myndighet som bedriver hälso- och sjukvård eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen.

I patientdatalagens förarbeten anges tydligt att lagstiftaren ansett det vara av största vikt att alla villkor i regelverket för sammanhållen journalföring verkligen är uppfyllda när uppgifter lämnas ut genom sammanhållen journalföring.7

För att patienterna ska vara villiga att låta uppgifterna vara ospärrade är det viktigt att de integritetsgarantier som föreslås i patientdatalagen i förhållande till övriga vårdgivare som är anslutna till systemet verk- ligen fungerar. Som nämnts ovan är en av de integritetsgarantier som föreslås i patientdatalagen beträffande ospärrade uppgifter att pati- enten ges en rätt att, frånsett nödsituationer och liknande, bestämma över den faktiska spridningen då patienten vid senare tillfällen söker vård genom att denne då ges möjlighet att neka vårdgivaren möjlighet att få titta på ospärrade uppgifter om patienten som en annan vård- givare gjort tillgängliga för vårdgivaren. Förutom patientens samtycke krävs även att vissa andra förutsättningar är uppfyllda för att en vårdgivare ska få behandla ospärrade uppgifter t.ex. att det finns en aktuell patientrelation, att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården eller att patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård pati- enten oundgängligen behöver, se 6 kap. 3 och 4 §§ patientdatalagen.

6Prop. 2007/08:126 Patientdatalag m.m., s. 76.

7Prop. 2007/08:126 Patientdatalag m.m., s. 129.

935

Internationellt informationsutbyte

SOU 2014:23

Om inte samtliga villkor i patientdatalagen är uppfyllda, gäller enligt 5 kap. 2 § första stycket OSL absolut sekretess för sådana uppgifter hos den mottagande vårdgivaren. Bestämmelsen om absolut sekretess har införts mot bakgrund av att handlingar med ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla vårdgivare som är anslutna till ett system med sammanhållen journalföring. Syftet med bestämmelsen om absolut sekretess är att en vårdgivare, som enligt patientdatalagen saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut.8

I förarbetena betonas flera gånger hur viktigt det är att det finns särskilda regler till skydd för patienternas personliga integritet som gäller för den mottagande vårdgivaren i ett system för samman- hållen journalföring, dvs. när utlämnande görs genom direkt- åtkomst. Bland annat anges följande.9

Skyddet för den enskildes personliga integritet vid sammanhållen jour- nalföring är tillgodosett bl.a. genom patientdatalagens regler om pati- entens inflytande vid sådan journalföring och den bestämmelse om absolut sekretess hos en vårdgivare för sådana ospärrade uppgifter som vårdgivaren saknar befogenhet att ta del av enligt patientdatalagen

(…).

Datainspektionens praxis

Datainspektionen har i flera inspektionsärenden funnit att brister i hur vårdgivaren uppfyller kraven i patientdatalagen och Social- styrelsens föreskrifter kan innebära att behandlingen av patient- uppgifter inom ramen för sammanhållen journalföring måste betraktas som olaglig och att vårdgivare vid vite kan förbjudas att fortsätta behandla personuppgifterna i ett system för sammanhållen journalföring så länge inte kraven i patientdatalagen är uppfyllda.

I ett ärende konstaterade Datainspektionen att en vårdgivare genom att inte uppfylla alla kraven i patientdatalagen och i Socialstyrelsens föreskrifter, behandlade personuppgifter på ett olagligt sätt inom ramen för sammanhållen journalföring. Bristerna var enligt inspektionen de tre följande. För det första kunde

8Prop. 2007/08:126 s. 269 f.

9Prop. 2007/08:126 s. 271.

936

SOU 2014:23

Internationellt informationsutbyte

användarna inte ta del av uppgift om att det finns ospärrade uppgifter om patienten, utan att samtidigt ta del av uppgift om vilken/vilka vårdgivare som har gjort uppgiften tillgänglig. För det andra visades i den sammanhållna journalföringen vilken/vilka vårdgivare som hade ospärrade uppgifter innan ett samtycke till behandlingen av uppgifterna hade inhämtats från patienten. Och för det tredje hade en användare som utgångspunkt alltid direkt- åtkomst till ospärrade uppgifter hos alla vårdgivare som ingick i den sammanhållna journalföringen.10

I ett annat ärende förklarade Datainspektionen att en vårdgivare

– om den inte omgående började informera alla sina patienter om den sammanhållna journalföringen och om rätten att motsätta sig sammanhållen journalföring – vid vite skulle förbjudas att fortsätta att tillgängliggöra personuppgifter för andra vårdgivare i ett system för sammanhållen journalföring.11

Vår sammanfattande bedömning

Möjligheten i patientdatalagen och offentlighets- och sekretess- lagen till sammanhållen journalföring mellan vårdgivare bygger således på att den mottagande vårdgivaren är bunden av och tillämpar regelverket för sammanhållen journalföring, dvs. att mot- tagande vårdgivare är skyldig att uppfylla de i 4 och 6 kap. patientdatalagen uppräknande kraven, i annat fall är inte den sekretessbrytande regeln i 25 kap. 11 § OSL tillämplig. Vidare förutsätter systemet med sammanhållen journalföring att absolut sekretess råder för uppgifter som den mottagande vårdgivaren inte har laglig rätt att ta del av. Det innebär att sammanhållen journalföring inte är tillåtet, om den mottagande vårdgivaren inte är tvungen att tillämpa alla kraven i patientdatalagen och inte heller om den mottagande vårdgivaren inte är bunden av offentlighets- och sekretesslagen.

Eftersom endast vårdgivare i Sverige är lagligen bundna av bestämmelserna om sammanhållen journalföring i patientdatalagen och OSL, är ett utlämnande till vårdgivare utanför Sverige varken förenligt med patientdatalagen, med offentlighets- och sekretess- lagen eller med patientsäkerhetslagen.

10Datainspektionens beslut 2012-02-21, dnr. 642–2011.

11Datainspektionens beslut 2011-01-20, dnr. 461–2010.

937

Internationellt informationsutbyte

SOU 2014:23

Sammanfattningsvis kan konstateras att patientdatalagen, offentlighets- och sekretesslagen och patientsäkerhetslagen hindrar en vårdgivare från att lämna ut uppgifter om en patient till vårdgivare i andra länder genom elektronisk direktåtkomst (i pati- entdatalagen benämnd sammanhållen journalföring), även om pati- enten har lämnat sitt uttryckliga samtycke till utlämnandet.

34.2.4Är detta förenligt med EU-rätten?

Vår bedömning: Det är inte oförenligt med EU-rätten att nationell svensk, lagstiftning begränsar utlämnande genom direktåtkomst till att endast vara tillåten mellan vårdgivare i Sverige.

Fri rörlighet för tjänster och arbetstagare

Frågan är då om det kan anses förenligt med EU-rätten att svensk lag inte tillåter att uppgifter lämnas ut genom elektronisk direkt- åtkomst till vårdgivare i andra EU-länder från vårdgivare i Sverige.

Den del av EU-rätten som är aktuell i sammanhanget, är närmast bestämmelserna om fri rörlighet för tjänster samt bestäm- melserna om fri rörlighet för arbetstagare. På bägge dessa områden finns det sekundärrättsliga bestämmelser som särskilt behandlar vad som gäller inom hälso- och sjukvården.

Fri rörlighet för medicinska tjänster

Europaparlamentet och rådet antog den 9 mars 2011 ett direktiv (2011/24/EU) om tillämpningen av patienträttigheter vid gräns- överskridande hälso- och sjukvård, i det följande benämnt patient- rörlighetsdirektivet. Bakgrunden till direktivet är bl.a. att EU- domstolen i flera domar slagit fast att sjukvård, oberoende av hur den är organiserad och finansierad, berörs av reglerna om den fria rörligheten för tjänster i fördraget om Europeiska unionens funktionssätt (EUF-fördraget).

Patientrörlighetsdirektivet har i Sverige genomförts bland annat genom lagen (2013:513) om ersättning för kostnader till följd av vård i ett annat land inom Europeiska ekonomiska samarbets-

938

SOU 2014:23

Internationellt informationsutbyte

området (ersättningslagen). I såväl själva direktivet som i ersätt- ningslagens förarbeten berörs frågan om överföring av person- uppgifter om hälsa mellan medlemsstaterna.12

Skyldigheter enligt patientrörlighetsdirektivet

I patientrörlighetsdirektivets ingress 25 sägs inledningsvis att rätten till skydd av personuppgifter är en grundläggande rättighet som erkänns i artikel 8 i Europeiska unionens stadga om de grund- läggande rättigheterna. Därefter konstateras att personuppgifter som gäller patientens hälsa måste överföras för att uppnå konti- nuitet i den gränsöverskridande hälso- och sjukvården – samtidigt som de enskildas grundläggande rättigheter måste skyddas. I ingressen sägs vidare att dataskyddsdirektivet ger enskilda individer rätt att få tillgång till sina egna personuppgifter om hälsa, t.ex. upp- gifter i deras patientjournal som innehåller uppgifter om exempelvis diagnos, undersökningsresultat, bedömningar av behandlande läkare och eventuella utförda behandlingar eller ingrepp. I ingressen konstateras därefter att dessa bestämmelser även bör tillämpas på sådan gränsöverskridande hälso- och sjukvård som omfattas av patientrörlighetsdirektivet.

I patientrörlighetsdirektivets artikel 2.c sägs beträffande direkti- vets förhållande till andra unionsbestämmelser, att patientrörlig- hetsdirektivet ska gälla utan att påverka tillämpningen av data- skyddsdirektivet samt Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation.

Enligt patientrörlighetsdirektivets artikel 5.d ska försäkrings- medlemsstaten se till att patienter som söker eller får gräns- överskridande hälso- och sjukvård får tillgång på distans till eller åtminstone har en kopia av patientjournalen, i överensstämmelse med och med förbehåll för nationella åtgärder som genomför uni- onens bestämmelser om skydd av personuppgifter, särskilt dataskyddsdirektivet och 2002/58/EG.

I en särskild kommentar till artiklarna 4.2.e respektive 5.d sägs följande i förarbetena till ersättningslagen.13

12Prop. 2012/13:150

13Prop. 2012/13:150 Patientrörlighet i EU – förslag till ny lagstiftning s. 96 och 101.

939

Internationellt informationsutbyte

SOU 2014:23

I artikel 4.2 e i patientrörlighetsdirektivet anges att den behandlande medlemsstaten ska säkerställa att den grundläggande rätten till person- lig integritet vid behandling av personuppgifter skyddas i överensstäm- melse med nationella åtgärder som genomför gemenskapens bestäm- melser om skydd av personuppgifter, särskilt direktiven 95/46/EG och 2002/58/EG. Dessa direktiv har framförallt genomförts genom (1998:204) personuppgiftslagen och lagen (2003:389) om elektronisk kommunikation. Dessutom finns ett antal s.k. registerförfattningar med särskilda regler för personuppgiftsbehandling. En sådan författ- ning, som gäller vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården, är patientdatalagen (2008:355). Artikeln föran- leder inte någon åtgärd från Sverige.

I artikel 5 d i patientrörlighetsdirektivet anges att försäkrings- medlemsstaten ska se till att patienter som söker eller får gräns- överskridande hälso- och sjukvård, får tillgång på distans eller åtmin- stone har en kopia av patientjournalen, i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestäm- melser om skydd av personuppgifter, särskilt direktiven 95/46/EG och 2002/58/EG. Detta innebär att Sverige ska se till att patienter som mottar vård i ett annat EES-land har tillgång till sin patientjournal. Som framgår av avsnitt 12 s. 96–97 uppfyller Sverige kravet i denna artikel.

De bestämmelser om patienters rätt till de egna journalerna som nämns i förarbetena till ersättningslagen är tryckfrihetsför- ordningen och offentlighets- och sekretesslagen samt patient- datalagens 8 kap. 2 § och 5 kap. 5 §. De aktuella bestämmelserna i patientdatalagen avser patientens rätt att ta del av journalhandlingar inom den enskilda hälso- och sjukvården respektive möjligheten för en vårdgivare att i vissa fall medge en enskild patient elektronisk direktåtkomst till uppgifter i patientens egen journal. Patientens tillgång till den egna journalen ska enligt artikel 5.d tillgodoses i överensstämmelse med och med förbehåll för nationella åtgärder som genomför unionens bestämmelser om skydd av personuppgifter.

IKT-system är nationell fråga

I en av ingresserna till patientrörlighetsdirektivet finns ett utta- lande som är av betydelse för bedömningen av EU-rättens inverkan införandet av IKT-system. Uttalandet är av intresse här, eftersom de system för sammanhållen journalföring som möjliggörs i patientdatalagen bör anses vara sådana system för informations-

940

SOU 2014:23

Internationellt informationsutbyte

och kommunikationsteknik (IKT-system) som avses i ingressen, enligt följande.14

Den tekniska utvecklingen av gränsöverskridande hälso- och sjukvård med hjälp av IKT kan skapa oklarhet när det gäller medlemsstaternas tillsynsansvar och därmed hindra den fria rörligheten för hälso- och sjukvårdstjänster, och eventuellt medföra ytterligare hälsorisker. Inom unionen används vitt skilda och inkompatibla format och standarder för IKT-baserad hälso- och sjukvård, vilket både skapar hinder för denna typ av vårdtjänst och kan innebära hälsorisker. Medlemsstaterna måste därför sträva efter kompatibilitet mellan IKT-system. Införande av IKT-system omfattas emellertid helt och hållet av nationell behörighet. Detta direktiv bör därför erkänna vikten av kompatibilitet och respektera en uppdelning av befogenheterna genom att fastställa att kommissionen och medlemsstaterna arbetar tillsammans för att utveckla åtgärder som inte är rättslig bindande, men som tillhandahåller ytterligare verktyg som medlemsstaterna kan använda för att underlätta större kompatibilitet mellan IKT-systemen på hälso- och sjukvårds- området och för att stödja patienternas tillgång till e-hälsotillämpningar, närhelst medlemsstaterna beslutar att införa sådana system.

I direktivets ingress 57 fortsätter resonemanget om nationella IKT- system med uttalandet att ”kompatibilitet mellan lösningar som rör e-hälsa bör uppnås samtidigt som hänsyn tas till nationell lag- stiftning om tillhandahållande av hälso- och sjukvårdstjänster som har antagits för att skydda patienten”.

Det anförda bör innebära att ett nationellt IKT-system, såsom det svenska systemet för sammanhållen journalföring – och även det nationella, svenska regelverk som möjliggör systemet – omfattas av den nationella behörigheten, och därmed i huvudsak inte berörs av EU-rätten.

Förordning 883/2004

Som ett parallellt spår till patientrörlighetsdirektivet finns också bestämmelser om rätten till gränsöverskridande vård i Europa- parlamentets och rådets förordning (EG) nr 883/2004 av den 29 april 2004 om samordning av de sociala trygghetssystemen. vilken syftar till att samordna olika socialförsäkringsförmåner för de EU-medborgare som rör sig över gränserna på grund av arbete, studier m.m. Förordningen innehåller inga bestämmelser som berör vårdgivares eller enskilda patienters behandling av personuppgifter.

14 Patientrörlighetsdirektivets ingress 56.

941

Internationellt informationsutbyte

SOU 2014:23

Vår sammanfattande bedömning

Utredningen konstaterar att patientrörlighetsdirektivet förutsätter att patientuppgifter ska kunna överföras mellan medlemsländerna, samt att direktivet innehåller en bestämmelse som innebär en skyldighet för försäkringsmedlemsstaten att ge patienter tillgång på distans till sin journal eller åtminstone en kopia av densamma.

Såsom konstateras i ersättningslagens förarbeten, tillgodoses direktivets krav inom detta område genom befintliga bestämmelser i tryckfrihetsförordningen, OSL och patientdatalagen.

Ingen av de EU-rättsakter som är aktuella här, ställer krav på att vårdgivare eller apotek ska ges direktåtkomst till enskilda patienters uppgifter. Rättsakterna ställer dock krav på att den enskildes rätt till personlig integritet ska beaktas, och föreskriver att de nationella genomförandena av dataskyddsdirektivet ska gälla även för den gränsöverskridande hälso- och sjukvården. Vidare anges i patient- rörlighetsdirektivet att införandet av system för informations- och kommunikationsteknik (IKT-system) helt och hållet omfattas av nationell behörighet.

Mot bakgrund av det sagda kan det inte anses som oförenligt med EU-rätten att nationell svensk lagstiftning begränsar möjlig- heten till elektronisk direktåtkomst till att endast vara tillåten mellan vårdgivare i Sverige.

34.3Våra övervägande om elektroniskt utlämnande till apotek i andra länder

34.3.1Utlämnande med den enskildes samtycke

Vår bedömning: Lagen (1996:1156) om receptregister och personuppgiftslagen gör det möjligt för eHälsomyndigheten att med en enskilds uttryckliga samtycke lämna ut uppgifter ur receptregistret på medium för automatiserad behandling till apotek i andra länder. Vidare framgår av lagstiftningen tydliga krav på hur ett sådant utlämnande ska gå till för att vara lagligt.

Enligt 1 § (1996:1156) lagen om receptregister (receptregister- lagen) får eHälsomyndigheten för de ändamål som anges i 6 § med hjälp av automatiserad behandling föra ett register över för- skrivningar av läkemedel och andra varor för människor (recept-

942

SOU 2014:23

Internationellt informationsutbyte

register). Lagen är tillämplig på den behandling av uppgifter som eHälsomyndigheten utför i samband med utlämnandet av personuppgifter om förskrivningar.

Frågan är då om det finns stöd i receptregisterlagen för ett utlämnande till apotek i andra länder. Inledningsvis kan konstateras att skyldigheten för eHälsomyndigheten enligt 12 § receptregister- lagen att lämna uppgifter till öppenvårdsapotek inte är aktuell i detta sammanhang, eftersom apotek utanför Sverige inte kan anses vara öppenvårdsapotek i den mening som avses i receptregister- lagen och enligt definitionen av uttrycket öppenvårdsapotek som återfinns i 1 kap. 4 § lagen (2009:366) om handel med läkemedel, som bl.a. kräver att ett öppenvårdsapotek har Läkemedelsverkets tillstånd att bedriva handel med läkemedel.

För besvarandet av frågan om möjligheten att lämna ut upp- gifter till apotek i andra länder, ges i utredningens direktiv en särskild förutsättning, nämligen att analysen ska avse den situa- tionen när patienten har lämnat sitt samtycke till den person- uppgiftsbehandling som utlämnandet innebär.

