SOU och Ds kan köpas från Fritzes kundtjänst. För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Beställningsadress: Fritzes kundtjänst 106 47 Stockholm

Orderfax: 08-598 191 91 Ordertel: 08-598 191 90 E-post: order.fritzes@nj.se Internet: www.fritzes.se

Svara på remiss – hur och varför. Statsrådsberedningen (SB PM 2003:2, reviderad 2009-05-02)

– En liten broschyr som underlättar arbetet för den som ska svara på remiss. Broschyren är gratis och kan laddas ner eller beställas på http://www.regeringen.se/remiss

Textbearbetning och layout har utförts av Regeringskansliet, FA/kommittéservice.

Omslag: Elanders Sverige AB.

Tryckt av Elanders Sverige AB.

Stockholm 2014

ISBN 978-91-38-24107-3

ISSN 0375-250X

Till statsrådet och chefen för Socialdepartementet Göran Hägglund

Vid regeringssammanträde den 15 december 2011 beslutade regeringen att tillsätta en särskild utredare med uppdrag att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten (dir. 2011:111). Utredaren fick även ett deluppdrag bestående i att analysera förutsättningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårds- personal (HOSP-registret).

Till särskilt utredare förordnades hälso- och sjukvårdsdirektören Lena Lundgren. Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).

Den 29 mars 2012 beslutade regeringen genom tilläggsdirektiv till utredningen (dir. 2012:23) att deluppdraget angående HOSP- registret skulle redovisas senast den 31 maj 2012. Utredningen överlämnade delbetänkandet Bättre behörighetskontroll (SOU 2012:42) den 31 maj 2012.

Genom beslut i tilläggsdirektiv vid regeringssammanträde den 2 maj 2013 beslutade regeringen att utredaren i ett deluppdrag ska utreda om det är lämpligt att beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av personuppgifter införa regler i patientdatalagen som gör att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. (dir. 2013:43). Regeringen beslutade att denna del av uppdraget ska redovisas i ett delbetänkande senast den 5 juni 2013.

Utredningen överlämnade delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.

Regeringen beslutade även att utredaren ska, för den del av uppdraget som handlar om att identifiera nödvändiga förutsättningar

för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten, i en del- redovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen överlämnades till regeringen den 31 december 2013 och återfinns i bilaga 4 till detta slutbetänkande.

Regeringen beslutade vidare att utredningstiden förlängs för huvuddelen av uppdraget som ska redovisas senast den 30 april 2014.

Som huvudsekreterare i utredningen anställdes fr.o.m. den 6 februari 2012 juristen Patrik Sundström. Som sekreterare i utredningen anställdes fr.o.m. den 13 februari 2012 juristen Maria Jacobsson. Som sekreterare på halvtid i utredningen anställdes fr.o.m. 1 april 2012 rådmannen Eva Karlsson Helghe och fr.o.m. 23 april 2012 läkaren Inger Nordin Olsson. Inger Nordin Olsson entledigades som sekreterare den 1 juni 2013.

Utredningen får härmed överlämna slutbetänkandet Rätt information på rätt plats i rätt tid (SOU 2014:23).

Till betänkandet fogas ett särskilt yttrande av experten Maria Bergdahl.

Uppdraget är härmed slutfört.

Stockholm i april 2014.

Lena Lundgren

/Maria Jacobsson

Eva Karlsson Helghe

Patrik Sundström

Förteckning över vilka som deltagit i utredningens arbete

Om inte annat anges har förordnandet gällt från och med den 12 mars 2012.

Experter

Medicinskt ansvariga sjuksköterskan Eva Backlund Juristen Maria Bergdahl, fr.o.m. 4 september 2013 Juristen Marit Birk, fr.o.m. 20 september 2012 Handläggaren Annica Blomsten Verksamhetschefen Mats Brådman

Landstingsdirektören Mats Brännström, t.o.m. 7 juli 2013 Socialdirektören Karl Gudmundsson

Tillsynschefen Erik Janzon, t.o.m. 4 september 2013 Juristen Tora Nissen, t.o.m. 20 september 2012 Överläkaren Mikael Rolfs

Juristen Febe Westberg

Chefläkaren Karin Strandberg Nöjd, fr.o.m. 7 juli 2013

Enhetschefen Inger Nordin Olsson, fr.o.m. 24 oktober 2013 Vice vd, Anders Ekholm, fr.o.m. 1 november 2013

Sakkunniga

Rättssakkunnige Maria Arnell, t.o.m. 4 september 2013 Kanslirådet Rickard Broddvall, t.o.m. 10 september 2012.

Departementssekreteraren Anna Brooks, fr.o.m. 10 september 2012

Departementsrådet Anders Ekholm, t.o.m. 1 november 2013 Ämnesrådet Jimmy Järvenpää

Ämnesrådet Gert Knutsson, t.o.m. 10 september 2012. Kanslirådet Henrik Moberg, fr.o.m. 10 september 2012 Departementssekreteraren Maria Wästfelt

Innehåll

Sammanfattning ................................................................			27
		Bakgrund
1	Vårt uppdrag och arbete..............................................		51
1.1	Vårt uppdrag.............................................................................		51
1.2	Utredningens arbete ................................................................		53
	1.2.1	Sakkunnig- och expertgrupp........................................	54
	1.2.2 Samråd med statliga utredningar .................................		55
	1.2.3	Metodstöd m.m. ...........................................................	55
	1.2.4	Delbetänkandet Bättre behörighetskontroll...............	56
	1.2.5 Delbetänkandet Rätt information – Kvalitet och
		patientsäkerhet för vuxna med nedsatt
		beslutsförmåga..............................................................	56
	1.2.6 Delredovisningen enligt direktiv 2013:43 – Stöd
		vid tillämpningen av gällande rätt ................................	58
1.3	Betänkandets disposition.........................................................		59
2	Rätt information på rätt plats i rätt tid – några
	utgångspunkter ..........................................................		61
2.1	Inledning...................................................................................		61
2.2	Individen och individens behov i centrum .............................		62

2.3Informationshantering som en integrerad del i

verksamheten............................................................................

64

7

SOU 2014:23 Innehåll

5	Informationshantering inom hälso- och sjukvården.........		91
5.1	Bakgrund ..................................................................................		91
5.2	Den rättsliga regleringen av informationshanteringen ..........		93
	5.2.1	Begreppet vårdgivare ....................................................	93
	5.2.2 Informationshantering inom en vårdgivares
		verksamhet (inre sekretess) .........................................	94
	5.2.3	Informationshantering mellan vårdgivare ...................	95
	5.2.4 Informationshantering mellan vårdgivare –
		sammanhållen journalföring.........................................	97
	5.2.5 Enskilds möjlighet att ta del av uppgifter genom
		direktåtkomst..............................................................	100
	5.2.6 Socialstyrelsens föreskrifter (SOSFS 2008:14).........		100
	5.2.7 Verksamhetsuppföljning m.m. inom en
		vårdgivares verksamhet...............................................	101
	5.2.8	Verksamhetsuppföljning över vårdgivargränser .......	102
	5.2.9 Särskilt om nationella kvalitetsregister......................		103

6	En ändamålsenlig informationshantering –
	iakttagelser och reflektioner ......................................	107
6.1	Bakgrund ................................................................................	107
	6.1.1 Vårt uppdrag och våra utgångspunkter .....................	109

6.2Strukturförändringarna i vården påverkar behov och

	möjligheter till informationsutbyte ......................................	110
6.3	Informatik och it-frågor........................................................	112
6.4	Patientdatalagen och tillämpningsproblemen ......................	115
6.5	Bristande efterlevnad av regelverket .....................................	119
6.6	Kunskap, kompetens, ledning och styrning.........................	121
6.7	Sammanfattande reflektioner ................................................	122
7	En ny lag: hälso- och sjukvårdsdatalag .......................	123
7.1	Bakgrund ................................................................................	123
	7.1.1 Kort om våra utgångspunkter för denna typ av
	lagstiftning ..................................................................	124
	7.1.2 Vårt uppdrag m.m.......................................................	125
		9