Ett samtycke är av betydelse för behandlingens förenlighet med receptregisterlagen. Enligt 4 § andra stycket receptregisterlagen får behandling av personuppgifter som inte är tillåten enligt recep- tregisterlagen ändå utföras, om den enskilde har lämnat ett uttryckligt samtycke till behandlingen. Enligt lagens förarbeten innebär bestämmelsen att personuppgifter kan behandlas för ett ändamål som inte regleras i receptregisterlagen, om den enskilde uttryckligen har samtyckt till det. Vidare framgår att ett samtycke enligt receptregisterlagen har samma innebörd som enligt person- uppgiftslagen.15 Innebörden av ett uttryckligt samtycke enligt personuppgiftslagen har behandlats i det föregående.

I 21 § receptregisterlagen hänvisas till att det i offentlighets- och sekretesslagen finns bestämmelser om begränsningar i rätten att lämna ut uppgifter från receptregistret. En sådan bestämmelse är 25 kap. 17 a § OSL, enligt vilken sekretess gäller hos eHälso- myndigheten för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men.

15 Prop. 2008/09:145, s. 441.

943

Internationellt informationsutbyte

SOU 2014:23

Av 12 kap. 2 § första stycket OSL framgår att en enskild helt eller delvis kan häva sekretess som gäller till skydd för honom eller henne, om inte annat anges i receptregisterlagen.

Således hindrar varken receptregisterlagen eller offentlighets- och sekretesslagen att eHälsomyndigheten med patientens uttryck- liga samtycke lämnar ut uppgifter ur receptregistret till apotek utanför landet. Men i personuppgiftslagen ställs vissa krav som måste vara uppfyllda för att det ska anses vara frågan om ett uttryckligt samtycke som kan utgöra laglig grund för behandling av känsliga personuppgifter.

Elektroniskt utlämnande på medium för automatiserad behandling till apotek i andra länder

Frågan är då om gällande rätt tillåter att eHälsomyndigheten på elektronisk väg lämnar ut uppgifter om patienten till apotek i andra länder.

Enligt 10 § receptregisterlagen gäller att om en personuppgift får lämnas ut, får det göras på ”medium för automatiserad behandling”. Enligt förarbetena är bestämmelsen utarbetad efter förebild av 5 kap. 6 § PDL.16 Vad som redovisats i det föregående om skillnaden mellan utlämnade på medium för automatiserad behandling respektive direktåtkomst, gäller således även för tillämp- ningen av receptregisterlagen.

Säkerhetsåtgärder

Liksom beträffande vårdgivares utlämnande, gäller även för eHälsomyndigheten att ett elektroniskt utlämnande på medium för automatiserad behandling endast får göras om tillräckliga, i lag föreskrivna säkerhetsåtgärder vidtas vid den behandling som utlämnandet innebär.

När det gäller utlämnanden från receptregistret framgår kraven på säkerhetsåtgärder av receptregisterlagen och av person- uppgiftslagen, som enligt 3 § receptregisterlagen även gäller för behandling av personuppgifter i receptregistret, om inte annat följer av lagen eller föreskrifter som meddelas i anslutning till den lagen.

16 Prop. 2008/09:145, s. 437.

944

SOU 2014:23

Internationellt informationsutbyte

Säkerhetskraven enligt personuppgiftslagen innebär för behand- lingen av personuppgifter i receptregistret bland annat följande enligt Datainspektionen.17

Ska man överföra personuppgifter som handlar om recept eller läke- medelsanvändning i öppna nät, till exempel Internet eller Sjunet, måste användarna vara identifierade och deras identitet säkerställd med en teknisk funktion som asymmetrisk kryptering (till exempel e-legiti- mation eller SITHS-certifikat), engångslösenord eller motsvarande. Dessutom ska personuppgifterna skyddas med kryptering vid själva överföringen. Syftet är att säkerställa att endast behöriga användare kan ta del av uppgifterna.

Överföring till tredje land

Receptregisterlagen innehåller inga särskilda bestämmelser om överföring av personuppgifter till andra länder. Som framgått ovan, gäller förutom receptregisterlagen även personuppgiftslagen när personuppgifter behandlas i receptregistret, så länge inte annat följer av receptregisterlagen eller av föreskrifter som meddelats med stöd av den lagen.

Personuppgiftslagen hindrar inte att personuppgifter förs över till länder inom EES. Till länder utanför EES-området, vilka i personuppgiftslagen benämns tredje land, gäller dock enligt 33 § PUL ett principiellt förbud för överföring, men med en rad undantag. Bland annat är överföring till tredje land möjlig enligt 34 § PUL om den registrerade har lämnat sitt samtycke till överföringen. För att vara giltigt i detta sammanhang, måste det vara tydligt att samtycket avser just överföring av den registrerades personuppgifter till tredje land.

Rekommendationer föranledda av epSOS

Inom ramen för epSOS-projektet överförs även uppgifter om recept, dvs. uppgifter om patienters läkemedelsförskrivningar. De rekommendationer som artikel 29-gruppen lämnat för epSOS, och som redovisats i det föregående, äger därför aktualitet även vid utlämnanden från receptregistret.

17 Datainspektionens informationsblad Integriteten på den nya apoteksmarknaden.

945

Internationellt informationsutbyte

SOU 2014:23

Vår sammanfattande bedömning

Sammanfattningsvis kan konstateras att både receptregisterlagen och personuppgiftslagen gör det möjligt för eHälsomyndigheten att med en patients uttryckliga samtycke på elektronisk väg lämna ut uppgifter ur receptregistret till apotek i andra länder, vilket i receptregisterlagen benämns utlämnande på medium för automa- tiserad behandling.

Likaså kan konstateras att det av receptregisterlagen, person- uppgiftslagen och dataskyddsdirektivet såsom det uttolkats av Artikel 29-gruppen, framgår tydliga krav på hur ett sådant elektro- niskt utlämnande ska gå till för att vara lagligt.

34.3.2Får ett elektroniskt utlämnande göras genom direktåtkomst?

Vår bedömning: Svensk rätt hindrar eHälsomyndigheten från att lämna ut uppgifter ur receptregistret till apotek i andra länder genom direktåtkomst, även om den enskilde har lämnat sitt uttryckliga samtycke till utlämnandet.

Ett utlämnande från receptregistret får alltså göras på medium för automatiserad behandling till länder såväl inom som utanför EES om kraven i lagstiftningen är uppfyllda, dvs. att det finns ett uttryckligt samtycke (och ingen annan sekretess gäller som den enskilde inte kan efterge) samt att den elektroniska överföringen görs på ett tillräckligt säkert sätt som uppfyller de krav som finns i lag och föreskrifter.

Enligt receptregisterlagen är även en annan form för elektro- niskt utlämnande möjlig (jfr 11 § receptregisterlagen). Enligt bestämmelsen får expedierande personal på ett öppenvårdsapotek ha direktåtkomst till receptregistret för de ändamål som anges i 6 § första stycket 1, 2 och 8 receptregisterlagen. Dessutom får den enskilde ha direktåtkomst till uppgifter om sig själv. Vidare är direktåtkomst till uppgifter om dosrecept tillåten för den som har legitimation för yrke inom hälso- och sjukvården.

Det finns dock vissa problem med att ge apotek utanför Sverige direktåtkomst till uppgifter i receptregistret, snarlika dem som diskuterats ovan beträffande direktåtkomst för vårdgivare utanför Sverige.

946

SOU 2014:23

Internationellt informationsutbyte

I apoteksdatalagen (2009:367) uppställs i 12–13 §§ en rad legala krav för behandlingen av personuppgifter hos öppenvårdsapoteken. Dessa krav gäller även när öppenvårdsapoteken behandlar uppgifter som lämnats ut från receptregistret. Kraven innebär att öppen- vårdsapoteket ska bestämma villkor för tilldelning av behörighet för åtkomst till uppgifter om konsumenter och de som är behöriga att förordna läkemedel. Behörigheten ska begränsas till vad som behövs för att den som arbetar på ett öppenvårdsapotek ska kunna fullgöra sina arbetsuppgifter där. Vidare ska öppenvårdsapoteken se till att åtkomst till helt eller delvis automatiskt behandlade uppgifter om konsumenter och de som är behöriga att förordna läkemedel, dokumenteras så att de kan kontrolleras. Tillstånds- havaren ska systematiskt och återkommande kontrollera om någon obehörigen kommer åt sådana uppgifter.

Vidare betonas i förarbetena till receptregisterlagen hur viktigt det är att säkerheten måste vara mycket god för personuppgifter om förskrivningar.18

Det är av största vikt att personuppgifterna skyddas hos Apotekens Service AB [numera eHälsomyndigheten] och hos övriga aktörer samt under överföringen till dessa aktörer. Säkerheten måste vara sådan att obehörigt utnyttjande av uppgifterna inte förekommer. I den utsträckning lagen (2005:258) om läkemedelsförteckning eller lagen (1996:1156) om receptregister inte innehåller bestämmelser som reglerar säkerheten vid behandling av personuppgifter, är bestäm- melserna i personuppgiftslagen (1998:204) tillämpliga. Detta innebär bl.a. att Apotekens Service AB [numera eHälsomyndigheten], som personuppgiftsansvarigt enligt 31 §, ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna och därmed åstadkomma en säkerhetsnivå som är lämplig med beaktande av hur känsliga uppgifterna är, vilka tekniska möjligheter som finns, de särskilda risker som finns med behandlingen av uppgifterna samt vad det skulle kosta att genomföra åtgärderna.

Tystnadsplikten för personal vid öppenvårdsapoteken regleras i 6 kap. 12 § första stycket PSL av vilken framgår att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. I patientsäkerhetslagen avses med hälso- och sjukvårdspersonal, bland andra apotekspersonal som

18 Prop. 2008/09:145, s. 324

947

Internationellt informationsutbyte

SOU 2014:23

tillverkar eller expedierar läkemedel eller lämnar råd och upp- lysningar (1 kap. 4 § första stycket 4 PSL).

Av 2 kap. 6 § 6 lagen (2009:366) om handel med läkemedel framgår att den som har tillstånd enligt 1 § att bedriva detaljhandel med läkemedel till konsument ska ha ett elektroniskt system som gör det möjligt att få direktåtkomst till uppgifter hos E-hälso- myndigheten.

Enligt 2 kap. 10 b§ lagen om handel med läkemedel ska eHälso- myndigheten informera Läkemedelsverket om vad som fram- kommit vid en kontroll av det elektroniska system för direkt- åtkomst till uppgifter hos myndigheten som en tillståndshavare ska ha enligt 2 kap. 6 §.

Av bestämmelsens förarbeten framgår att bland annat följande.19

Apotekens Service Aktiebolag [numera eHälsomyndigheten] kontrol- lerar om den som ansöker om tillstånd att bedriva detaljhandel med läkemedel till konsument (öppenvårdsapotek) har förutsättningar att uppfylla de krav för tillståndet som föreskrivs i 2 kap. 6 § 5–7 lagen om handel med läkemedel och som avser uppgiftslämnande och elektro- nisk direktåtkomst till uppgifter hos bolaget. Vid kontrollerna veri- fieras att datasystem, som ska ha tillgång till den information bolaget förvaltar, kan ansluta till bolagets datasystem på ett säkert sätt och att informationen inte förvanskas.

I likhet med vad som gäller för sammanhållen journalföring, betonas i förarbetena hur viktigt skyddet för uppgifterna i recept- registret är, både när de behandlas av eHälsomyndigheten och när de behandlas av öppenvårdsapoteken.

Vår sammanfattande bedömning

Som framgår ovan bygger systemet med direktåtkomst till upp- gifter i receptregistret således på att det i lag föreskrivs en rad olika villkor för behörighetsstyrning, åtkomstkontroll och IT-säkerhet i övrigt hos öppenvårdsapoteken, och att apoteken ska genomgå kontroller av hur de uppfyller villkoren. Hur villkoren efterföljs ska sedan enligt lag ligga till grund för avgörandet ifall apoteket ifråga ska kunna inneha tillstånd att bedriva handel med läkemedel.

Vidare förutsätter möjligheten till direktåtkomst för apotek till uppgifter i receptregistret, att personalen hos de mottagande apoteken är bundna av bestämmelser om tystnadsplikt.

19 Prop. 2012/13:128 42, s. 41 f.

948

SOU 2014:23

Internationellt informationsutbyte

Eftersom endast öppenvårdsapotek i Sverige och deras anställda, är bundna av det nämnda regelverket för behörighetsstyrning, åtkomstkontroll, IT-säkerhet, tillstånd, kontroller och tystnads- plikt, är ett utlämnande genom direktåtkomst till apotek utanför Sverige varken förenligt med receptregisterlagen, lagen om handeln med läkemedel, apoteksdatalagen eller med offentlighets- och sekretesslagen eller patientsäkerhetslagen.

Sammanfattningsvis kan konstateras att svensk rätt hindrar eHälsomyndigheten från att lämna ut uppgifter ur receptregistret till apotek utanför Sverige genom elektronisk direktåtkomst, även om patienten har lämnat sitt uttryckliga samtycke till utlämnandet.

34.3.3Är detta förenligt med EU-rätten?

Vår bedömning: Det är inte oförenligt med EU-rätten att nationell svensk lagstiftning hindrar eHälsomyndigheten från att lämna ut uppgifter ur receptregistret till apotek i andra länder genom direktåtkomst.

Såsom framgått tidigare är den i sammanhanget relevanta EU- rättsakten patientrörlighetsdirektivet, vilket enligt ingress 16 även ska tillämpas på ”förskrivning, utlämning och tillhandahållande av läkemedel och medicinska hjälpmedel”.

Därför är resultatet av analysen densamma – närmare bestämt att det inte kan anses som oförenligt med EU-rätten att nationell svensk lagstiftning begränsar möjligheten till elektronisk direkt- åtkomst till att endast gälla apotek i Sverige.

949

35Socialstyrelsens läkemedelsregister

35.1Bakgrund

För personal och beslutsfattare inom hälso- och sjukvård och socialtjänst är det viktigt att få använda uppgifter i olika stödsystem för att löpande kvalitetssäkra och förbättra insatser som vänder sig direkt till enskilda. Även tillsynsmyndigheter och nationella myndig- heter som arbetar med exempelvis öppna jämförelser måste ha tillgång till uppgifter.1 Syftet är att förbättra kvalitet och säkerhet i insatserna för den enskilda individen.

Hälsodataregister är rikstäckande register för att kunna följa bl.a. sjukdomars utbredning i landet och för att studera orsaker till olika sjukdomar2. Enligt lagen (1998:543) om hälsodataregister får personuppgifter i ett hälsodataregister behandlas för ändamålen framställning av statistik, uppföljning, utvärdering och kvalitets- säkring inom hälso- och sjukvård, forskning och epidemiologiska undersökningar. Hälsodataregistren förs av centrala förvaltnings- myndigheter, t.ex. Socialstyrelsen. Socialstyrelsen för med stöd av lagen ett flertal hälsodataregister varav läkemedelsregistret3 är ett. Detta register får användas för ändamålen epidemiologiska under- sökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet. Till skillnad mot övriga hälsodataregister som förs hos Socialstyrelsen får uppgifter i läkemedelsregistret inte användas för uppföljning, utvärdering och kvalitetssäkring.

11 Öppna jämförelser är en uppsättning indikationer som redovisas återkommande och som beskriver verksamheten med avseende på kvalitet och effektivitet. Jfr regeringens nationella strategi för öppna jämförelser.

2Jfr lagen (1998:543) om hälsodataregister.

3Jfr lagen 1998:543 om hälsodataregister och förordningen (2005:363) om läkemedels- register hos Socialstyrelsen.

951

Socialstyrelsens läkemedelsregister

SOU 2014:23

35.1.1Vårt uppdrag

Regeringen har uttalat att uppgifter i läkemedelsregistret hos Socialstyrelsen bör kunna användas för uppföljning och kvalitets- säkring. Det förutsätter att ändamålen för behandling av person- uppgifter i läkemedelsregistret anpassas till de ändamål som gäller för övriga hälsodataregister enligt lagen om hälsodataregister. Utredningen har därför fått i uppdrag att föreslå hur ändamål i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister.4 Därutöver har utredningen på eget initiativ även valt att utreda om uppgift om förskrivningsorsak bör få behandlas i läkemedelsregistret.

35.2Rättslig reglering av läkemedelsregistret

Bestämmelserna om nuvarande läkemedelsregister hos Social- styrelsen trädde ikraft den 1 juli 2005 genom lagen om hälso- dataregister och förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen. Socialstyrelsen får föra hälsodataregister i form av ett läkemedelsregister och personuppgifter i registret får behandlas för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet. 5

Innan det nuvarande regleringen trädde ikraft kunde registret användas för medicinsk uppföljning, utvärdering, kvalitetssäkring, epidemiologiska undersökningar, forskning och framställning av statistik. Registret, som då kallades hälso- och sjukvårdens läke- medelsregister, var inte ett personregister eftersom det inte innehöll uppgifter knutna till enskilda individer. De uppgifter som då togs in var uppgifter från Apoteket AB som lämnades, med stöd av föreskrifter i lagen (1996:1156) om receptregister (recept- registerlagen), över till Socialstyrelsen för i lagen föreskrivna ändamål. De uppgifter som registrerades var uppgifter om läke- medel, förbrukningsartiklar och livsmedel som har expedierats mot recept eller motsvarande på apotek från 1999 och framåt. Pati- entens kön, ålder och folkbokföringsort finns i registret och från och med 1 juli 2005 även personnummer. När det gäller kostnader finns uppgift om totalkostnad, kostnad för läkemedelsförmån och patientens egenavgift.

4Dir. 2011:111.

51 och 3 §§ förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen.

952

SOU 2014:23

Socialstyrelsens läkemedelsregister

Det nya läkemedelsregistret motiverades bland annat med att ingen uttömmande kunskap om läkemedel fanns när läkemedel blir tillgängligt för behandling av patienter och att en fortlöpande uppföljning av förskrivning och användning av läkemedel är nöd- vändigt. Studier av risker och effekter på lång sikt av läkemedels- behandling är särskilt viktiga. Dessa kräver tillgång till individ- relaterade uppgifter om patienters läkemedelsköp. Studierna måste bedrivas i syfte att stärka kunskapen om och erfarenheterna av läkemedelsanvändning.6

Av 1 § förordningen om läkemedelsregister hos Socialstyrelsen framgår att Socialstyrelsen får föra hälsodataregister enligt 1 § lagen om hälsodataregister i form av ett läkemedelsregister. Social- styrelsen är personuppgiftsansvarig för behandlingen av person- uppgifter (2 §). Personuppgifterna i läkemedelsregistret får behandlas för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårdsområdet (3 §). Behandlingen får avse olika i 4 § uppräknade uppgifter. I 6 § finns bestämmelser om vilken information som Socialstyrelsen ska lämna de registre- rade enligt 25 § första stycket c) personuppgiftslagen (1998:204), förkortad PUL.