SOU 2014:23		Innehåll
10 Skydd för personuppgifter vid samverkan mellan
	personuppgiftsansvariga............................................	193
10.1	Bakgrund ................................................................................	193
	10.1.1 Vårt uppdrag ...............................................................	195
10.2	Generellt om personuppgiftsansvar......................................	196
10.3	Personuppgiftsansvar vid samverkan mellan olika
	aktörer.....................................................................................	198
	10.3.1 Patientdatautredningens resonemang m.m...............	200
	10.3.2 Några exempel från Datainspektionens tillsyn
	m.m..............................................................................	203
10.4	Våra överväganden och förslag..............................................	206
	10.4.1 Krav på risk- och sårbarhetsanalys,
	överenskommelse och tydliggörande av
	personuppgiftsansvar..................................................	206
11	Elektroniskt utlämnande av personuppgifter................	221
11.1	Bakgrund ................................................................................	221
11.2	Våra överväganden och förslag..............................................	222
	11.2.1 Vissa bestämmelser om utlämnande förs över
	från patientdatalagen ..................................................	222
	11.2.2 Grundläggande bestämmelser om direktåtkomst
	förs över till hälso- och sjukvårdsdatalagen ..............	224
	11.2.3 Direktåtkomst vid källdatagranskning i samband
	med kliniska prövningar m.m. ...................................	230
12 Ett tydligare ansvar för patientjournalen och dess
	innehåll...................................................................	237
12.1	Vårt uppdrag m.m..................................................................	237
12.2	Gällande rätt om ansvaret för patientjournalen och dess
	innehåll ...................................................................................	240
	12.2.1 Grundläggande förutsättningar .................................	240
	12.2.2 Ansvaret för uppgifterna i patientjournalen .............	241
	12.2.3 Patientens avvikande mening ska antecknas .............	242
	12.2.4 Patientjournalen som allmän handling ......................	244
	12.2.5 Bevarande och gallring av journalhandlingar ............	245
		11

SOU 2014:23		Innehåll
	13.3.4 Exempel 4. Hantering av vårddokumentation i
	samband med byte av utförare...................................	291
13.4 Våra överväganden och förslag..............................................		294
	13.4.1 Inledning .....................................................................	294
	13.4.2 Förbättrade möjligheter till direktåtkomst mellan
	vårdgivare inom en huvudmans ansvarsområde........	294
	13.4.3 Patientens rätt att spärra information inom och
	mellan vårdgivare inom huvudmannens
	ansvarsområde.............................................................	305
	13.4.4 Ökade möjligheter för kommuner och landsting
	att fullgöra sitt ansvar för hälso- och sjukvården .....	317
	13.4.5 Informationsöverföring vid
	verksamhetsövergångar ..............................................	323
	13.4.6 Kommunalt ansvar för omhändertagna
	patientjournaler i kommunal hälso- och sjukvård
	eller hos elevhälsan .....................................................	328
	13.4.7 Bevarande och gallring vid direktåtkomst inom
	en huvudmans ansvarsområde....................................	330
14	En ny sammanhållen journalföring .............................	333
14.1	Bakgrund ................................................................................	333
	14.1.1 Kort om behovet av ett förändrat och förenklat
	regelverk ......................................................................	336
14.2 Våra överväganden och förslag om att göra uppgifter
	tillgängliga i system för sammanhållen journalföring..........	337
	14.2.1 Tydligare reglering av regelverkets
	tillämpningsområde och innebörd.............................	337
	14.2.2 Förenklad utformning av bestämmelserna................	341
	14.2.3 Grundläggande bestämmelse om att göra
	uppgifter tillgängliga...................................................	342
	14.2.4 Grundläggande bestämmelse om patienten inte
	endast tillfälligt saknar förmåga att ta ställning ........	347
	14.2.5 Patientens rätt att motsätta sig sammanhållen
	journalföring ...............................................................	353
	14.2.6 Förbud för vårdnadshavare att motsätta sig
	sammanhållen journalföring.......................................	359
14.3	Våra överväganden och förslag om åtkomst till uppgifter
	i sammanhållen journalföring................................................	362
		13

SOU 2014:23 Innehåll

	15.7.1 Utredningens förslag i andra delar m.m....................	436
	15.7.2 Behov av åtgärder som leder till harmoniserade
	regler............................................................................	440
	15.7.3 Patientens spärrmöjligheter bör inte omfatta
	uppgifter om ordinerade läkemedel...........................	442
	15.7.4 Ändringar som görs på apotek...................................	459
	15.7.5 Uttag av läkemedel som görs utomlands ska
	registreras i Läkemedelsförteckningen......................	465
	15.7.6 Bevarande och gallring av uppgifter ..........................	467
	15.7.7 Farmaceuters tillgång till
	läkemedelsförteckningen............................................	468
	15.7.8 Övriga rekommendationer för utvecklingen mot
	en samlad läkemedelslista m.m. .................................	474
16	Förbättrad tillgång till varningsinformation..................	477
16.1	Bakgrund ................................................................................	477
	16.1.1 Informationshanteringen ...........................................	478
	16.1.2 Vårt uppdrag m.m.......................................................	479
16.2	Våra överväganden och förslag..............................................	480
	16.2.1 Varningsinformation bör undantas från
	patientens spärrmöjligheter........................................	480
	16.2.2 Nationella insatser för en strukturerad, entydig
	och enhetlig varningsinformation..............................	488
17 Kvalitetsutveckling och förbättringsarbete i hälso-
	och sjukvården.........................................................	491
17.1	Bakgrund ................................................................................	491
17.2	Nationella kvalitetsregister....................................................	494
	17.2.1 Exempel på användning av nationella
	kvalitetsregister...........................................................	495
	17.2.2 Kort om regelverket och dess framväxt ....................	497
17.3	Reflektioner kring möjligheterna att använda
	patientuppgifter i lokalt kvalitetsarbete................................	500
	17.3.1 Lagstiftningen ger möjligheter till
	kvalitetssäkring och kvalitetsutveckling....................	501
17.4	Våra överväganden och förslag rörande nationella
	kvalitetsregister ......................................................................	505
		15

SOU 2014:23		Innehåll
	19.4.1 Socialstyrelsens föreskrifter SOSFS 2006:5 ..............	568
	19.4.2 Lagen om behandling av personuppgifter inom
	socialtjänsten...............................................................	569
	19.4.3 Förordningen om behandling av personuppgifter
	inom socialtjänsten .....................................................	573
	19.4.4 Direktåtkomst och utlämnande på medium för
	automatiserad behandling ..........................................	575
19.5	Sekretess på socialtjänstens område......................................	576
	19.5.1 Sekretess mellan myndigheter och självständiga
	verksamhetsgrenar ......................................................	578
	19.5.2 Sekretess i förhållande till privata utförare av
	socialtjänst...................................................................	579
20	En ändamålsenlig informationshantering –
	iakttagelser och reflektioner ......................................	581
20.1	Bakgrund ................................................................................	581
20.2	Informatik och it....................................................................	581
20.3	Samtycke till insatser – en utgångspunkt för
	informationshanteringen .......................................................	583
20.4	Övergripande nämndstruktur påverkar
	informationshanteringen .......................................................	585
20.5	Valfrihet och mångfald påverkar
	informationshanteringen .......................................................	586
20.6	Informationshantering i samband med rådgivning och
	annat stöd ...............................................................................	587
20.7	Verksamhetsuppföljning och kvalitetssäkring .....................	589
20.8	SoLPUL och SoLPULF – ett svårtillgängligt regelverk......	591
20.9	Kunskap, kompetens, ledning och styrning.........................	592
20.10Sammanfattande reflektioner ................................................		593
21 En mer ändamålsenlig sekretessreglering i
	socialtjänsten ..........................................................	595
21.1	Bakgrund ................................................................................	595
		17