Läkemedelsregistret omfattar alla receptförskrivna läkemedel som expedierats på apoteken i Sverige på individnivå. Registret uppdateras varje månad. Registret innehåller för varje individuellt uttag uppgifter om läkemedel, förbrukningsartiklar och livsmedel som expedierats på apotek mot recept eller motsvarande. Infor- mationen finns om den expedierade varan (identitet, mängd och pris, datum för expedition samt dosering). Uppgifter finns även om utbyte till generiskt eller parallellimporterat läkemedel. Uppgifter som registreras om den individ som köpt läkemedel är kön, ålder, folkbokföringsort och personnummer. Registret omfattar även uppgifter om förskrivaren såsom yrke och specialistutbildning, liksom andra egenskaper för förskrivarens arbetsplats som ägar- form, vårdform och verksamhetsinriktning. Förskrivare eller arbets- plats kan inte identifieras. I registret finns även information om kostnader; totalkostnad, kostnad för läkemedelsförmånerna och patientens egenavgift (jfr 4 § förordningen om läkemedelsregister hos Socialstyrelsen). Enligt 16 § receptregisterlagen ska eHälso- myndigheten (innan den 1 januari 2014 Apotekens Service AB) lämna de uppgifter som avses i 4 § till läkemedelsregistret Uppgifter om

6 SOU 2003:52.

953

Socialstyrelsens läkemedelsregister

SOU 2014:23

enskilda personers läkemedelsförskrivningar och inköp hämtas från det s.k. receptregistret.

För att möjliggöra uppbyggnaden av ett heltäckande läke- medelsregister hos Socialstyrelsen med uppgifter som kan hänföras till enskilda personer togs 2005 kravet på samtycke från den enskilde bort som förutsättning för att sådana uppgifter skulle få lämnas ut från receptregistret för redovisning till Socialstyrelsen.7

35.2.1Hälsodataregistren

Lagen om hälsodataregister infördes den 24 oktober 1998 för att reglera it-användningen när det gäller rikstäckande register hos centrala förvaltningsmyndigheter inom hälso- och sjukvården. Lagen reglerar särskilt viktiga och gemensamma frågor för samtliga hälsodataregister men sedan är det regeringen som föreskriver vilka register som ska föras och som bestämmer vilket ändamål, inom de ramar som lagen drar upp, som ett visst register ska ha.

I syfte att skydda den personliga integriteten betonade regeringen, vid införandet av bestämmelserna om hälsodataregister, vikten att avgränsa de ändamål för vilka personuppgifter får behandlas i ett hälsodataregister.8 Uppgifter i hälsodataregister får därför endast behandlas för ändamålen; statistik, uppföljning, utvärdering och kvalitetssäkring samt forskning m.m. Dessa ändamål är samtliga av högt samhälleligt intresse. Hälsodata- registren bygger på principen att uppgifter i respektive register är knutna till en angiven person och tillförs registret utan krav på att den enskilde har lämnat samtycke. Detta gäller samtliga hälso- dataregister utom biverkningsregistret. Det har gjorts en avvägning mellan den nyttan som både i ett snävt personperspektiv och i ett brett samhällsperspektiv är förbunden med registret och det integritetsproblem som kan vara förknippat med att finnas i ett register. Vid avvägningen har man funnit att nyttan med registren väger över och att man som enskild får tåla det intrång som registreringen kan upplevas som.9

Tanken är att det vid varje utfärdande av föreskrifter för varje särskilt hälsodataregister ska tas ställning till om ett register ska

7Detta gjordes genom en ändring i 3 § första stycket 6 (nuvarande 7) lagen (1996:1156) om receptregister.

8Prop. 1997/98:108, s. 48.

9Prop. 1997/98:108 s. 39 ff. och prop. 2004/05: 70.

954

SOU 2014:23

Socialstyrelsens läkemedelsregister

omfatta ett eller flera av dessa ändamål och om ändamålet ska preciseras ytterligare.

Socialstyrelsen har i rapporten Fyra år med läkemedelsregistret (2009) sammanställt ett urval av texter som beskriver hur och varför registret kom till, dess användbarhet, ur ett forskar- perspektiv, ut ett internationellt perspektiv och ur ett samhälls- perspektiv.

Samtliga register som Socialstyrelsen förvaltar och utvecklar bygger på principen att personrelaterade uppgifter samlas in utan krav på samtycke från individen. I samband med att hälso- dataregistren inrättades gjordes en noggrann avvägning om sam- hällsnyttan övervägde nackdelarna ut ett integritetsperspektiv. Både när det gäller Socialstyrelsens hälsodataregister och döds- orsaksregistret är det inte möjligt att ha samtycke som grund- princip för insamlande av uppgifter. Kraven är dock – på såväl samhällsnytta som integritetsskydd – särskilt höga.

Uppgifterna som finns i hälsodataregistren omfattas av sekre- tess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL. Enligt denna bestämmelse är sekretessen är absolut, vilket innebär att uppgifterna inte får lämnas ut. Undantag från sekretess finns när det gäller uppgifter som behövs för forskning och statistikändamål. I dessa fall kan uppgifter lämnas ut om det står klart att de kan röjas utan att den enskilde individen som uppgifter rör eller någon närstående lider skada eller men. Socialstyrelsen lämnar bara ut data till forskningsprojekt med villkoret att det finns tillstånd från forskningsetiskt nämnd och en beskrivning av syftet med projektet 10. Därefter gör Socialstyrelsen en oberoende prövning enligt offentlighets- och sekretesslagens bestämmelser.

Övriga hälsodataregister hos Socialstyrelsen

Hos Socialstyrelsen förs, förutom läkemedelsregistret, ytterligare fyra hälsodataregister. Nedan beskrivs dessa register kortfattat.

Syftet med cancerregistret är att tillhandahålla ett nationellt, befolkningsbaserat cancerregister för att kunna kartlägga cancer- sjukdomarnas förekomst och förändring över tiden. Det ska även vara möjligt att skapa en bas för klinisk och epidemiologisk forsk- ning samt att möjliggöra internationella jämförelser. Person-

10 SoS Fyra år med läkemedelsregistret 2012.

955

Socialstyrelsens läkemedelsregister

SOU 2014:23

uppgifter i cancerregistret får behandlas för framställning av statistik, uppföljning och utvärdering av insatser för att förebygga cancersjuklighet, utvärdering av hälsokontroller samt forskning och epidemiologiska undersökningar inom cancerområdet. Registret regleras genom förordning (2001:709) om cancerregister.

Det medicinska födelseregistrets syfte är att informationen ska kunna utgöra underlag för bland annat forskning och statistik. Personuppgifter i det medicinska födelseregistret får behandlas för framställning av statistik, uppföljning, utvärdering och kvalitets- säkring av hälso- och sjukvård, forskning och epidemiologiska undersökningar som avser reproduktion, övervakning av foster- skador samt nyföddas och andra barns hälsa. Registret regleras genom förordning (2001:708) om medicinskt födelseregister.

Patientregistret får innehålla uppgifter som kan behandlas för framställning av statistik, uppföljning, utvärdering och kvalitets- säkring inom den slutna hälso- och sjukvården och inom den del av den öppna vården som inte är primärvård, samt för forskning och epidemiologiska undersökningar. Syftet med registret är att följa hälsoutvecklingen i befolkningen och förbättra möjligheterna att förebygga och behandla sjukdomar. En annan viktig uppgift med registret är att bidra till hälso- och sjukvårdens utveckling. Bestäm- melserna finns i förordning (2001:707) om patientregister.

Syftet med tandhälsoregistret är att kunna följa tandvårdens och tandhälsans utveckling i Sverige. Registret fyller en viktig funktion på forskningens och statistikens område när det gäller att följa tandhälsan i Sverige över tid. Registret innehåller information om tandvård inom det statliga tandvårdsstödet, tandvård till personer med vissa långvariga sjukdomar och funktionsnedsättningar samt nödvändig tandvård. Personuppgifter i tandhälsoregistret får behandlas för framställning av statistik, kvalitetssäkring, uppfölj- ning och utvärdering inom tandvårds- och tandhälsoområdet samt för forskning och epidemiologiska undersökningar. Registret regleras genom förordningen (2008:194) om tandhälsoregister hos Social- styrelsen.

Hälsodataregister hos Läkemedelsverket

Enligt 4 kap. 5 § läkemedelsförordningen (2006:272) får Läke- medelsverket föra hälsodataregister enligt 1 § lagen (1998:543) om hälsodataregister för att tillgodose behovet av uppgifter för de

956

SOU 2014:23

Socialstyrelsens läkemedelsregister

ändamål som anges i 9 § läkemedelslagen (1992:859) samt för framställning av statistik och för forskning.11

Enligt 9 § läkemedelslagen ska Läkemedelsverket ansvara för ett system för säkerhetsövervakning, som har till syfte att samla in, registrera, lagra och vetenskapligt utvärdera uppgifter om biverk- ningar av läkemedel som godkänts för försäljning. Vid utvär- deringen ska i fråga om humanläkemedel beaktas även all tillgänglig information om felaktig användning och missbruk av läkemedel som kan ha betydelse för bedömningen av nyttan och riskerna med läkemedlen.

Läkemedelsverket för således ett biverkningsregister för stati- stik och forskning samt för att vetenskapligt utvärdera uppgifter om biverkningar av läkemedel. Läkemedelsverket gör sedan ana- lyser och sammanställningar på avidentifierat material. Syftet är att identifiera mönster och tendenser bland biverkningsrapporterna. Redan en misstanke om en läkemedelsbiverkning ska rapporteras. Reglerna gäller även naturläkemedel, vissa utvärtes läkemedel och veterinära läkemedel. Rapportering görs av hälso- och sjukvårds- personal och från enskilda konsumenter.

35.3Läkemedelsregistrets användning m.m.

Det nuvarande läkemedelsregistret öppnar nya möjligheter att belysa angelägna frågeställningar som att följa upp långsiktiga risker och nytta med läkemedel samt att göra praxisstudier och uppföljning av hur läkemedel förskrivs och används i befolk- ningen.12 Vid införandet av registret föreslog dock regeringen att registrering och redovisning av uppgifter till Socialstyrelsen ska begränsas till uppgifter för epidemiologiska undersökningar, forskning och framställning av statistik inom hälso- och sjukvårds- området.13 Förslaget överensstämde med det förslag som utred- ningen om uppföljning inom läkemedelsområdet lämnade.14

Regeringens motiv till att begränsa ändamålen var följande.

Precisering av ändamålen för ett register är viktig. Därigenom bestäms på vilket sätt den personuppgiftsansvarige får utnyttja registret. Att i

11Enligt övergångsbestämmelserna till förordning (2006:272) om läkemedelsförordning upphävdes förordningen (2001:710) om biverkningsregister angående läkemedel hos Läke- medelsverket.

12Socialstyrelsen Fyra år med läkemedelsregistret, (2009)

13Prop. 2004/05:70

14SOU 2003:52

957

Socialstyrelsens läkemedelsregister

SOU 2014:23

författning ange de ändamål som ett register får användas för skall ses som ett led i strävan att så långt möjligt skydda den personliga integriteten för de registrerade. Uppgifterna i registret får på så sätt komma till användning endast i vissa situationer och för vissa särskilt angivna och av lagstiftaren godkända syften. Man kan säga att ju färre ändamål som medges av lagstiftaren desto snävare blir tillämpnings- området för registret och därigenom minskar risken för intrång i den personliga sfären. Ett läkemedelsregister hos Socialstyrelsen av det slag som regeringen bedömer bör inrättas kommer att innehålla informa- tion av känslig natur och omfatta många personer. Ett sätt att ytter- ligare värna om den enskildes integritet skulle därför kunna vara att begränsa registrets ändamål.

Det väsentliga syftet med att bygga upp ett nationellt läke- medelsregister är att forskningen därigenom kan erhålla ett värdefullt källmaterial. I all medicinsk forskning ingår inslag av statistik. Epidemiologiska undersökningar är också bundna till statistik. Gräns- dragningen mellan dessa tre begrepp är inte alldeles enkel att göra. För att undvika tillämpningsproblem bör man liksom nu sker uttryckligen ange samtliga dessa tre ändamål men, för att skydda den personliga integriteten, begränsa ändamålen till dessa. En sådan begränsning skulle enligt vad utredningen redogjort för inte minska Socialstyrel- sens möjligheter att i enlighet med sin instruktion analysera och rap- portera om hälsoutvecklingen här i landet på läkemedelsområdet. Den uppgiften handhar Socialstyrelsen nämligen i huvudsak genom det epidemiologiska centret och genom den statistik som styrelsen eljest tar fram15.

Förslaget överensstämde i stort med det utredningen om upp- följning inom läkemedelsområdet lade fram i betänkandet Ökad patientsäkerhet på läkemedelsområdet. Utredningen konstaterade att förskrivning av läkemedel är den i särklass vanligaste behandlings- strategin inom svensk sjukvård i dag samtidigt som kunskaperna om ett läkemedels effekter och biverkningar är begränsade när det godkänns för försäljning. För att öka säkerheten för patienterna både när det gäller att få bästa möjliga effekt och att få så få biverkningar som möjligt behövs bättre kunskap och möjligheter till uppföljning.

Utredningen framhöll att tillgången till ett läkemedelsregister är till stort gagn för genomförande av forskning och epidemiologiska undersökningar på läkemedelsområdet och att ett läkemedels- register, i form av ett hälsodataregister, skulle vara av mycket stor betydelse också för den enskilde individen. Att använda sig av hälsodataregister skulle innebära att materialinsamlingen görs

15 SOU 2003:52 avsnitt 8.10.

958

SOU 2014:23

Socialstyrelsens läkemedelsregister

fortlöpande och kumuleras till redan insamlat material som är tillgängligt direkt och det kan således utnyttjas för en rad forsk- ningsprojekt utan några eller med endast begränsade komplet- terande resursinsatser. Med beaktande av detta ansåg utredningen att övervägande skäl talar för att uppgifter om läkemedels- användningen ska tas in i register utan krav på den berörda personens samtycke för att kunna användas för epidemiologiska undersökningar, forskning och framställning av statistik.

Kort om Socialstyrelsens arbete

Socialstyrelsen är enligt sin instruktion förvaltningsmyndighet för verksamhet som rör hälso- och sjukvård och annan medicinsk verksamhet m.m. Myndigheten ska verka för att hälso- och sjuk- vården och socialtjänsten bedrivs enligt vetenskap och beprövad erfarenhet, ansvara för kunskapsutveckling och kunskaps- förmedling inom sitt verksamhetsområde, följa, analysera och rapportera om hälsa, hälso- och sjukvård, socialtjänst samt stöd och service till vissa personer med funktionsnedsättning genom stati- stikframställning, uppföljning, utvärdering och epidemiologiska studier, och följa forsknings- och utvecklingsarbete av särskild betydelse inom sitt verksamhetsområde samt verka för att sådant arbete kommer till stånd m.m. Socialstyrelsen har även uppdraget att utforma evidensbaserade riktlinjer för åtgärder inom hälso- och sjukvården samt socialtjänsten.

Socialstyrelsen har alltså det övergripande nationella ansvaret för läkemedelsanvändning. Uppföljningen omfattar dels att följa hur läkemedelsanvändningen utvecklas, dels att följa den positiva och negativa påverkan på sjuklighet som läkemedelsanvändningen har.

Socialstyrelsens arbete med läkemedelsfrågor har flera utgångs- punkter. En central fråga för både tillsyn och uppföljnings- verksamhet är hur läkemedel hanteras och används. Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tagit över tillsynsuppgiften från Socialstyrelsen. Uppgifter om läkemedels- försäljning kommer bland annat från läkemedelsregistret hos Socialstyrelsen och från eHälsomyndigheten.

Socialstyrelsen och Sveriges Kommuner och Landsting (SKL) ger sedan 2006 årligen ut rapporten Öppna jämförelser av hälso- och sjukvårdens kvalitet och effektivitet. Socialstyrelsen har där- utöver fått regeringens uppdrag att ta fram fler öppna jämförelser

959

Socialstyrelsens läkemedelsregister

SOU 2014:23

inom hälso- och sjukvårdsområdet, varav Öppna jämförelser av läkemedelsbehandlingar 2013, är en. Arbetet har genomförts i samverkan med Läkemedelsverket och SKL. Syftet med öppna jämförelser är att skapa öppenhet och förbättrad insyn i den offentligt finansierade vården och ge landstingen underlag för styr- ning, fördjupad analys och förbättringsarbeten i den egna verk- samheten. Rapporterna riktar sig främst till beslutsfattare i lands- tingen, chefer i hälso- och sjukvården samt hälso- och sjukvårds- politiker. Rapporterna ger också allmänheten insyn och underlag för en offentlig debatt om hälso- och sjukvården i Sverige.

Kort om Läkemedelsverkets arbete

Läkemedelsverkets uppgift är att se till att läkemedel är effektiva säkra och av god kvalitet. Läkemedelsverket ska informera för- skrivarkåren om den optimala användningen av läkemedel, baserat på den dokumentation som finns vid godkännandet, men också förmedla den kunskap om läkemedlets effekt- och biverknings- profil som tillkommer efterhand.

Vidare ska Läkemedelsverket särskilt svara för kontroll och tillsyn enligt läkemedelslagen, föreskrifter och allmänna råd i fråga om läkemedel samt forskning på områden av betydelse för den kontroll och tillsyn som ska bedrivas.

Kort om landstingens arbete

Ansvaret för att medborgarna får hälso- och sjukvård vilar enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, på kom- muner och landsting. Landstingens ansvar i egenskap av finansiär och huvudman för merparten av den offentligfinansierade hälso- och sjukvården innefattar även ett ansvar för hela verksamhetens innehåll, där läkemedelsförmånerna ingår.

Det är eHälsomyndigheten som lämnar ut data till landstingen om uthämtade receptförskrivna läkemedel på individnivå för ändamålen ekonomisk och medicinsk uppföljning samt för fram- ställning av statistik (jfr 6 § punkten 5 receptregisterlagen). Det är till stor del motsvarande uppgifter som överförs till Socialstyrelsens läkemedelsregister.