SOU 2014:23 Innehåll

23	Grundläggande bestämmelser om
	personuppgiftsbehandling inom socialtjänsten ............	651
23.1	Bakgrund ................................................................................	651
23.2	Våra överväganden och förslag..............................................	652
	23.2.1 Tillåtna ändamål för behandlingen av
	personuppgifter...........................................................	652
	23.2.2 Sammanställningar av personuppgifter .....................	663
	23.2.3 Personuppgifter som får behandlas i
	socialtjänsten...............................................................	670
	23.2.4 Den enskildes inställning till
	personuppgiftsbehandlingen......................................	674
	23.2.5 Behandling av personuppgifter vid råd och
	service ..........................................................................	677
	23.2.6 Personuppgiftsansvar .................................................	679
	23.2.7 Sökbegrepp..................................................................	680

24	Säker och ändamålsenlig hantering av personuppgifter 685
24.1	Bakgrund ................................................................................	685
24.2	Våra överväganden och förslag..............................................	686
	24.2.1 Ansvar för den som arbetar i socialtjänsten – inre
	sekretess ......................................................................	688
	24.2.2 Ansvar för att uppgifter är tillgängliga när de
	behövs..........................................................................	690
	24.2.3 Ansvar för att skydda uppgifterna vid överföring
	via internet m.m..........................................................	691
	24.2.4 Ansvar för informationssystemens utformning .......	696
	24.2.5 Ansvar för behörighetstilldelning..............................	698
	24.2.6 Ansvar för kontroll av elektronisk åtkomst..............	701

25	Skydd för personuppgifter vid samverkan mellan
	personuppgiftsansvariga............................................	705
25.1	Bakgrund ................................................................................	705
	25.1.1 Vårt uppdrag m.m.......................................................	707
25.2	Våra överväganden och förslag..............................................	708
	25.2.1 Krav på risk- och sårbarhetsanalys,
	överenskommelse och tydliggörande av
	personuppgiftsansvar..................................................	708
		19

SOU 2014:23		Innehåll
	29.2.3 Information om åtkomst till den enskildes
	uppgifter......................................................................	766
	29.2.4 Rättelse........................................................................	768
	29.2.5 Skadestånd...................................................................	769
30 Socialstyrelsens behandling av personuppgifter ...........		771
30.1	Bakgrund ................................................................................	771
30.2 Våra överväganden och förslag..............................................		771
	30.2.1 Ny lag om Socialstyrelsens behandling av
	personuppgifter i verksamhet avseende
	utredningar av vissa dödsfall ......................................	771
	30.2.2 Lagens tillämpningsområde .......................................	772
	30.2.3 Personuppgiftsansvar .................................................	773
	30.2.4 Tillåten personuppgiftsbehandling............................	773
Informationsutbyte mellan hälso- och sjukvården och
	socialtjänsten
31 Behov av en mer sammanhållen
	informationshantering...............................................	775
31.1	Bakgrund ................................................................................	775
	31.1.1 Individens behov som utgångspunkt.........................	775
	31.1.2 Det delade ansvaret för hälso- och sjukvård och
	socialtjänst...................................................................	777
	31.1.3 Stora krav på informationsöverföringen ...................	783
31.2 Rättsliga krav på samverkan mellan huvudmän....................		784
	31.2.1 Samverkan på övergripande nivå................................	785
	31.2.2 Samverkan på individuell nivå....................................	786
31.3	Utredningens iakttagelser och reflektioner när det gäller
	integrerade verksamheter ......................................................	788
	31.3.1 Vård och omsorg om äldre i särskilt boende och i
	hemmet........................................................................	789
	31.3.2 Vård och omsorg om personer med psykisk
	sjukdom och funktionshinder....................................	796
	31.3.3 Vård och omsorg om personer med missbruk och
	beroendeproblem........................................................	800
	31.3.4 Vård och omsorg om barn och unga .........................	803
		21

SOU 2014:23		Innehåll
	Ökad kommunikation med medborgare
33 Kommunikation mellan vård- och omsorgsaktörer och
	medborgare .............................................................	855
33.1	Bakgrund ................................................................................	855
	33.1.1 Vårt uppdrag ...............................................................	856
	33.1.2 En utveckling med flera mål.......................................	857
33.2 Några utvecklingsarbeten inom området .............................		859
	33.2.1 E-tjänster och erfarenheter från landstinget i
	Uppsala........................................................................	859
	33.2.2 Mina vårdkontakter ....................................................	861
	33.2.3 Omsorgsdagboken......................................................	863
	33.2.4 Mina vårdflöden..........................................................	863
	33.2.5 Din journal på nätet – förstudien ..............................	864
	33.2.6 Hälsa för mig – ett personligt hälskonto ..................	868
	33.2.7 Internationell utblick..................................................	869
33.3	Några reflektioner kring informationsflöden och
	aktörer.....................................................................................	871
33.4 Kort genomgång av gällande rätt ..........................................		875
	33.4.1 Patientens rätt att ta del av sin journal i hälso-
	och sjukvården ............................................................	876
	33.4.2 Elektroniskt utlämnande av uppgifter till
	patienten......................................................................	877
	33.4.3 Krav på säkerhetsåtgärder m.m. i hälso- och
	sjukvården ...................................................................	878
	33.4.4 Individens rätt till uppgifter om uthämtade
	läkemedel.....................................................................	880
	33.4.5 Individens rätt till information i socialtjänsten ........	880
	33.4.6 Elektroniskt utlämnande till individen i
	socialtjänsten...............................................................	881
	33.4.7 Krav på säkerhetsåtgärder m.m. i socialtjänsten.......	882
33.5 Våra överväganden och förslag..............................................		883
	33.5.1 Direktåtkomst för enskilda i socialtjänsten ..............	883
	33.5.2 Direktåtkomst för patienter och frågan om
	sekretess mot patienten själv......................................	886
	33.5.3 Tydlig information och överenskommelser med
	den enskilde.................................................................	894
		23

SOU 2014:23		Innehåll
35.2	Rättslig reglering av läkemedelsregistret ..............................	952
	35.2.1 Hälsodataregistren......................................................	954
35.3	Läkemedelsregistrets användning m.m.................................	957
35.4	Uppföljning, utvärdering och kvalitetssäkring m.m............	961
35.5	Våra överväganden och förslag..............................................	966
	35.5.1 Utvecklingen på området...........................................	966
	35.5.2 Nya ändamål bör införas i läkemedelsregistret.........	969
	35.5.3 Uppgift om förskrivningsorsak bör få registreras
	i läkemedelsregistret ...................................................	972
36	Patientrapporterade mått ..........................................	977
36.1	Bakgrund ................................................................................	977
	36.1.1 Att mäta och samla in patientupplevelser .................	978
36.2	Vårt uppdrag...........................................................................	980
36.3	Våra överväganden .................................................................	980
37	Datainspektionens befogenheter ................................	985
37.1	Vårt uppdrag...........................................................................	985
	37.1.1 Datainspektionens befogenheter...............................	986
	37.1.2 Datainspektionens skrivelse till regeringen ..............	987
37.2	Datainspektionens praxis ......................................................	988
37.3	Bakgrunden till nuvarande reglering.....................................	990
37.4	Våra överväganden och förslag om utökade
	befogenheter för Datainspektionen......................................	993

25

Sammanfattning

Inledning

Inom hälso- och sjukvården och socialtjänsten finns ett växande behov av att samverka i olika former. För den enskilde individen är ett bra och samlat omhändertagande ofta beroende av stöd och insatser från såväl landsting och kommun som privata vårdgivare eller privat utförare av socialtjänst. Det gäller även i äldreomsorgen, psykiatrin, missbruks- och beroendevården och i verksamheter för funktionshindrade. Arbetet med barn och unga ställer också stora krav på samverkan mellan hälso- och sjukvården och socialtjänsten.