960

SOU 2014:23

Socialstyrelsens läkemedelsregister

Landstingen kan i dag, efter begäran om utlämnande, även få tillgång till information från läkemedelsregistret och Social- styrelsens övriga hälsodataregister i form av aggregerad statistik där inga uppgifter kan hänföras till en viss person. Dessa uppgifter får i sin tur användas till uppföljning, utvärdering och kvalitetssäkring – som kan tjäna som återkoppling till vården.

35.4Uppföljning, utvärdering och kvalitetssäkring m.m.

I lagen om hälsodataregister regleras de olika ändamålen för vilka personuppgifter får användas. Ändamålen att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården är en angelägen uppgift som blir allt viktigare på central nivå i en situation som kräver ändamålsenligt nyttjande av tillgängliga ekonomiska och personella resurser. I 31 § HSL anges att inom hälso- och sjukvården ska kvalitet i verksamheten systematiskt och fortlöpande utvecklas och säkras (jfr även 16 § tandvårdslagen [1985:125]). Med hänsyn härtill och det övergripande ansvar som centrala förvaltnings- myndigheter har på respektive verksamhetsområde för ett effektivt utnyttjande av samlade resurser ansågs det vara väl motiverat att uppgifter i ett hälsodataregister får behandlas för uppföljning, utvärdering och kvalitetssäkring av hälso- och sjukvård på central nivå.16

Närmare om uppföljning

Med begreppet uppföljning avses att fortlöpande och regelbundet mäta och beskriva behov, verksamheter och resursåtgång angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Upp- följning syftar till att ge en översiktlig bild av en verksamhets utveckling och att fungera som signal för avvikelser som bör beaktas.

De senaste åren har präglats av en ökad medborgarorientering i verksamhetsuppföljning som syftar till att stärka patienters, allmänhetens samt politiska eller administrativa beslutsfattares tillgång till information om vårdens resultat i olika avseenden.17

16Prop. 1997/98:108.

17 SOU 2009:32, s. 231, prop. 1999/2000:149 s. 52 f.

961

Socialstyrelsens läkemedelsregister

SOU 2014:23

Tidigare var verksamhetsuppföljning i huvudsak inriktad på en producents intresse av information om verksamhetens medicinska kvalitet, effektivitet och ekonomiska kostnader eller resultat. Socialtjänstdatautredningen konstaterade att det finns ett påtagligt och befogat behov av att kunna behandla personuppgifter för att få fram information om hälso- och sjukvårdsverksamheten.18 I all- mänhet är det fullt tillräckligt att bara använda uppgifter från den individbaserade vårddokumentationen, m.a.o. uppgifter som sam- lats in därför att de behövs i den individinriktade hälso- och sjuk- vården. Men det förekommer också att man följer upp resurs- användningen på individnivå genom att koppla samman vård- dokumentation med andra uppgifter, t.ex. genom användning av metoden Kostnad Per Patient (KPP) som beräknar kostnader för olika insatser som utförs. I och med sammankopplingen mellan vårddokumentation och kostnadsinformation blir det fråga om något mer än enbart sekundär användning av redan insamlade personuppgifter.

Systematisk uppföljning av förskrivning och användning av läkemedel kan ta sikte på en rad olika aspekter inom hälso- och sjukvårdsverksamheten. Ett centralt område är kunskapsinhämt- ning med fokus på den mer direkta patientnytta utifrån sådana aspekter som patientsäkerhet, förbättring av behandlingsmetodik etc. Andra aspekter kan vara effektiv resursanvändning, likvärdig- het i behandling mellan olika geografiska delar av hälso- och sjukvården. En uppföljning kommer även patienterna till del.

Närmare om utvärdering

När det gäller utvärdering avses här analys och värdering av kvalitet, effektivitet och resultat hos en verksamhet i förhållande till de mål som bestämts för denna.

Närmare om kvalitetssäkring

Inom hälso- och sjukvården är begreppet kvalitet centralt. Att verksamheten ska vara av god kvalitet uppställs i hälso- och sjuk- vårdslagen som ett av de grundläggande kraven på alla hälso- och sjukvård. Vården ska bl.a. hålla en god personell och materiell

18 SOU 2009:32.

962

SOU 2014:23

Socialstyrelsens läkemedelsregister

standard och ges i enlighet med vetenskap och beprövad erfaren- het.19 Att vårdens resultat ska medför förbättrad hälsa och hög patienttillfredsställelse är ett annat sätt att uttrycka kärnan i begreppet god vårdkvalitet. I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns i tandvårdslagen. Genom dessa bestämmelser finns det ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården att bedriva både kvalitets- säkring och kvalitetsutveckling. Kravet på kvalitetssäkring infördes 1997 och innebär enligt förarbetena en förpliktelse för vårdgivare, såväl offentliga som privata, att utveckla metoder för att noga följa upp och analysera utvecklingen vad gäller kvalitet och säkerhet.20 Från den 1 januari 2012 gäller en gemensam reglering för social- tjänsten och hälso- och sjukvården, Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för syste- matiskt kvalitetsarbete. Vårdgivaren och den som bedriver socialtjänst ska enligt denna identifiera, beskriva och fastställa de processer i verksamheten som behövs för att säkra verksamhetens kvalitet

Med begreppet kvalitetssäkring menas en utvärderingsprocess i vilken man fortlöpande och systematiskt beskriver, mäter och värderar kvaliteten i den egna verksamheten.

Förskrivning av läkemedel är i den i särklass vanligaste behand- lingsstrategin inom svensk sjukvård i dag.21 Samtidigt är kun- skaperna om ett läkemedels effekter och biverkningar begränsade när det godkänns för försäljning. För att öka säkerheten för patienterna både när det gäller att få bästa möjliga effekt och att få så få biverkningar som möjligt behövs bättre kunskap och möjlig- heter till uppföljning.

Statistik

Statistik har som syfte att ge information av allmänt intresse i frågan om samhällsutveckling och samhällsförhållanden. I lagen (2001:99) om den officiella statistiken anges att till sådan statistik räknas den statistik för samhällsplanering, forskning, allmän infor- mation och internationell rapportering som en statlig myndighet framställer.

19Prop. 1995/96:176 s. 27.

20Prop. 1995/96:176 s. 53.

21SOU 2003:52 s. 143.

963

Socialstyrelsens läkemedelsregister

SOU 2014:23

Forskning m.m.

Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar eller bidrar till olika typer av ohälsa. Epidemiologin har en central betydelse för att påvisa riskfaktorer för en lång rad av sjukdomar hos befolkningen och ge underlag till systematiskt genomförda försök med förebyggande insatser. Vid den epidemiologiska verksamheten hos Socialstyrelsen används uppgifter ur de nuvarande registren både för framställning av statistik och för att ta fram andra slag av särskilda rapporter och redogörelser över aktuella frågeställningar. Användningen av hälso- dataregister för epidemiologiska undersökningar som resulterar i statistiska beskrivningar får anses täckas av ändamålsbestämmelsen statistik. 22

Epidemiologiska undersökningar som resulterar i andra former av redovisningar än ren statistik bör i många fall kunna täckas av ändamålsbestämmelsen forskning. För att undvika tillämpnings- problem och med hänsyn till svårigheten att dra en exakt gräns för vad som ska avses med forskning utformades ändamåls- bestämmelsen för hälsodataregister så att uppgifter i ett hälso- dataregister får behandlas för forskning och epidemiologiska undersökningar.23

Skillnad mellan de olika ändamålen

Skillnaden mellan forskning och uppföljning, utvärdering och kvali- tetssäkring kan beskrivas så här.24 I 2 § lagen (2003:460) om etik- prövning av forskning som avser människor ges en definition av vad som avses med forskning enligt den lagen. Med forskning avses där vetenskaplig forskning samt utvecklingsarbete på vetenskaplig grund. I förarbetena till bestämmelsen anförs att avgränsningen bl.a. bygger på OECD:s riktlinjer. Vidare påpekas att fråga upp- kommer om gränsdragningen mellan vetenskaplig forskning och t.ex. kvalitetssäkring och resultatuppföljning. Där hänvisas till 31 § HSL enligt vilken bestämmelse kvaliteten i verksamheten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas

22Prop. 1997/98:108 s. 50.

23Prop. 1997/98:108 s. 51.

24SOU 2009:32 s. 229f.

964

SOU 2014:23

Socialstyrelsens läkemedelsregister

och säkras. Sådan och liknande verksamhet avses inte utgöra forsk- ning i lagens mening.25

Även i 3 § lagen om hälsodataregister, som handlar om för vilka ändamål personuppgifter får behandlas, görs en skillnad mellan uppföljning, utvärdering och kvalitetssäkring av hälso- och sjuk- vård å ena sidan och forskning och epidemiologiska under- sökningar å andra sidan. Ett påpekande om att begreppet forskning inte får förväxlas med uppföljning, utvärdering eller kvalitets- säkring görs också i förarbetena till lagen (2001:454) om behand- ling av personuppgifter inom socialtjänsten.26

När det gäller skillnad mellan statistik och uppföljning, utvär- dering och kvalitetssäkring kan följande beskrivning som gjordes av Socialtjänstdatautredningen lyftas fram. 27 Utredningen beskrev förhållandet mellan statistik och verksamhetsuppföljning på följande sätt. Utredningen utgår från det samlade begreppet verksam- hetsuppföljning och därigenom avses att detta omfattar begreppen uppföljning, utvärdering och kvalitetssäkring. Även begreppet öppen jämförelse har en naturlig anknytning till verksamhets- uppföljning och behandlas i utredningens resonemang tillsammans med begreppet verksamhetsuppföljning. Utredningen utgår även från den skiljelinjen att statistik och användandet av uppgifter för statistiska ändamål skiljer sig från verksamhetsuppföljning och användandet av uppgifter för uppföljning, utvärdering och kvalitets- säkring och öppna jämförelser.

I rättsfallet RÅ 2004 ref 9 uttalade Högsta förvaltnings- domstolen att det förhållande att uppgifter inom ramen för upp- följning, utvärdering och liknande verksamhet sammanställs statis- tiskt inte kan anses innebära att uppgifterna används för statistikändamål i den mening som avses i dåvarande 9 kap. 4 § sekretesslagen (nuvarande 24 kap. 8 § OSL). Frågan gällde om upp- gifter ur Socialstyrelsens dödsorsaksregister kunde lämnas ut med stöd av de undantag från sekretess som anges i sekretesslagen (9 kap. 4 §) då uppgiften behövdes för statistikändamål.

25Prop. 2002/03:50 s. 90 f och 192.

26Prop. 2000/01:80 s. 138.

27SOU 2009:32.

965

Socialstyrelsens läkemedelsregister

SOU 2014:23

35.5Våra överväganden och förslag

35.5.1Utvecklingen på området

Nuvarande hälsodataregister bygger således på principen att upp- gifter som ingår i respektive register är knutna till en angiven person och tillförs registret utan krav på samtycke från den enskilde. Det har gjorts en avvägning mellan den nytta som både i ett snävt personperspektiv och i ett brett samhällsperspektiv är förbunden med registret och det integritetsproblem som kan vara förknippat med att finnas i ett register. Vid den avvägningen har man funnit att nyttan med registren väger över och att man som enskild får tåla det intrång som registreringen kan upplevas som. 28

Som bestämmelserna ser ut i dag kan uppgifter i läke- medelsregistret inte användas för att läkemedel i vården ska kunna följas upp eller för åtgärder som avser bland annat kvalitetssäkring. I frågan om nytillkomna uppgifter (efter 1 juli 2005) får, som har framgått tidigare, dessa inte användas för uppföljning och kvalitets- säkring.

Läkemedelsregistret har framgångsrikt använts för de ändamål som anges i förordningen. Registret har gett den medicinska forsk- ningen nya möjligheter att utveckla kunskap och samhället har på olika sätt fått viktiga underlag genom den statistik som Social- styrelsen producerar. I praktiken kan sägas att den mer begränsade ändamålsbestämmelsen hitintills inte inneburit att Socialstyrelsen hindrats i sitt arbete med registret. Det kan samtidigt konstateras att det informationsbehov som Socialstyrelsen tillgodoser genom sin registerverksamhet är under klar förändring. Det har blivit en ökad fokusering på uppdrag som avser utvärderingar och uppfölj- ningar av olika verksamheters funktionssätt. Behoven kommer till uttryck bland annat genom regeringsuppdrag till Socialstyrelsen men informationen efterfrågas från lokala och regionala aktörer som behöver uppgifter för sitt uppföljnings- och utvecklingsarbete när det gäller läkemedel inom hälso- och sjukvårdsområdet. I samband med dessa nya uppdrag och förfrågningar har utform- ningen av läkemedelsregistrets ändamålsbestämmelse kommit att skapa en del svårigheter. En fråga som uppkommer då är gränsdragningen mellan statistik å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan.

28 Prop. 2004/05:70 s. 43.

966

SOU 2014:23

Socialstyrelsens läkemedelsregister

Socialstyrelsen arbetar med utveckling av kvalitetsindikatorer angående läkemedelsanvändning och detta arbete har utvecklats sedan tillkomsten av läkemedelsregistret29. Läkemedelsindikatorer finns nu med i de nationella riktlinjerna för hälso-och sjukvården t.ex. i riktlinjer för diabetes, hjärtsjukvård, strokesjukvård, samt i riktlinjer för ångest och depression.

Ett annat exempel är att fyra landsting tillsammans har utvär- derat och publicerat ett antal läkemedelsindikatorer då de utnyttjar läkemedelsregistrets möjligheter att jämföra läkemedelsanvänd- ningen i Stockholms län, Skåne, Västra Götaland och Östergötland med riket. Arbetet med öppna jämförelser av hälso- och sjuk- vårdens kvalitet och effektivitet som Socialstyrelsen gör tillsam- mans med Sveriges Kommuner och Landsting, startade 2006. I den första rapporten var 5 av de 56 indikatorerna läkemedelsindika- torer, 2007 var de 13 av totalt 75 indikatorer, och 2008 var de 20 av totalt 101. I rapporten för 2009 ökade antalet indikatorer som är framtagna med hjälp av läkemedelsregistret ytterligare.

Öppna jämförelserapporterna har fått ett stort genomslag, både 2007 och 2008 års rapporter är översatta till engelska vilket inneburit att läkemedelsindikatorer som underlag för förbättrings- arbete har även uppmärksammats utomlands. De läkemedels- indikatorer som använts i öppna jämförelser och i arbetet med nationella riktlinjer bygger främst på tre olika sätt att använda läkemedelsregistret och att mäta läkemedelsanvändningen. De lite enklare måtten bygger på analyser av konsumtion av läkemedel i befolkningen.

För liknande mått där man vill studera följsamhet till behandlings- rekommendationer krävs ofta att man kan identifiera helt nya användare av ett läkemedel med syftet att bland annat få en så homogen grupp som möjligt. För detta krävs att personen inte haft något uttag av läkemedlet i fråga under en längre period. Då denna period helst ska vara minst två år är det först nu som liknande analyser kan genomföras. Detta gäller framför allt om man vill jämföra nyinsättning av läkemedel under olika perioder.

De mer avancerade måtten kräver samkörningar med flera av de andra nationella hälsodataregistren. Socialstyrelsen utvecklar fort- löpande, i samarbete med nationella experter, nya kvalitets- indikatorer som bygger på läkemedelsregistret.30

29Socialstyrelsen Fyra år med läkemedelsregistret s. 37 f.

30Socialstyrelsen Fyra år med läkemedelsregistret s. 37 f.

967

Socialstyrelsens läkemedelsregister

SOU 2014:23

Socialstyrelsen har fått i uppdrag av regeringen att utreda förutsättningarna för att integrera individbaserade data för rekvisitionsläkemedel i ett hälsodataregister. Arbetet har redovisats i två rapporter. I Förstudie kring individdata för rekvisitions- läkemedel (2012) slår Socialstyrelsen fast att det är viktigt att följa upp användningen av rekvisitionsläkemedel för att det ska vara möjligt att ge en helhetsbild av befolkningen läkemedels- behandling. Socialstyrelsen har i rapporten Uppföljning av rekvisi- tionsläkemedel – förutsättningar för integrering i ett hälsodata- register (2013) föreslagit hur individdata för rekvisitionsläkemedel kan integreras i Socialstyrelsens läkemedelsregister. I rapporten redogörs även för hur data bör förberedas, vilka uppgifter som bör registreras, hur täckningsgrad och kvalitet för dessa data ska mätas för att säkerställa tillförlitligheten för uppföljning eller statistik- underlag. Socialstyrelsen konstaterade bland annat att det krävs en ändring i förordningen om läkemedelsregister hos Socialstyrelsen som i dag anger att läkemedelsuppgifter bara kan hämtas till läkemedelsregistret från öppenvården, inte från slutenvården.

Socialstyrelsen lyfter fram att om uppgifterna i läkemedels- registret även ska kunna användas för andra ändamål än de befintliga, t.ex. för uppföljning, utvärdering och kvalitetssäkring behöver bestämmelserna i 3 § förordningen om läkemedelsregister hos Socialstyrelsen kompletteras.

Vi bedömer att den rådande utvecklingen på området, bl.a. med hänsyn till Socialstyrelsens roll som kunskapsstyrande myndighet på området, gör att utformningen av nuvarande ändamåls- bestämmelse kan ifrågasättas.

Förstudie från CeHis

Center för eHälsa i samverkan (CeHis) har i Förstudie om upp- följning av användningen av rekvisitionsläkemedel på individnivå (15 oktober 2013) undersökt förutsättningarna för huvudmännen (landstingen) att extrahera aktuell information ur sina journal- system för överföring till ett nationellt register. CeHis har utgått från Socialstyrelsens förslag att läkemedelsregistret ska utökas med data om rekvisitionsläkemedel och föreslagit att ändamålen bör utökas. I förstudien konstateras att samtliga hälsodataregister bör tillåta personuppgiftsbehandling för samma ändamål. Förstudiens förslag att utöka ändamålen för läkemedelsregistrets personupp-

968

SOU 2014:23

Socialstyrelsens läkemedelsregister

giftsbehandling motiveras med att uppgifter som bedöms vara lika integritetskänsliga bör få användas för samma ändamål i alla hälsodataregister. Uppgifter om diagnoser från vårdtillfällen, lagrade i patientregistret får till exempel användas även för uppföljning, utvärdering och kvalitetssäkring. Att de båda hälsodataregistren har olika tillåtna ändamål innebär dessutom att det i dag inte är tillåtet att samköra patientregistret och läkemedels- registret för något av ändamålen uppföljning, utvärdering och kvalitetssäkring. Det är svårt att se att uppgifterna om läke- medelsanvändning är mer integritetskänsliga än uppgifter om diagnos – snarare brukar uppgifter om diagnos betraktas som mer integritetskänsliga.