Stora strukturförändringar har genomförts inom hälso- och sjukvården och socialtjänsten de senaste åren. Reformer som bl.a. fritt vårdval och omreglering av apoteksmarknaden har lett till många nya vårdmottagningar, vårdcentraler och apotek där verk- samheten i allt större utsträckning utförs av privata aktörer. Även inom socialtjänsten har andelen privata utförare ökat, bl.a. som en följd av lagen (2008:962) om valfrihetssystem. En individ som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter därför allt fler vårdgivare och utförare inom socialtjänsten både nationellt och internationellt.

Hälso- och sjukvården och socialtjänsten är två av de mest informationsintensiva och komplexa sektorerna i samhället. Det medför nya och ökade behov och krav på hur information ska hanteras. Idag spänner informationshanteringen därför över ett mycket större område än tidigare. Vi har gått från en tid när det många gånger har handlat om att uppgifter om enskilda ska dokumenteras, till en tid när det i större utsträckning även handlar om hur uppgifter som har dokumenterats kan och bör användas för att skapa bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna och den ständigt ökande informationstillgången har bland annat medfört att det idag

27

Sammanfattning

SOU 2014:23

är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras. Det kan handla om att information om den enskilde individen elektroniskt sambearbetas med andra kunskapskällor, t.ex. nationella riktlinjer, och resulterar i att yrkesutövaren snabbt och säkert får en direkt rekommendation för sitt ställningstagande. Inte minst inom hälso- och sjukvården finns flera exempel på framväxten av olika former av kliniska beslutsstöd där en effektiv informationshantering på systemnivå kan bidra till öka säkerheten och kvaliteten i vården.

Den tekniska utvecklingen har även medfört helt nya möjlig- heter att arbeta preventivt för att förebygga ohälsa. Med hjälp av information om enskilda och deras sjukdomshistoria, riskfaktorer och aktuella behandlingsriktlinjer m.m. kan tekniken bidra till att sjukdomar upptäcks tidigare och kan behandlas snabbare samt att enskilda individer får ett mer individanpassat stöd och omhänder- tagande. Informationshanteringen i hälso- och sjukvården och socialtjänsten är därför av avgörande betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet.

Centralt i hälso- och sjukvården och socialtjänsten är också att ständigt utveckla och säkra kvaliteten i verksamheten i syfte att skapa ännu bättre resultat för de som idag och i framtiden har behov av vård och omsorg. Inte sällan behöver dokumenterade uppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av insatser och enskildas och närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett sådant förbättringsarbete. Det är såväl ett grund- läggande allmänt intresse som ett uttryckligt krav i lagstiftningen att systematiskt och fortlöpande utveckla och säkra kvaliteten i socialtjänsten och hälso- och sjukvården.

Sammantaget är en effektiv och ändamålsenlig informations- hantering en av grundförutsättningarna för en jämlik vård och omsorg av hög kvalitet i hela landet. Det innebär att satsningar och förbättringsarbeten för säkerhet, tillgänglighet och evidensbaserade arbetssätt i vård och omsorg även behöver inkludera frågor om informationshantering.

För att medborgare ska få säkra insatser av hög kvalitet behöver yrkesutövare inom hälso- och sjukvården och socialtjänsten på ett säkert och ändamålsenligt sätt ha tillgång till uppgifter om individen

28

SOU 2014:23

Sammanfattning

och information om de insatser som han eller hon fått tidigare. Utan tillgång till sådana uppgifter ökar risken för bl.a. bristande besluts- underlag, felbehandlingar och allvarliga interaktioner mellan läkemedel och andra insatser. I det dagliga arbetet med att ge individer den vård och de insatser som i enskilda fall behövs är personalens hantering av information om dessa individer även integrerat med de konkreta arbetsuppgifterna. Personalen behöver såväl ta del av uppgifter som dokumentera uppgifter för att kunna utföra sitt arbete på ett ändamålsenligt och säkert sätt. Om verksamheten exempelvis använder elektroniska beslutsstöd där information om individen sambearbetas med andra kunskapskällor för att ge specifik vägledning eller behandlingsrekommendationer, blir informationshanteringen närmast en oskiljaktig del av själva arbetets utförande. De regler som gäller avseende själva utförandet av insatserna för individen måste därför vara i harmoni med de regler som gäller för hantering av informationen om honom eller henne.