35.5.2Nya ändamål bör införas i läkemedelsregistret

Vårt förslag: Ändamålsbestämmelsen i förordningen (2005:363) om läkemedelsregister hos Socialstyrelsen ska utökas till att omfatta även uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet. En konsekvens av förslaget är att det krävs en följdändring i lagen (1996:1156) om receptregister.

I tidigare lagstiftningsarbeten när det gäller hälsodataregister har konstaterats att ju färre ändamål som medges desto snävare blir tillämpningsområdet för ett register och därigenom minskar risken för intrång i den personliga integriteten. När läkemedelsregistret infördes uttalades att ett läkemedelsregister hos Socialstyrelsen kommer att innehålla information av känslig natur och omfatta många personer och att ett sätt att ytterligare värna om den enskildes integritet skulle därför kunna vara att begränsa registrets ändamål. 31

För att skydda den personliga integriteten begränsades ända- målen till forskning, epidemiologiska undersökningar och statistik när det gäller läkemedelsregistret.

Av utredningens direktiv framgår att läkemedelsregistret bör kunna användas för uppföljning och kvalitetssäkring. 32

Socialstyrelsens uppdrag innefattar att vara en ledande kunskaps- styrande myndighet. Vi kan konstatera att det Socialstyrelsen gör

31SOU 2003:5.

32S2011:111.

969

Socialstyrelsens läkemedelsregister

SOU 2014:23

i dag i form av t.ex. öppna jämförelser i och för sig kan göras med stöd av ändamålet statistik. Men det kan även ligga nära arbetet med uppföljning, utvärdering och kvalitetssäkring. Gränsdrag- ningen mellan statistik och uppföljning, utvärdering och kvalitets- säkring är inte alltid helt klar.

Vid en jämförelse av ändamålen statistik och bl.a. uppföljning bör följande nämnas. Som tidigare har framgått har statistik som syfte att ge information av allmänt intresse i frågan om sam- hällsutveckling och samhällsförhållanden. Vidare framgår av lagen om den officiella statistiken att till sådan statistik räknas den statistik för samhällsplanering, forskning, allmän information och internationell rapportering som en statlig myndighet framställer. Det samlade begreppet verksamhetsuppföljning omfattar begrep- pen uppföljning, utvärdering och kvalitetssäkring. Även begreppet öppen jämförelse har en naturlig anknytning till verksamhets- uppföljning och kan behandlas tillsammans med detta begrepp. Statistik och användandet av uppgifter för statistiska ändamål skiljer sig från verksamhetsuppföljning och användandet av upp- gifter för uppföljning, utvärdering och kvalitetssäkring och öppna jämförelser.33

Som beskrivits ovan kan Socialstyrelsen i dag göra till exempel arbetet med öppna jämförelser till ändamålet statistik men det kan lika gärna falla under ett ändamål som uppföljning. Enligt utred- ningens bedömning är det inte lämpligt att det är en sådan begränsning av ändamålen i förordningen om läkemedelsregister hos Socialstyrelsen när en stor del av Socialstyrelsens uppdrag består av just uppföljning och kvalitetssäkring av läkemedel inom hälso- och sjukvårdsområdet.

Det bör enligt utredningens bedömning göras en anpassning av bestämmelserna i läkemedelsregistret till övriga hälsodataregister. En harmonisering av lagstiftningen när det gäller hälsodataregistren som förs hos Socialstyrelsen bör göras för att myndigheten ska kunna fortsätta sitt arbete med att vara kunskapsstyrande och ta fram information för uppföljning- och utvecklingsarbete avseende läkemedel inom hälso- och sjukvården. Enligt utredningens bedöm- ning kommer skillnaden, ur ett praktiskt perspektiv, inte heller att vara så betydande eftersom just vad som kan hänföras till ändamålen statistik och uppföljning inte är helt klar.

33 SOU 2009:32.

970

SOU 2014:23

Socialstyrelsens läkemedelsregister

I jämförelse med de andra hälsodataregistren där uppgifterna i registren kan användas för ändamålen uppföljning, utvärdering och kvalitetssäkring så kan det uppfattas som ologiskt att inte uppgifterna i läkemedelsregistren kan användas även för dessa ändamål. Uppföljning av läkemedelsanvändningen, som för övrigt vad huvudsyftet för att införa ett läkemedelsregister, är fortfarande en av de viktigtaste uppgifterna med att registrera läkemedel.

Efter en avvägning mot den enskildes integritet och mot att ge Socialstyrelsen möjlighet att, i enlighet med sitt uppdrag, göra uppföljningar, utvärdera och kvalitetssäkra läkemedel inom hälso- och sjukvårdsområdet så gör utredningen bedömningen att nyttan med en utökning av ändamålen väger över det intrång i den personliga integriteten som skulle kunna uppstå. Ändringen innebär i praktiken ingen en större skillnad mot i dag. Utred- ningens bedömning är att integritetsriskerna inte är av sådan omfattning att föreslagna förändringar inte kan genomföras. I sammanhanget är det viktigt att komma ihåg att uppgifterna i Socialstyrelsens läkemedelsregister omfattas av absolut sekretess (24 kap. 8 § OSL). Vidare så arbetar Socialstyrelsen när det gäller läkemedelsregistret med uppföljning på verksamhetsnivå och inte med uppföljning av hälsan hos enskilda individer. Socialstyrelsen använder uppgifter från läkemedelsregistret i aggregerad form.

Utredningen föreslår därför att ändamålet i läkemedelsregistret ska utökas till att omfatta även uppföljning, utvärdering och kvalitetssäkring inom hälso- och sjukvårdsområdet. Till denna slutsats har utredningen kommit genom att väga den samhällsnytta och den nytta för den enskilde som en sådan utökning av ändamålet i registret för med sig mot det intrång i den enskildes integritet som en utökning av ändamålet innebär. På samma sätt som redan konstaterats vid tillkomsten av de övriga hälso- dataregistren väger nyttan med en föreslagen utökning av registret enligt utredningens mening så tungt att man som enskild får finna sig i att uppgifterna kan användas även för uppföljning, utvärdering och kvalitetssäkring när det gäller läkemedel inom hälso- och sjukvårdsområdet.

971

Socialstyrelsens läkemedelsregister

SOU 2014:23

35.5.3Uppgift om förskrivningsorsak bör få registreras i läkemedelsregistret

Vårt förslag: Bestämmelsen i förordningen om läkemedels- register hos Socialstyrelsen om vilka personuppgifter som får registreras ska utökas till att omfatta även uppgift om förskriv- ningsorsak. Förskrivningsorsak ska anges med en kod. Som en konsekvens av förslaget krävs följdändringar i receptregister- lagen.

I utredningens uppdrag ingår att föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassas till de ändamål som gäller för övriga hälsodataregister. I föregående avsnitt har utredningen också föreslagit förändringar för en sådan anpassning. I direktiven framgår även att vi har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredställande sätt.34 I uppdraget har utredningen sett att det finns ett behov av se över om uppgift om förskrivningsorsak bör få registreras i läkemedelsregistret. Mot bakgrund av de övriga förslag som läggs fram i betänkandet har utredningen kommit fram till att bestämmelsen om vilka personuppgifter som får registreras i läkemedelsregistret bör utökas till att också innefatta uppgift om förskrivningsorsak. Vårt förslag redovisas nedan.

I förordning om läkemedelsregistret hos Socialstyrelsen stadgas i 4 § vilka uppgifter som får registreras i läkemedelsregistret. Enligt bestämmelsen får uppgift om inköpsdag, vara, mängd, dosering, kostnad och kostnadsreducering enligt lagen (2002:160) om läkemedelsförmåner m.m., patientens personnummer och folk- bokföringsort, samt förskrivarens yrke, specialitet och arbets- platskod registreras i läkemedelsregistret. eHälsomyndigheten ska lämna ut motsvarande uppgifter till Socialstyrelsen (16 § recept- registerlagen).

Tidigare var det tillåtet att även lagra uppgift om förskriv- ningsorsak i läkemedelsregistret men i samband med att läke- medelsregistret omvandlades till ett hälsodataregister år 2005 upp- hörde möjligheten för dåvarande Apoteket AB att överföra uppgift om förskrivningsorsak till registret. Regeringen anförde i för-

34 Dir. 2011:111 Förbättrad tillgång till personuppgifter inom och mellan hälso- och sjukvården och socialtjänsten m.m.

972

SOU 2014:23

Socialstyrelsens läkemedelsregister

arbetena att då koder för förskrivningsorsak ännu inte var fram- tagna, borde läkemedelsregistret inte innehålla uppgift om förskriv- ningsorsak.35

Ändamålet med receptregistret är huvudsakligen att samla in uppgifter för att sedan redovisa ett urval av uppgifter till olika mottagare, som i sin tur använder uppgifterna på olika sätt. Det som regleras i receptregisterlagen är hur uppgifterna ska hanteras så länge de finns i receptregistret hos eHälsomyndigheten och vad som är tillåtet i fråga om vidareredovisning till andra register och aktörer.

Enligt receptregisterlagen får eHälsomyndigheten endast lämna ut uppgift om förskrivningsorsak för de ändamål som avses i 6 § första stycket punkten 5 och punkten 6. Det är således tillåtet att lämna ut uppgift för registrering och redovisning till landstingen av uppgifter för ekonomisk och medicinsk uppföljning samt för framställning av statistik, samt registrering och redovisning till förskrivare, till verksamhetschefer enligt hälso- och sjukvårdslagen och till läkemedelskommittéer enligt lagen (1996:1157) om läke- medelskommittéer av uppgifter för medicinsk uppföljning, utvärdering och kvalitetssäkring i hälso- och sjukvården.

Enligt 8 § samma lag framgår att i den utsträckning det behövs för ändamålen i 6 § får receptregistret innehålla bland annat förskrivningsorsak men av sista stycket i samma paragraf ska förskrivningsorsak anges med en kod. Eftersom inget kodsystem finns på plats innebär denna bestämmelse att ingen överföring av uppgift om förskrivningsorsak från förskrivare till receptregistret kunnat äga rum. Följaktligen har inte heller uppgift om förskriv- ningsorsak varit möjligt att lämna ut från receptregistret till landsting, förskrivare eller verksamhetschef.

Socialstyrelsen får meddela föreskrifter om koder för förskriv- ningsorsak (jfr 4 § förordningen [2009:625] om receptregister och 8 § receptregisterlagen). Under 2012 fick Socialstyrelsen i uppdrag av regeringen att utveckla en nationell källa för ordinationsorsak i form av ett strukturerat kodsystem för ordinationer. Med begrep- pet ordinationsorsak avses det som i lag och författning benämns förskrivningsorsak. Uppdraget avsåg ordinationer från såväl öppen som sluten vård. I uppdraget ingick att analysera och lämna förslag till hur en sådan källa kan och bör införas i hälso- och sjukvården. Socialstyrelsen presenterade i juli 2013 slutrapporten Uppdrag att

35 Prop. 2004/05:70.

973

Socialstyrelsens läkemedelsregister

SOU 2014:23

utveckla en nationell källa för ordinationsorsak. Enligt rapporten har Socialstyrelsen tagit fram ett kodsystem för ordinationsorsaker och ändamålstexter för tre ATC-grupper, tydliggjort och ensat terminologin inom området samt anpassat Nationell ordinations- databas (NOD) till den strukturerade lagringen av uppgifter om ordinationsorsak. Socialstyrelsen har i sitt arbete även tagit fram ett förslag till införande i vården och ett förslag till drift och förvalt- ning samt vidareutveckling av kodsystemet. Socialstyrelsen fick därefter (februari 2014) i uppdrag att färdigställa kodsystemet och utreda en vidareutveckling av kodsystemets innehåll och i möjli- gaste mån planera för förvaltning av kodsystemet som helhet. När en förvaltningsorganisation är på plats finns möjlighet att börja använda den nationella källan för ordinationsorsak för de förskri- vare som ordinerar sina läkemedel genom ordinationsverktyget Pascal.36

Uppdraget att ta fram en nationell källa för ordinationsorsak syftar i första hand till ökad patientsäkerhet i förskrivnings- ögonblicket samt en minskning av läkarnas administrativa belast- ning. Att ta fram ett kodsystem som möjliggör att uppgift om förskrivningsorsak kan överföras till receptregistret och därifrån redovisas till olika mottagare är dock främst angeläget ur upp- följningssynvinkel. Ökad kunskap om hur t.ex. behandlingseffekt och biverkningar är relaterade till ordinationsorsak skulle exempel- vis vara av stort värde för bland annat Läkemedelsverket och Socialstyrelsen. Uppföljningsbara uppgifter om ordinationsorsak underlättar enligt en utredning som Läkemedelsverket gjorde 2011 också en utvidgning av systemet för generiskt utbyte.37

Möjligheten att följa upp läkemedelsanvändningen utifrån ordinationsorsak kan även vara ett viktigt led i bedömningen av ett läkemedels kostnadseffektivitet, inte minst vid introduktionen av nya och dyra läkemedel. För Tandvårds- och läkemedels- förmånsverket skulle tillgång till uppgifter från läkemedelsregistret som även innefattar uppgift om ordinationsorsak innebära att det blir lättare att per indikation värdera om nyttan av den aktuella förskrivningen motsvarar det pris som initialt har fastställts och gör det på så sätt möjligt att på ett tydligare sätt koppla pris till volym.

36Pascal ordinationsverktyg är ett nationellt verktyg för ordination av dosläkemedel, när en patient får mediciner fördelade i påsar.

37Läkemedelsverket; Utredning av förutsättningar för utvidgat utbyte respektive utbyte vid nyinsättning 2011-09-26.

974

SOU 2014:23

Socialstyrelsens läkemedelsregister

Uppgifter om förskrivningsorsak skulle – om de ingick i läke- medelsregistret – hanteras enligt samma rutiner som andra upp- gifter i Socialstyrelsens hälsodataregister med motsvarande känslighet. Exempel på sådana uppgifter är uthämtad läkemedels- produkt (i läkemedelsregistret) och patientens diagnos (i patient- registret). Alla utlämnanden av individbaserad statistik prövas enligt gällande sekretessbestämmelser och hanteras enligt de regelverk som beskrivs i personuppgiftslagen, patientdatalagen och lagen om hälsodataregister. Det får inte finnas någon risk att uppgifter om en enskild röjs och varje begäran bedöms därför mycket noggrant av Socialstyrelsen. Uppgifterna i Socialstyrelsens hälsodataregister omfattas av absolut sekretess enligt 24 kap. 8 § OSL. Av samma paragraf framgår att sekretessen kan brytas för forskningsändamål, men endast om det står klart att den som uppgifterna avser eller någon närstående inte kan lida skada eller men. Begäran från forskare om hantering av individdata måsta alltid godkännas av en etiksprövningsnämnd. Därefter gör Social- styrelsen en oberoende prövning enligt offentlighets- och sekre- tesslagens regelverk. Även här är det viktigt att framhålla att Socialstyrelsen när det gäller läkemedelsregistret arbetar med en verksamhets funktionssätt och inte uppföljning av hälsan hos enskilda individer och styrelsen använder uppgifter från registret i aggregerad form.

Utredningen föreslår därför att bestämmelsen om vilka person- uppgifter som får registreras i läkemedelsregistret utökas till att också innefatta uppgift om förskrivningsorsak. Av hänsyn till behovet av skydd för den personliga integriteten ska uppgift om förskrivningsorsak, precis som i receptregistret, även i läkemedels- registret registreras med en kod. Som en konsekvens av förslaget är det även nödvändigt med en följdändring i receptregisterlagen. Av den lagen ska det framgå att eHälsomyndigheten får redovisa förskrivningsorsak för registrering och redovisning till Social- styrelsen.

975

36 Patientrapporterade mått

36.1Bakgrund

För att kunna förbättra hälso- och sjukvården är det viktigt att ta tillvara på och kunna förstå patienternas upplevelser och erfaren- heter av både vårdens resultat och processer. I sammanhanget talas ofta om PROM för utfallsmått och PREM för mått på patienternas tillfredsställelse och upplevelser. Förkortningarna kommer efter de engelska uttrycken Patient Reported Outcome Measures och Patient Reported Experience Measures.

Med hjälp av patientrapporterade utfallsmått kan hälso- och sjukvårdens aktörer mäta hur patienterna upplever sin sjukdom och sin hälsa efter genomgången behandling eller någon annan inter- vention. Det handlar således om att ta reda på och förstå hur patientens egen upplevda hälsorelaterade livskvalitet m.m. påverkas av olika hälso- och sjukvårdsåtgärder och värdera hälso- och sjuk- vårdens resultat utifrån patientens perspektiv. I praktiken går det ofta till på ett sådant sätt att patienten, elektroniskt eller manuellt, fyller i ett frågeformulär som sedan tas om hand av vårdgivaren eller tillfogas ett nationellt kvalitetsregister. Genom en systematisk insamling av patientrapporterade utfallsmått tas patienternas upp- levelser tillvara och skapar över tid en viktig kunskapskälla för utvecklingen av hälso- och sjukvården.

Patientrapporterade utfallsmått kan ge svar på frågor som exempelvis vilka patienter som blir bättre, sämre eller oförändade efter en viss hälso- och sjukvårdsåtgärd. Särskilt genom att studera variationerna i de resultat patienterna rapporterar får hälso- och sjukvården bättre förutsättningar att utveckla verksamheten och initi- era arbeten för att förbättra resultatet för patienterna. Om det finns gemensamma faktorer av betydelse för de patienter som exempelvis inte blir bättre, kan hälso- och sjukvården få värdefull insikt och underlag för att kunna göra de förändringar i verksamheten som

977

Patientrapporterade mått

SOU 2014:23

bedöms medföra en ökad hälsorelaterad livskvalitet även för dessa patienter.

Vid sidan av de patientrapporterade utfallsmåtten, som primärt är inriktade på de medicinska resultaten av hälso- och sjukvården, är även kunskap om patienternas mer generella upplevelser och tillfredsställelse med hälso- och sjukvården viktiga att förstå och ta tillvara för att kunna utveckla verksamheten. Detta kan exempelvis innefatta frågor om bemötande, delaktighet, information, förtro- ende för vårdgivaren och tillgänglighet. Att ta reda på hur pati- enterna upplever hälso- och sjukvården är viktigt för att kunna förbättra de områden där patientera upplever att det finns brister, men det handlar även om att skapa förutsättningar för patienter att vara delaktiga och göra sin röst hörd.

36.1.1Att mäta och samla in patientupplevelser

Arbetet med att samla in och ta tillvara på patienternas upplevelser drivs idag i stor utsträckning i anslutning till utvecklingen av nationella kvalitetsregister. Det stora flertalet nationella kvalitets- register arbetar idag med att öka patienternas medverkan bland annat genom att samla in patientrapporterade utfallsmått och mått på patienteras upplevelser och erfarenheter. I detta ingår ett inte sällan omfattande arbete med att definiera vilka mått som är ändamålsenliga att använda och vilka frågor som är lämpliga att ställa i olika situationer. De patientrapporterade mått som är ändamålsenliga i en situation behöver nödvändigtvis inte vara det i en annan situation. För att avgöra vilka mått som är att lämpliga krävs därför djup kunskap bland annat om den aktuella verksam- heten och dess processer samt om patienternas situationer. Frågor som kan behöva analyseras är bland annat om patienterna ska svara manuellt eller elektroniskt, om patienterna kan svara själva eller om någon utomstående behöver bistå, om mätningen syftar till att utvärdera en viss intervention och vilka olika dimensioner som behöver fångas, exempelvis hälsa, sjukdom, funktionsförmåga, patientnöjdhet etc.

För att stödja implementeringen av mätningar med patient- rapporterade mått har bland annat PROMcenter tagit fram ett vägledande dokument.1 I dokumentet redogörs för ett antal viktiga

1 PROMcenter, Implementering av mätningar med PROM inom hälso- och sjukvården (2012).

978

SOU 2014:23

Patientrapporterade mått

steg och frågeställningar som behöver analyseras inför ett insam- lande av utfallsmått. Det handlar bland annat om vikten av att välja lämpligt instrument, d.v.s. frågeformulär, för att kunna samla in den information som bedöms vara viktig för att kunna få kunskap i frågan. Ofta kan det vara aktuellt att välja fler än ett instrument eller ibland kombinationer av flera olika instrument. Därutöver aktualiseras även behovet av att kunna tillfoga mått som är speci- fika för den situation och verksamhet som det handlar om, t.ex. sjukdomsspecifika mått. Vissa verksamheter som inte hittar något lämpligt befintligt instrument kan även behöva skapa ett helt eget instrument.

Inte heller vad gäller själva insamlingen av uppgifter finns någon entydig lösning som är lämplig vid alla situationer. I vissa delar av hälso- och sjukvården och för vissa verksamheter behöver tiden för insamlingen exempelvis inte vara avgörande. I sådana fall kan det vara praktiskt att samla in uppgifterna när en kontakt med patienten äger rum. I andra situationer kan det vara avgörande att insamlingen görs vid ett specifikt tillfälle, till exempel om mätningen bör göras i ett visst medicinskt skede.

Även frågor om det praktiska tillvägagångssättet för att inhämta uppgifter är beroende av omständigheterna i den enskilda situa- tionen. Såväl verksamhetens karaktär som patienternas förutsätt- ningar kan vara avgörande för om, och i sådant fall hur, en manuell eller elektronisk insamling ska göras. Det kan exempelvis handla om att skicka en pappersversion av frågeformuläret, tillsammans med ett frankerat svarskuvert, hem till patienten. Ett annat alternativ är att tillhandahålla funktioner för elektronisk inrappor- tering efter inloggning på en hemsida. Att inhämta informationen muntligt i ett personligt möte eller över telefon är ytterligare ett alternativ.

Eftersom insamlingen av de patientrapporterade måtten i stor utsträckning görs i anslutning till ett nationellt eller regionalt kvalitetsregister påverkas de olika valen i dessa avseenden natur- ligtvis även av de omständigheter och de tillvägagångssätt som i övrigt gäller för det enskilda nationella kvalitetsregistret. Den pro- cess och det praktiska tillvägagångssättet behöver därför vara anpassad till de närmare förutsättningar som gäller för de olika kvalitetsregistrens datainsamling.

979

Patientrapporterade mått

SOU 2014:23

36.2Vårt uppdrag

Det är angeläget att på ett strukturerat sätt ta till vara patienternas upplevelser av hälso- och sjukvården och att patienter ges förut- sättningar att vara en medproducent av information i hälso- och sjukvården.

Regeringen anför i utredningsdirektiven att det i nuvarande lagstiftning är svårt att identifiera gränsen mellan patientens egen personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren är ansvarig för. För att patienten ska kunna vara med- producent av information i hälso- och sjukvården kan denna gräns därför behöva tydliggöras.

Vidare följer av utredningens ursprungliga direktiv ett uppdrag att föreslå nationella kriterier för vad som kan betecknas som patientrapporterade utfallsmått. Genom tilläggsdirektiv fick utred- ningen sedan i uppdrag att även föreslå en modell för webbaserad inrapportering av patientupplevd kvalitet.2

36.3Våra överväganden

Vår bedömning: Frågor om vad som utgör patientrapporterade mått och hur sådana bör samlas in och tas om hand är komplexa, under ständig utveckling och nära sammankopplade med frågor som generellt rör insamlingen av uppgifter till nationella kvali- tetsregister. Att föreslå nationella kriterier för vad som ska betraktas som patientrapporterade utfallsmått samt en modell för webbaserad inrapportering bedöms inte vara ändamålsenligt. Det skulle kunna låsa in utvecklingen i förutsättningar som inte är flexibla. Inte heller bedöms ytterligare förtydliganden i lag- stiftningen om fördelningen av personuppgiftsansvaret vara nödvändigt.

Nationella kriterier och modell för webbaserad inrapportering

Begrepp som utfall, tillfredsställelse och upplevelser är inte alltid enkla att fånga och kräver en noggrann analys av de omständigheter som kännetecknar verksamheten och den specifika situation som

2 Dir. 2012:23.

980

SOU 2014:23

Patientrapporterade mått

patienten befinner sig i. Det finns inte någon enskild fråga som ger en tillräckligt bra bild av patientens erfarenheter av hälso- och sjukvården. Det innebär att det är nödvändigt att ställa flera olika frågor och olika typer av frågor för att få det kunskapsunderlag som behövs för det ständiga förbättringsarbetet.

Utredningen har i det föregående kort redogjort för sådant som påverkar vad som i en viss situation ska betraktas som patient- rapporterade mått. Enligt vår bedömning är det tydligt att detta är en fråga som kräver kunskap om de särskilda förhållanden som gäller i just den del av hälso- och sjukvården som de specifika patientrapporterade måtten avses att täcka. De patientrapporterade mått som gör sig gällande exempelvis i samband med vården av personer med diabetes behöver inte vara ändamålsenliga i andra sammanhang, t.ex. för vården av patienter som får höftprotes- kirurgi.

I dagsläget finns det sannolikt även ett mycket stort antal redan framtagna frågeformulär att välja på, där en del syftar till att mäta hälsa i allmänhet medan andra fokuserar på sådant som specifika diagnoser och symptom. Oavsett vilket formulär som bedöms ändamålsenligt i det enskilda fallet framstår det som att det ofta finns ett behov av att komplettera formuläret med frågor som utvecklats speciellt för det aktuella ändamålet.

Vidare kan konstateras att det pågår en omfattande utveckling i anslutning till de nationella kvalitetsregistren med att definiera mått och implementera en systematisk insamling av information. Därutöver gav regeringen under 2013 Socialstyrelsen i uppdrag att, i samråd med Sveriges Kommuner och Landsting m.fl., identifiera och föreslå generella mätinstrument och indikatorer för patientrapporterade utfall för kroniska sjukdomar.3 Socialstyrelsen har nyligen redovisat uppdraget och uttalar i sammanhanget att det inte är möjligt att idag föreslå eller rekommendera specifika indikatorer baserade på PROM eller enskilda mätinstrument. Socialstyrelsen föreslår istället att en fortsatt utveckling av PROM bedrivs inom ramen för pågående kvalitetsregistersatsning.4

Sammantaget bedömer utredningen att det i detta skede och på grund av den komplexitet som dessa frågor inrymmer inte vore ändamålsenligt att fastställa nationella kriterier för vad som ska betecknas som patientrapporterade utfallsmått. Det skulle, om det

3Regeringsbeslut, S2013/5650/FS (delvis).

4Socialstyrelsen, Patientrapporterade utfallsmått för kvalitetsregister för kroniska sjukdomar, Dnr 5.3-37022/2013.

981

Patientrapporterade mått

SOU 2014:23

gjordes, även behöva göras på en sådan generell nivå att det kan ifrågasättas om någon egentlig nytta genereras. Visar det sig i framtiden, när utvecklingen har tagit ytterligare steg, att det finns ett behov av att förtydliga vad som ska anses ingå i de patient- rapporterade måtten kan en annan bedömning vara påkallad.

Av motsvarande skäl bedömer vi även att det inte vore ändamålsenligt i dagsläget att föreslå en modell för webbaserad inrapportering. Det skulle enligt vår bedömning kunna riskera att låsa in utvecklingen i oflexibla lösningar. Den rådande tekniska utvecklingen är dessutom nära sammankopplad med utvecklingen av de nationella kvalitetsregistren i övrigt och med det arbete som görs för att effektivisera datainsamlingen till kvalitetsregistren.

Beroende på vilket perspektiv som anläggs är frågan om en webbaserad modell dessutom av mycket skiftande karaktär. Ur patientens perspektiv skulle troligen frågan i första hand handla om de övergripande frågorna vid den elektroniska inrapporteringen. Det kan handla om sådant som att webbplatsen är en naturlig kommunikationskanal mellan patienter och hälso- och sjukvården, att säkerheten i den elektroniska överföringen är hög, att patienten får lättillgänglig information om datainsamlingen och dess syfte, att patienten känner trygghet i vem mottagaren av informationen är och att det finns någon att kontakta vid behov av ytterligare stöd.

För vårdgivarnas del handlar det sannolikt även om mer specifika förutsättningar, dels kopplade till de enskilda nationella kvalitetsregistren, dels kopplade till administrativa insatser i anslutning till datainsamlingen. Frågor om hur en datainsamling närmare arrangeras avgörs enligt utredningens bedömning dess- utom till stor del av sådana ställningstaganden som görs vid val av frågeformulär.

På en övergripande nivå har landsting och regioner kommit överens om att kommunikation mellan patienter och vårdgivare primärt ska gå genom 1177vårdguiden och Mina vårdkontakter. I Mina vårdkontakter finns exempelvis en möjlighet att använda en s.k. formulärtjänst för att utforma elektroniska formulär för att inhämta uppgifter från patienter. Från patientens perspektiv är hälso- och sjukvården därmed redan på väg mot att ha en över- gripande modell för webbaserad inrapportering. Mot den bak- grunden och i detta skede bedömer utredningen att det inte är ändamålsenligt att föreslå en annan modell än den som landsting och regioner redan kommit överens om.

982

SOU 2014:23

Patientrapporterade mått

Frågor om personuppgiftsansvarets gränser

Frågan om gränsen mellan den enskildes och vårdgivarens person- uppgiftsansvar är komplex och i allra högsta grad beroende på omständigheterna i det enskilda fallet. Utredningen har i ett flertal avsnitt i betänkandet redovisat hur personuppgiftsansvaret kan vara fördelat vid olika situationer. I avsnitt 12.4.5 och 17.4.2 redogör utredningen för patienternas möjligheter att elektroniskt bidra med uppgifter till patientjournalen och till nationella kvalitetsregister. Enligt vår bedömning är det fullt möjligt för en patient att, efter vårdgivarens anvisningar, bidra med uppgifter i en patientjournal eller till ett nationellt kvalitetsregister genom att t.ex. fylla i elektroniska formulär som vårdgivaren tillhandahåller.

Att patienter med hjälp av den tekniska utvecklingen elektroniskt kan bidra med uppgifter innebär inte att patienten har någon ovillkorlig möjlighet eller rätt att på eget initiativ doku- mentera uppgifter i en patientjournal eller i ett kvalitetsregister. Däremot kan vårdgivare i sina rutiner för att inhämta den information som behövs för journalföringen eller för kvalitets- utvecklingen av hälso- och sjukvården, tillhandahålla definierade möjligheter för patienten att bidra med information. För den personuppgiftsbehandling som det medför är vårdgivaren, enligt de grundläggande bestämmelserna, personuppgiftsansvarig. Detta eftersom vårdgivaren är den som bestämmer ändamål och medel för personuppgiftsbehandlingen. I vårdgivarens ansvar ingår därmed bland annat ett ansvar för att relevanta personuppgifter med hänsyn till ändamålet behandlas samt att de säkerhetsåtgärder som krävs för att skydda personuppgifterna vid elektronisk över- föring är vidtagna. Det senare inbegriper bland annat ett ansvar för att se till att obehöriga inte kan komma åt uppgifterna, t.ex. genom att uppgifterna krypteras under överföringen.

Vidare har utredningen i avsnitten 33.5.5 och 33.5.6 redogjort för ytterligare överväganden kring bedömningarna av person- uppgiftsansvaret. Sammantaget innebär detta, enligt vår bedöm- ning, att en vårdgivare är personuppgiftsansvarig för den behand- ling av personuppgifter som äger rum när denne gör det möjligt för en patient att elektroniskt dokumentera och överföra uppgifter som vårdgivaren har för avsikt att tillfoga patientjournalen eller ett nationellt kvalitetsregister. Vi gör bedömningen att några uttryck- liga författningsbestämmelser om detta inte är nödvändigt.

983

37 Datainspektionens befogenheter

37.1Vårt uppdrag

I utredningens direktiv anges att Datainspektionen för närvarande saknar möjlighet att exempelvis vid vite förelägga en vårdgivare att ge information till patienten. Det finns därför enligt direktiven skäl att utreda om Datainspektionen behöver ytterligare befogenheter för att kunna förhindra att behandling av personuppgifter inleds eller fortsätter i strid med gällande författningsreglering. Vidare har Datainspektionen själv behandlat frågan om utökade befogenheter att använda vite i en skrivelse till regeringen.

Utöver vite, nämner Datainspektionen i sin skrivelse även andra möjliga befogenheter. Bland dessa kan exempelvis följande nämnas.

Möjligheten att föreskriva om selektiv anmälningsskyldighet.

Möjligheten att uppträda som ombud i domstol för registrerade personer i skadeståndsprocesser.

Möjligheten att besluta om administrativa sanktionsavgifter.

Gemensamt för dessa andra tänkbara befogenheter, är att de inte kan sägas tillhöra tillsynsmyndigheternas sedvanliga befogen- heter, och att ett införande därför skulle behöva föregås av en djupgående analys och konsekvensbeskrivning, vilken lämpligen görs i ett sammanhang då hela Datainspektionens roll och upp- drag ses över. Befogenheten att förena förelägganden och förbud med vite, är däremot en vanlig sanktionsmöjlighet för tillsyns- myndigheter. Vidare finns det för vitessanktionen i lagen (1985:206) om viten ett fungerande regelverk med utvecklad praxis.

Mot denna bakgrund har utredningen valt att avgränsa frågan om Datainspektionens behov av ytterligare befogenheter till att avse möjligheten att förena förelägganden och förbud med vite.

985

Datainspektionens befogenheter

SOU 2014:23

Vidare har utredningen i första hand analyserat frågan om Data- inspektionens behov av ytterligare befogenheter på hälso- och sjukvårdens och socialtjänstens område.

37.1.1Datainspektionens befogenheter

I dataskyddsdirektivet återfinns flera bestämmelser om tillsyns- myndighetens ställning och befogenheter.1 I personuppgiftslagen (1998:204), förkortad PUL, finns dock endast en del av dessa. Anledningen är att vissa av de krav som direktivet uppställer har ansetts vara uppfyllda genom annan lagstiftning än personupp- giftslagen eller annars har bedömts kunna genomföras i annan form än lag. En utgångspunkt har därför varit att personuppgiftslagen endast ska innehålla de befogenheter som måste eller av andra skäl bör regleras i lag.

Bestämmelserna om Datainspektionens befogenheter återfinns i huvudsak i 43–47 §§ PUL och reglerar sådant som exempelvis följande.

Myndighetens rätt att för sin tillsyn få tillgång till personupp- gifter och tillträde till lokaler (43 §).

Myndighetens möjlighet att vid vite förbjuda den personupp- giftsansvarige att behandla personuppgifterna på annat sätt än genom att lagra dem (44 §).

Myndighetens möjlighet att föreskriva vite om den person- uppgiftsansvarige inte frivilligt följer att beslut om säkerhets- åtgärder enligt 32 § personuppgiftslagen (45 §).

Våra reflektioner

Det kan mot bakgrund av ovanstående konstateras att Data- inspektionen saknar möjlighet att vid vite föreskriva den person- uppgiftsansvarige att vidta åtgärder för att rätta eventuella brister som myndigheten funnit i sin tillsyn. Ett sådant vite kan, enligt 45 § PUL, för närvarande endast föreskrivas för att förmå den personuppgiftsansvarige att vidta säkerhetsåtgärder. Någon annan möjlighet att med vite förena ett föreläggande om att uppnå ett

1 Direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

986

SOU 2014:23

Datainspektionens befogenheter

visst resultat finns således inte. Det innebär i praktiken att Datainspektionen, om myndigheten finner det nödvändigt att använda vitesmöjligheten, behöver förena ett vitesföreläggande med ett föreläggande om att den personuppgiftsansvarige ska upp- höra med annan personuppgiftsbehandling än lagring. En sådan konsekvens kan enligt utredningens uppfattning självklart många gånger vara omotiverad och oönskad. Det finns därför skäl att överväga hur myndighetens befogenheter bättre kan anpassas till de behov som finns för att få till stånd rättelse vid felaktig person- uppgiftsbehandling.

37.1.2Datainspektionens skrivelse till regeringen

Datainspektionen har utanför ramen för den här utredningen till regeringen påtalat sitt behov av utökade befogenheter. Inspek- tionen skrev i december 2011 till regeringen och menade att det finns behov av att på ett allmänt plan se över Datainspektionens roll och uppdrag. En brist som Datainspektionen särskilt uppmärk- sammade i sammanhanget, var begränsningen i möjligheten att förena sina förelägganden och förbud med vite, varvid inspektionen särskilt nämnde behovet för tillsynen inom hälso- och sjukvården.

Datainspektionen beskrev problemet med begränsade vites- möjligheter i följande ordalag.2

Personuppgiftslagen ger Datainspektionen möjlighet att använda vite som påtryckningsmedel i tre olika situationer:

När en personuppgiftsansvarig inte lämnar tillräckligt underlag för tillsynen får Datainspektionen vid vite förbjuda annan personuppgifts- behandling än lagring (44 § PuL)

När Datainspektionen konstaterar att en personuppgiftsansvarig behandlar personuppgifter på ett felaktigt sätt, får Datainspektionen vid vite förbjuda annan personuppgiftsbehandling än lagring, om rättelse inte kan åstadkommas på annat sätt eller saken är brådskande.

Om den personuppgiftsansvarige inte frivilligt följer ett beslut om säkerhetsåtgärder enligt 32 § som vunnit laga kraft, får tillsyns- myndigheten föreskriva vite.

Personuppgiftslagen ger emellertid ingen möjlighet för Data- inspektionen att vid vite förelägga en personuppgiftsansvarig att vidta andra åtgärder än säkerhetsåtgärder. Det innebär bl.a. att Data- inspektionen inte vid vite kan förelägga den ansvarige att tillgodose särskilda krav i personuppgiftslagen eller annan registerförfattning.

Exempelvis är det inte möjligt för Datainspektionen att vid vite

2 Datainspektionens skrivelse till regeringen den 9 december 2011, dnr 1760–2011.

987

Datainspektionens befogenheter

SOU 2014:23

förelägga en vårdgivare att på begäran av en patient spärra åtkomsten för andra vårdenheter till patientens uppgifter (4 kap. 4 PdL). Om Datainspektionen i detta exempel behöver tillgripa vite för att utverka att spärrar införs, måste det ske i samband med ett föreläggande att upphöra med annan behandling än lagring, vilket här skulle innebära att all elektronisk journalföring måste upphöra. Datainspektionen måste alltså, för att få tillgång till vitesmöjligheten, besluta om en långt mer ingripande och störande åtgärd än vad som egentligen är behövligt med hänsyn till den egentliga bristen hos den personuppgiftsansvarige.

Vid remissbehandlingen av Datalagskommitténs betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39) ansåg Kammarrätten i Göteborg att ett beslut om förbud borde kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Regeringen valde emellertid att inte införa en sådan möjlighet, med hänvisning bl.a. till att Datainspektionen inte framfört några synpunkter på de föreslagna vitesmöjligheterna.

Möjligheten att med vite förena ett föreläggande att uppnå visst resultat, finns för andra tillsynsmyndigheter som har arbetsuppgifter som kan jämföras med Datainspektionens. Exempelvis har Social- styrelsen möjlighet att vid vite förelägga en vårdgivare att avhjälpa missförhållanden inom hälso- och sjukvården, se 6 § kap. 13 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Datainspektionen anser att liknande möjlighet behövs även i inspek- tionens tillsyn enligt personuppgiftslagen. Med nu gällande regelverk finns en uppenbar risk att Datainspektionen antingen avstår från att använda ett vitesföreläggande när det egentligen behövs, eller använder sig av ett förläggande som innebär ett stort och störande ingrepp som omfattar betydligt fler personuppgifter och behandlingar än det bakomliggande problemet motiverar. Det sagda gäller inte minst för Datainspektionens tillsyn inom hälso- och sjukvården.

37.2Datainspektionens praxis

Det förekommer att en personuppgiftsansvarig inte efterkommer Datainspektionens beslut och att inspektionen därför flera gånger måste meddela nya beslut med samma innebörd, innan den ansva- rige börjar vidta åtgärder för att följa gällande lagstiftning.

Ett exempel på detta är Datainspektionens upprepade beslut i samma fråga mot en vårdgivare i hälso- och sjukvården den 18 december 2009, den 20 januari 2011, den 18 april 2011 och den 1 juni 2011.3 Den fråga som var aktuell i besluten rörde vårdgivarens skyldighet att ge patienterna information om hur deras uppgifter behandlades. Datainspektionen kunde i enlighet med nu gällande

3 Dnr. 1002–2009 och 461–2010 (de tre senare besluten samlades i ett ärende).

988

SOU 2014:23

Datainspektionens befogenheter

regelverk inte lagligen vid vite förelägga vårdgivaren att vidta vissa konkreta åtgärder för att informera patienterna.

Ett annat exempel, också detta på hälso- och sjukvårdens område, är Datainspektionens upprepade beslut mot samtliga land- sting och fem av de största privata vårdgivarna, rörande patientens rätt att spärra vissa uppgifter enligt patientdatalagen (2008:355), förkortad PDL. Tillsynsärendena inleddes i maj 2011. När det i november 2011 framkommit indikationer på att många it-system i hälso- och sjukvården inte har stöd för spärrar, utökade Data- inspektionen tillsynen av de granskade vårdgivarna.4

I juni 2012 fattades beslut i ärendena, varvid Datainspektionen konstaterade att vårdgivarna fyra år efter att patientdatalagen trädde i kraft, fortfarande inte levde upp till lagens krav. I en sam- manfattning av tillsynsresultaten skrev Datainspektionen den 19 juni 2012 att vårdgivarna inte ens i de stora huvudjournalsystemen hade tekniska funktioner som helt och hållet kunde tillgodose patienternas rätt till spärr. Ärendena avslutades med förelägganden som skulle följas upp. När uppföljningen var färdig i juni 2013, konstaterade Datainspektionen i en ny sammanfattning den 11 juni 2013, att vissa av vårdgivarna hade kommit en bra bit på väg och att vissa i praktiken var framme vid målet.

Enligt Datainspektionen fanns det dock några vårdgivare som inte hade kommit lika långt när det gällde införandet av tekniska funktioner i it-systemen. Datainspektionen resonerade kring möjliga anledningar till detta i följande ordalag.5

En orsak till detta kan vara att det skiljer sig åt i antal it-system hos vårdgivarna, vilket medför att en vårdgivare som använder sig av många it-system också har ett större arbete framför sig. En annan orsak kan vara att vårdgivaren inte, av ekonomiska eller andra skäl, prioriterar patienternas lagliga rätt till spärrar.

Datainspektionen uppgav vidare att man skulle behöva följa upp de vårdgivare som var sämst på att uppfylla lagens krav.

Ett exempel utanför hälso- och sjukvårdens område är Data- inspektionens omfattande uppföljning under våren och hösten 2002 av tidigare meddelade beslut avseende personuppgifts- behandlingen i forskningsprojekt. Resultatet av uppföljningen visade att det var många forskningshuvudmän som inte hade följt

4Datainspektionens pressmeddelande (2011-11-23).

5Sammanfattning av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården (20013-06-11).

989

Datainspektionens befogenheter

SOU 2014:23

Datainspektionens beslut. Enligt Datainspektionen innebar det att

– trots att inspektionen meddelat tydliga beslut härom – ”känsliga personuppgifter behandlas utan att ett giltigt samtycke inhämtats och utan att deltagarna fått tillräcklig information”.6 I samman- hanget är av intresse att det, när Datainspektionen år 2012 redovisade resultaten av en ny granskning av personuppgifts- behandlingen inom ett 50-tal forskningsprojekt, i många projekt visade sig finnas brister i hur man informerade de personer som ingår i forskningen om hur deras uppgifter kommer att användas och vilka rättigheter de har.7

Ett ytterligare exempel är de upprepade kontakter som Data- inspektionen under åren 2010 och 2011 hade med ett företag som registrerade data från trådlösa nätverk som fanns i närheten av företagets bilar som körde runt och fotograferade svenska städer inför lanseringen av en karttjänst. Företaget uppgav vid två tillfällen efter varandra att data från de trådlösa nätverken skulle raderas. Först vid en tredje kontakt uppgav företaget att uppgifterna faktiskt hade raderats, och inkom sedan med underlag som styrkte raderingen.8

Våra reflektioner

Sammanfattningsvis konstaterar utredningen att det i Data- inspektionens praxis finns exempel på situationer där en utökad vitesmöjlighet kunde ha underlättat och skyndat på Data- inspektionens möjlighet att ingripa mot pågående integritetsintrång.

37.3Bakgrunden till nuvarande reglering

För utredningens del är det nödvändigt att analysera de skäl som ligger bakom den gällande regleringen som innebär att Data- inspektionen i dag har begränsade möjligheter att förena sina före- lägganden och förbud med vite. Därvid är framför allt av intresse hur lagstiftaren motiverade nu gällande ordning i samband med att Sverige år 1998 genomförde dataskyddsdirektivet genom person- uppgiftslagen. Det är även av intresse att jämföra med vad som gällde enlighet den numera upphävda datalagen (1973:289).

6Datainspektionens rapport 2002:4.

7Datainspektionens pressmeddelande den 10 december 2012.

8Datainspektionen, dnr 1783–2010.

990

SOU 2014:23

Datainspektionens befogenheter

Vitesmöjligheterna enligt datalagen

Enligt 18 § tredje stycket datalagen, dvs. personuppgiftslagens föregångare, hade Datainspektionen större befogenheter än i dag att med vite förena beslut om åtgärder (i datalagens terminologi ”föreskrift för ett visst register”).

Av bestämmelsen framgick bl.a. att Datainspektionen för ett visst register fick meddela föreskrift och förena sådan föreskrift med vite. De föreskrifter som Datainspektionen hade rätt att meddela kunde enligt 6 § avse bl.a. vilka personuppgifter som får ingå i personregistret, den tekniska utrustningen, kontroll och säkerhet, de bearbetningar av personuppgifterna i registret som får göras med automatisk databehandling, underrättelse till berörda personer och bevarande och gallring av personuppgifter.

När bestämmelsen infördes, motiverades särskilt möjligheten för Datainspektionen att besluta om vite även i samband med en föreskrift för visst register (18 § första stycket datalagen), och inte enbart i samband med ett förbud mot fortsatt förande av person- register (18 § andra stycket datalagen). Regeringen anförde bland annat följande.9

Datainspektionen har varken i fråga om föreskrift eller förbud någon möjlighet att förena dessa åtgärder med en sanktion. För att förhindra pågående integritetsintrång bör det enligt regeringens mening därför också bli möjligt att förena en föreskrift enligt 18 § första stycket med ett vitesföreläggande. Ett sådan vitesföreläggande kan dessutom förut- sättas få större praktisk betydelse för Datainspektionens möjligheter att verka mot pågående integritetsintrång än enbart ett vitesföre- läggande med stöd av 18 § andra stycket.

Personuppgiftslagens förarbeten

Möjligheten som fanns enligt datalagen att förena även en före- skrift för visst register med vite, fanns inte med i det lagförslag som lämnades av Datalagskommittén i betänkande Integritet – Offentlighet – Informationsteknik (SOU 1997:39). Någon kom- mentar eller motivering till avsaknaden av en sådan bestämmelse lämnades dock inte i betänkandet. Förändringen uppmärksam- mades av en av remissinstanserna, dock inte av Datainspektionen.

I regeringens förslag till personuppgiftslag var Data- inspektionens vitesmöjligheter dock alltjämt begränsade på samma

9 Prop. 1993/94:217, s. 25.

991

Datainspektionens befogenheter

SOU 2014:23

sätt som i Datalagskommitténs betänkande. Regeringen motiverade begränsningen på följande sätt.10

Kammarrätten i Göteborg anser att ett beslut om förbud bör kunna föregås av ett med vite förenat föreläggande för att uppnå det resultat som önskas. Enligt vår mening är det viktigt att tillsynsmyndigheten i första hand kan fungera som ett stöd vid de personuppgiftsansvarigas behandling av personuppgifter och ge råd om hur behandlingen bör gå till för att vara laglig. Möjligheten till vitessanktionerat förbud får anses tillräcklig för att förmå de personuppgiftsansvariga att följa myndighetens råd i fråga om hur en behandling skall utföras på ett lagligt sätt. Datainspektionen har för övrigt inte fört fram några synpunkter på de föreslagna vitesmöjligheterna.

Tillsynsmyndigheten bör kunna fatta beslut om vilka säkerhets- åtgärder som en personuppgiftsansvarig skall vidta. Det beslutet bör kunna överklagas hos allmän förvaltningsdomstol. Om den person- uppgiftsansvarige inte följer ett beslut om säkerhetsåtgärder, som har vunnit laga kraft, bör tillsynsmyndigheten kunna föreskriva vite för att beslutet skall genomföras.

Våra reflektioner

Sammanfattningsvis konstaterar utredningen att nuvarande ordning innebär en begränsning i Datainspektionens befogenheter i jäm- förelse med vad som gällde enligt datalagen, och att begränsningen endast har motiverats knapphändigt utan djupare analys. Utred- ningen noterar även att det i förarbetena inte redovisas några skäl till varför vitesmöjligheten är större när det gäller säkerhetsåtgärder än när det gäller andra åtgärder som den personuppgiftsansvarige är skyldig att vidta.

Sammantaget ger förarbetena till den nu gällande lagstiftningen således ringa vägledning i frågan om tillsynsmyndighetens befogen- heter att förena förelägganden och förbud med vite.

10 Prop. 1997/98:44, s. 102.

992

SOU 2014:23

Datainspektionens befogenheter

37.4Våra överväganden och förslag om utökade befogenheter för Datainspektionen

Vårt förslag: I hälso- och sjukvårdsdatalagen och i socialtjänst- datalagen ska förtydligas att tillsynsmyndigheten enligt person- uppgiftslagen får, utöver vad som stadgas om myndighetens befogenheter i den lagen, vid sin tillsyn över att bestämmelserna i hälso- och sjukvårdsdatalagen respektive socialtjänstdatalagen följs, besluta de förelägganden eller förbud som behövs för att dessa lagar eller föreskrifter som har meddelats med stöd av dessa lagar ska följas. Vidare ska i hälso- och sjukvårdsdatalagen och i socialtjänstdatalagen införas en möjlighet för tillsyns- myndigheten enligt personuppgiftslagen att förena sådana beslut om föreläggande eller förbud med vite.

Vår bedömning: Genom förslaget får tillsynsmyndigheten en möjlighet att, vid tillsyn enligt hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, förena förelägganden och förbud med vite. Förslaget innebär inget avsteg från den nuvarande regle- ringen i personuppgiftslagen om att tillsynsmyndigheten i första hand ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden.

Inledning

Som Datainspektionen anger i skrivelsen till regeringen, innebär nuvarande ordning att inspektionen, för att få tillgång till vitesmöjligheten i syfte att utverka en viss åtgärd av den personuppgiftsansvarige, måste besluta om en långt mer ingripande och störande åtgärd än vad som egentligen är behövligt med hänsyn till den bristen hos den personuppgiftsansvarige. Enligt utred- ningens bedömning finns det, med nu gällande regelverk, en uppenbar risk att myndigheten antingen avstår från att använda ett vitesföreläggande när det egentligen behövs, eller använder sig av ett förläggande som innebär ett stort och störande ingrepp som omfattar betydligt fler personuppgifter och behandlingar än vad det bakomliggande problemet motiverar.

Vidare har vi i det föregående konstaterat att Datainspektionens befogenheter på detta område begränsades i och med ikraft-

993

Datainspektionens befogenheter

SOU 2014:23

trädandet av personuppgiftslagen, utan att detta egentligen moti- verades närmare.

De exempel från Datainspektionens praxis som har redovisats ger också en bild av att det finns situationer där utökade vites- möjligheter skulle kunna vara ändamålsenliga för att få den personuppgiftsansvarige att snabbare vidta de integritetsskyddande åtgärder som inspektionen pekar på i tillsynsbeslut.

Något om andra myndigheters befogenheter

När det gäller möjligheten att förena alla förelägganden och förbud med vite, är det som nämns ovan en möjlighet som är vanlig hos tillsynsmyndigheter. Det kan till och med sägas att det snarare hör till ovanligheterna att en tillsynsmyndighet som Datainspektionen saknar sådan möjlighet.

Normalt tillhör det således tillsynsmyndigheternas sedvanliga sanktionsarsenal att vid behov kunna förena alla sina förelägganden och förbud med vite. Häribland kan särskilt nämnas befogen- heterna för Inspektionen för vård och omsorg, IVO, och Läke- medelsverket. Dessa myndigheter har till uppgift att utöva tillsyn primärt över andra intressen inom hälso- och sjukvården och läkemedelshanteringen än patienternas personliga integritet.

IVO utövar tillsyn bl.a. över att vårdgivare planerar, leder och kontrollerar sin verksamhet på ett sätt som leder till att kravet på god vård i hälso- och sjukvårdslagen (1982:763) respektive tand- vårdslagen (1985:125) upprätthålls. För att kunna utöva tillsynen får IVO besluta om viten. Myndighetens befogenhet att besluta om vite framgår bland annat av 7 kap. 24 § patientsäkerhetslagen (2010:659). Enligt den bestämmelsen ska Inspektionen för vård och omsorg, om den finner att en vårdgivare, eller enhet som avses i 7 §, inte fullgör sina skyldigheter enligt 3 kap. och om det finns skäl att befara att underlåtenheten medför fara för patient- säkerheten eller säkerheten för andra, förelägga vårdgivaren eller enheten att fullgöra sina skyldigheter om det inte är uppenbart obehövligt. Ett beslut om föreläggande får förenas med vite.

Även när IVO utövar tillsyn över verksamhet enligt social- tjänstlagen (2001:453) har myndigheten befogenhet att förena förelägganden med vite. Av lagens 13 kap. 8 § första stycket fram- går att om IVO finner att det i verksamhet som står under tillsyn enligt socialtjänstlagen förekommer ett missförhållande som har

994

SOU 2014:23

Datainspektionens befogenheter

betydelse för enskildas möjligheter att kunna få de insatser de har rätt till, får inspektionen förelägga den som svarar för verksam- heten att avhjälpa missförhållandet. Ett föreläggande ska innehålla uppgifter om de åtgärder som inspektionen anser nödvändiga för att det påtalade missförhållandet ska kunna avhjälpas. Ett beslut om föreläggande får förenas med vite.

Läkemedelsverket utövar tillsyn bl.a. över att handel med läke- medel bedrivs på ett sådant sätt att läkemedlen inte skadar människor, egendom eller miljö samt så att läkemedlens kvalitet inte försämras. Läkemedelsverket får enligt 7 kap. 3 § lagen (2009:366) om handel med läkemedel meddela de förelägganden och förbud som behövs för att denna lag eller föreskrifter och villkor som har meddelats i anslutning till lagen ska följas. Läke- medelsverkets beslut om föreläggande eller förbud får förenas med vite.

Enligt utredningen är det viktigt att Datainspektionen som ansvarar för tillsynen av regelverket som ska skydda den personliga integriteten, inte ges sämre befogenheter än andra myndigheter som ansvarar för tillsynen av regelverk som inriktar sig på de person- uppgiftsansvarigas huvudsakliga verksamhet, såsom exempelvis att bedriva hälso- och sjukvård på ett patientsäkert sätt. Den skillnad som finns i dag mellan Datainspektionen och sådana andra myndigheter, riskerar att på sikt förskjuta balansen mellan de olika intressen som de personuppgiftsansvariga tillsynsobjekten måste beakta, och förefaller därmed varken lämplig eller rimlig.

Vidare kan uppmärksammas att dataskyddsdirektivet i artikel 28.3 bland annat föreskriver att varje tillsynsmyndighet ska ha effektiva befogenheter att ingripa. Det kan ifrågasättas i vad mån en ordning där tillsynsmyndigheten Datainspektionen ges mindre verksamma sanktionsmöjligheter än andra nationella tillsyns- myndigheter på angränsande områden, är fullt ut förenligt med dataskyddsdirektivets artikel 28.3.

Tillsynsutredningen

Som ett resultat av Tillsynsutredningens (Ju 2000:06) arbete avgav regeringen i december 2009 en skrivelse med bl.a. generella bedöm- ningar för hur en tillsynsreglering bör vara utformad. I skrivelsen sägs bl.a. att tillsynen, för att bli mer effektiv och rättssäker, bör

995

Datainspektionens befogenheter

SOU 2014:23

vara tydligare och mer enhetlig. Vidare anförde regeringen exempelvis följande.11

Genom mer enhetliga begrepp och regler ges de många verksamhets- utövare som står under tillsyn enligt regleringar i flera olika lagar och av flera tillsynsorgan bättre förutsättningar att följa gällande regler.

Av särskilt intresse i detta sammanhang är att skrivelsen även innehåller en generell rekommendation avseende tillsyns- myndigheters möjligheter att förena sina beslut med vite.12

Ett tillsynsorgan bör ha en möjlighet att besluta om förelägganden i enskilda fall. Möjligheten att utforma föreläggandet för att kunna styra beteendet hos den objektsansvarige bör vara vitt och i princip ansluta till tillsynens omfattning. Föreläggandets utformning skapar möjlig- heter för tillsynsorganet att anpassa ett ingripande efter vad som är behövligt ur sektorslagens perspektiv. Ett åtgärdsföreläggande bör kunna förenas med vite.

En möjlighet för Datainspektionen att förena sina förelägganden och beslut med vite, oavsett vilka slags åtgärder förläggandet eller förbudet omfattar, förefaller enligt vår uppfattning ligga i linje med vad regeringen anför i sin skrivelse.

Risk för över- eller felutnyttjande

Ett skäl för att inte ge Datainspektionen utökade befogenheter att använda sig av vite, skulle kunna vara en rädsla för att inspektionen överutnyttjar vitesmöjligheten och förenar sina beslut med vite även när det inte är påkallat, i stället för att som i dag i första hand försöka åstadkomma rättelse med hjälp av påpekanden. Risken för en sådan utveckling får dock, enligt utredningens bedömning, i realiteten anses som obefintlig.

Förutom en sådan användning av vitessanktionen, kan det även tänkas att Datainspektionen skulle förena beslut med vite i situationer där ett vite egentligen är olämpligt med hänsyn till det som ska eller kan uppnås med tillsynen. Som tänkbart exempel på det sistnämnda kan nämnas att inspektionen skulle besluta ett föreläggande vid vite att införa spärrar i ett journalsystem inom en tidsfrist som av tekniska eller organisatoriska skäl inte är möjlig att efterkomma för den personuppgiftsansvarige, eller att före-

11Regeringens skrivelse 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 1.

12Regeringens skrivelse 2009/10:79 En tydlig, rättssäker och effektiv tillsyn, s. 44.

996

SOU 2014:23

Datainspektionens befogenheter

läggandet skulle omfatta även system där det inte är helt klarlagt om behandlingen överhuvudtaget omfattas av patientdatalagens krav på spärrar.

De nämnda riskerna bör inte överdrivas. Datainspektionen har i sin tillsyn av till exempel just spärrar i hälso- och sjukvården visat prov på viss återhållsamhet, då myndigheten riktade in tillsynen på ”huvudjournalsystem och andra omfattande patientjournalsystem som innehåller många känsliga patientuppgifter”.13 Det innebar i praktiken att Datainspektionen bortsåg från personuppgifts- behandlingen i system som i och för sig omfattades av patient- datalagens bestämmelser om spärrar, eftersom vårdgivaren i dessa system endast behandlade ett mindre antal känsliga person- uppgifter.

Vidare skulle en utökad möjlighet för användande av vite, inte behöva innebära att stadgandet i personuppgiftslagen att Data- inspektionen i första hand ska försöka åstadkomma rättelse genom påpekanden eller liknande förfaranden, ska utgå. Tvärtom både kan och bör formuleringen finnas kvar för att tydligt markera vilket som fortsatt ska vara inspektionens förstahandsalternativ.

Slutligen ska sägas att Datainspektionen vid en utökad vites- befogenhet även skulle vara bunden av de för alla myndigheter gemensamma, allmänna principerna om viten, och att inspek- tionens beslut även fortsättningsvis skulle kunna överklagas. Här- till kommer att beslut som förenats med vite alltid måste under- ställas domstol i ett senare led, om Datainspektionen skulle vilja förverkliga vitessanktionen, eftersom inspektionen måste ansöka till förvaltningsrätten om utdömande av vitet.

Sammanfattningsvis bedömer utredningen att de skäl som kan anföras för en utökning av Datainspektionens befogenheter, är både fler och väger tyngre än de skäl som kan anföras mot en utökning. Därför föreslår vi att Datainspektionen ges en utökad möjlighet att förena sina förelägganden och förbud med vite. Nedan redogörs närmare för utformning och placering av utred- ningens förslag.

13 Se exempelvis Datainspektionens beslut 31 maj 2013 med dnr 1402–2012.

997

Datainspektionens befogenheter

SOU 2014:23

Allmänt om vitesförelägganden m.m.

Vitessanktionen som sådan är reglerad i lagen (1985:206) om viten. Det finns alltså ett fungerande regelverk med utvecklad praxis i vägledande domar avseende bl.a. enskildas rättssäkerhet när det gäller vitessanktionen hos myndigheter, som skulle gälla även för en utökad vitesmöjlighet för Datainspektionen.

I doktrinen sägs bl.a. följande om de allmänna principer som myndigheter har att tillämpa när det gäller användande av vite.14

I de flesta fall ankommer det på myndigheten att med hänsyn till omständigheterna bestämma om vite skall utsättas i ett föreläggande. Den hållning enskild intagit vid myndighetens tidigare kontakter med honom blir ofta av grundläggande betydelse. Om han visat intresse för saken och förklarat sig villig att vidta rättelse, kan det vara lämpligt eller rentav en fördel att låta föreläggandet vara osanktionerat. Ett gott förhållande till den enskilde kan annars lätt gå förlorat, om myndig- heten utan direkt anledning hotar med en vitespåföljd. Annorlunda ställer det sig, om den enskilde ignorerar myndighetens formlösa tillsägelser eller vägrar att tala med myndighetens representanter eller besvara skrivelser. Vite är då som regel nödvändigt. Detsamma gäller i det fall, att den enskilde redan på ett förberedande stadium av ärendets handläggning ifrågasätter, om ett eventuellt myndighetsingripande är lagenligt, ändamålsenligt eller skäligt. Oavsett den enskildes hållning bör en myndighet föreskriva vite, om föreläggandet tillgodoser ett viktigt allmänt intresse och snar rättelse är påkallad. Vitet tjänar här som en garanti för att föreläggandet verkligen blir verkställt inom rimlig tid. Däremot kan ett vite vara överflödigt, om intresset är mindre viktigt och rättelse kan åstadkommas med enkla medel och på relativt kort tid. I sådant fall bör myndigheten i stället genom råd och anvisningar få till stånd en godvillig uppgörelse med den ansvarige.

Det anförda kan vara av betydelse exempelvis i samband med utvecklingen av IT-stöd, där den personuppgiftsansvarige inte sällan behöver visst rådrum för att kunna rätta sig efter ett beslut. De krav som följer direkt av lagstiftningen eller av Data- inspektionens tillämpning, kan ibland föranleda ett omfattande utvecklings- och omställningsarbete hos den personuppgifts- ansvarige. Det måste därför inom Datainspektionen finnas kompetens att beakta och bedöma sådana omständigheter för att därefter kunna föreskriva realistiska tidsfrister i de beslut som förenas med vite.

14 Rune Lavin, Viteslagstiftningen – En kommentar, andra upplagan, 2010, s. 25 f.

998

SOU 2014:23

Datainspektionens befogenheter

Omfattning och placering av de nya bestämmelserna

Utredningen har övervägt olika alternativ för frågan var och hur en utökad möjlighet för Datainspektionen att besluta om viten, lämp- ligen bör införas. Vi har identifierat två alternativa möjligheter till reglering av utökade befogenheter för Datainspektionen. Det första alternativet är att utökningen endast omfattar Data- inspektionens tillsyn på hälso- och sjukvårdsområdet och på socialtjänstområdet. I sådant fall, bör regleringen av de utökade befogenheterna lämpligen göras i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen. Det andra alternativet är att utökningen omfattar Datainspektionens tillsyn generellt, dvs. oavsett på vilket område den utövas. I sådant fall, bör regleringen av de utökade befogenheterna lämpligen göras i personuppgiftslagen.

Vad gäller det sistnämnda alternativet anser utredningen att det i och för sig finns mycket som talar för att Datainspektionen borde ha en generell vitesmöjlighet oavsett vilket tillsynsområde det rör. En sådan lösning skulle exempelvis överensstämma med vad som gäller för flera andra tillsynsmyndigheter. Samtidigt handlar utred- ningens uppdrag primärt om personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten. Att föreslå en grundläggande förändring i personuppgiftslagen skulle därför få konsekvenser för verksamhetsområden som ligger utanför utred- ningens uppdrag. Utredningens sammantagna bedömning är att våra direktiv hindrar att de förslag som utredningen lämnar med utgångspunkt i hälso- och sjukvården och socialtjänsten, får en avsevärt bredare tillämpning med verkan också utanför dessa områden. Att föreslå en generell möjlighet för Datainspektionen att, oavsett tillsynsområde, förena förelägganden och förbud med vite ligger därför utanför uppdraget och bör lämpligen utredas i ett bredare sammanhang.

Mot den bakgrunden föreslår vi att Datainspektionens utökade befogenheter ska begränsas till hälso- och sjukvården och social- tjänsten och därför ska regleringen göras i hälso- och sjukvårds- datalagen respektive socialtjänstdatalagen.

På sätt och vis finns befintliga förebilder för en sådan ordning med reglering i hälso- och sjukvårdsdatalagen och socialtjänst- datalagen. Både kreditupplysningslagen (1973:1173) och inkasso- lagen (1974:182) ger Datainspektionen möjlighet att besluta om vite i fler situationer än vad personuppgiftslagen medger. I den systematik som alltså finns för befintliga regler om Data-

999

Datainspektionens befogenheter

SOU 2014:23

inspektionens befogenheter, kan inspektionen i ett annat regelverk än personuppgiftslagen ges andra och mer vittgående befogenheter än de som nämns i personuppgiftslagen.

Vidare finns i redovisningen av Datainspektionens praxis flera exempel på situationer framför allt inom hälso- och sjukvården där ett vite hade kunnat vara till nytta. Bland annat mot den bakgrunden talar, enligt vår bedömning, övervägande skäl för att faktiskt utöka Datainspektionens möjlighet att besluta om viten på hälso- och sjukvårdens område. Samtidigt gäller de grundläggande skälen för en utökad möjlighet, enligt vår uppfattning, med samma tyngd även för Datainspektionens tillsyn på andra områden än hälso- och sjukvården, t.ex. inom socialtjänsten. I samband med att vi nu föreslår en ny socialtjänstdatalag med nya möjligheter för socialtjänsten att t.ex. utbyta personuppgifter genom direkt- åtkomst, på sätt som påminner om vad som gäller för hälso- och sjukvården, finns därför anledning att låta Datainspektionen få utökade befogenheter att besluta om vite även på socialtjänstens område.

Sammantaget föreslår vi således att Datainspektionen, genom reglering i hälso- och sjukvårdsdatalagen och i socialtjänst- datalagen, får nya möjligheter att använda vite.

Utformning av de nya bestämmelserna

Utredningen föreslår för det första att det i hälso- och sjukvårds- datalagen och i socialtjänstdatalagen införs ett förtydligande av till- synsmyndighetens befogenhet att besluta de förelägganden eller förbud som behövs för att dessa lagar eller föreskrifter som har meddelats med stöd av dessa lagar ska följas. I dag framgår detta inte med önskvärd tydlighet av personuppgiftslagen, men befogen- heten får anses fast etablerad i Datainspektionens praxis sedan åtskilliga år. Mot den bakgrunden finns anledning att tydliggöra detta i samband med att nya möjligheter att besluta om vite föreslås.

För det andra föreslår utredningen att tillsynsmyndigheten vid tillsyn enligt hälso- och sjukvårdsdatalagen och socialtjänst- datalagen får förena sina beslut om föreläggande eller förbud med vite. I första hand ska Datainspektionen dock, som följer av personuppgiftslagen, försöka åstadkomma rättelse med hjälp av påpekanden eller liknande förfaranden. I syfte att förtydliga detta

1000

SOU 2014:23

Datainspektionens befogenheter

bör lagtexten ange att de nya möjligheterna i hälso- och sjukvårds- datalagen och i socialtjänstdatalagen ska gälla utöver vad som följer av personuppgiftslagen. Det innebär att Datainspektionen även i sin tillsyn över socialtjänsten och hälso- och sjukvården i första hand ska använda sig av påpekanden för att försöka åstadkomma rättelse.

I vissa situationer kan det bli aktuellt för Datainspektionen att direkt föreskriva ett vite, om föreläggandet tillgodoser ett viktigt allmänt intresse, om snar rättelse är påkallad och det finns anled- ning att befara att ett icke sanktionerat föreläggande inte skulle följas på rätt sätt eller inom rimlig tid. Enligt vad som framgår av Datainspektionens praxis gör utredningen dock bedömningen att ett direkt föreskrivande av vite kommer att behövas ytterst sällan.

1001

Statens offentliga utredningar 2014

Kronologisk förteckning

1.Vissa bostadsbeskattningsfrågor. Fi.

2.Framtidens valfrihetssystem

inom socialtjänsten. S.

3.Boende utanför det egna hemmet

placeringsformer för barn och unga. S.

4.Det måste gå att lita på konsument- skyddet. Ju.

5.Staten får inte abdikera

om kommunaliseringen av den svenska skolan. U.

6.Män och jämställdhet. U.

7.Skärpta straff för vapenbrott. Ju.

8.Översyn av statsskuldspolitiken. Fi.

9.Förändrad assistansersättning

en översyn av ersättningssystemet. S.

10.Ett steg vidare – nya regler och åtgärder för att främja vidareutnyttjande

av handlingar. S.

11.Kunskapsläget på kärnavfallsområdet 2014. Forskningsdebatt, alternativ och beslutsfattande. M.

12.Utvärdera för utveckling – om utvärdering av skolpolitiska reformer. U.

13.En digital agenda i människans tjänst

– en ljusnande framtid kan bli vår. N.

14.Effektiv och rättssäker PBL-överprövning. S.

15.Investeringsplanering för försvarsmateriel En ny planerings-, besluts- och uppföljningsprocess. Fö.

16.Det ska vara lätt att göra rätt

Åtgärder mot felaktiga utbetalningar inom den arbetsmarknadspolitiska verksamheten. A.

17.Genomförande av Seveso III-direktivet. Fö.

18.Straffskalorna för allvarliga våldsbrott. Ju.

19.Yrkeskvalifikationsdirektivet – ett samlat genomförande. U.

20.Läkemedel för särskilda behov. S.

21.Bredband för Sverige in i framtiden. N.

22.Genomförande av EU:s nya redovisningsdirektiv. Ju.

23.Rätt information på rätt plats i rätt tid.

Del 1, 2 och 3. S.

Statens offentliga utredningar 2014

Systematisk förteckning

Justitiedepartementet

Det måste gå att lita på konsumentskyddet. [4] Skärpta straff för vapenbrott. [7] Straffskalorna för allvarliga våldsbrott. [18]

Genomförande av EU:s nya redovisningsdirektiv. [22]

Försvarsdepartementet

Investeringsplanering för försvarsmateriel En ny planerings-, besluts- och uppföljningsprocess. [15]

Genomförande av Seveso III-direktivet.[17]

Socialdepartementet

Framtidens valfrihetssystem

inom socialtjänsten. [2]

Boende utanför det egna hemmet

placeringsformer för barn och unga. [3]

Förändrad assistansersättning

– en översyn av ersättningssystemet. [9]

Ett steg vidare – nya regler och åtgärder för att främja vidareutnyttjande av handlingar. [10]

Effektiv och rättssäker PBL-överprövning. [14]

Läkemedel för särskilda behov. [20]

Rätt information på rätt plats i rätt tid. Del 1, 2 och 3. [23]

Finansdepartementet

Vissa bostadsbeskattningsfrågor. [1] Översyn av statsskuldspolitiken. [8]

Utbildningsdepartementet

Staten får inte abdikera

– om kommunaliseringen av den svenska skolan. [5]

Män och jämställdhet. [6]

Utvärdera för utveckling – om utvärdering av skolpolitiska reformer. [12]

Yrkeskvalifikationsdirektivet – ett samlat genomförande. [19]

Miljödepartementet

Kunskapsläget på kärnavfallsområdet 2014. Forskningsdebatt, alternativ och beslutsfattande. [11]

Näringsdepartementet

En digital agenda i människans tjänst

– en ljusnande framtid kan bli vår. [13]

Bredband för Sverige in i framtiden. [21]

Arbetsmarknadsdepartementet

Det ska vara lätt att göra rätt

Åtgärder mot felaktiga utbetalningar inom den arbetsmarknadspolitiska verksamheten. [16]