De organisatoriska gränser som finns mellan olika aktörer i hälso- och sjukvården och socialtjänsten för med sig juridiska och tekniska hinder när det gäller hantering av personuppgifter. Men den enskilde ska inte riskera att få mindre säkra insatser eller insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har tillgång till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde.

Bra samverkande verksamheter kan ge fördelar för individen. Genom samarbete i tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete med övriga stödfunktioner och tillgång till personal dygnet runt m.m. kan den enskildes behov tillgodoses på ett sätt som uppfyller krav på kontinuitet, säkerhet och respekt för den enskilde. För att detta ska vara möjligt behövs det ett regelverk för informationshanteringen som har individen och individens behov i centrum.

Ytterligare en förutsättning för hög kvalitet och säkerhet hälso- och sjukvård och socialtjänst är att både själva insatserna och informationshanteringen bygger på respekt för den enskildes självbestämmande och integritet. Med hänsyn till såväl individens integritet som till förtroendet för hälso- och sjukvården och social- tjänsten kan det aldrig bli fråga om att information om individen ska kunna spridas okontrollerat. De fördelar som ett utlämnande av eller tillgång till uppgifter innebär måste alltid vägas mot de nackdelar och

29

Sammanfattning

SOU 2014:23

risker som kan uppkomma. Det handlar om att upprätthålla en balans mellan olika intressen som framför allt integritetsskydd, hälsa, livskvalitet, autonomi och jämlikhet.

Utredningens utgångspunkt är att värden som kvalitet och säkerhet inte står i motsats till behovet av skydd för den personliga integriteten. I själva verket handlar det om ett samspel där ett väl- balanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Den relevanta frågan handlar därför om hur integritets- skyddet närmare bör utformas för att stimulera en socialtjänst och hälso- och sjukvård där medborgare får insatser av så hög kvalitet och säkerhet som möjligt.

Utredningens förslag i korthet

Två nya lagar; en socialtjänstdatalag och en hälso- och sjukvårdsdatalag

Socialtjänstdatalagen

En särskild s.k. registerlagstiftning innebär i många fall en bättre garanti för utformningen av integritetsskyddet när det gäller behandlingen av integritetskänsliga personuppgifter. Därutöver ger en sådan författning även möjligheter att utforma närmare förut- sättningar för hur personuppgiftsbehandlingen bör gå till för att de övergripande syftena med informationshanteringen ska kunna uppnås. Personuppgiftsbehandling som rör ett stort antal registrerade personer och har ett särskilt integritetskänsligt innehåll bör vara reglerade i lag. Det ligger i linje med 2 kap. 6 § regeringsformen

Utredningen föreslår att en ny lag om behandling av person- uppgifter inom socialtjänsten ska införas, med namnet socialtjänst- datalag. Lagen ska gälla för kärnverksamheten i socialtjänsten, d.v.s. det som utförs av kommunala myndigheter, enskilda verksamheter och Statens institutionsstyrelse. Sådan personuppgiftsbehandling som görs av andra aktörer på socialtjänstens område, t.ex. Socialstyrelsen och Inspektionen för vård och omsorg ska inte regleras av socialtjänstdatalagen.

Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, rättsäkerhet och kostnadseffektivitet i socialtjänsten. På en övergripande nivå ska förutsättningarna öka för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan socialtjänsten och hälso- och sjukvården. Det handlar både

30

SOU 2014:23

Sammanfattning

om att se till att personuppgifter kan behandlas för att se till att individer i behov av socialtjänst får insatser av hög kvalitet och om att säkerställa behovet av skydd för den personliga integriteten. Författningsstrukturen och det materiella innehållet bör överens- stämma i stort med den författningsreglering om behandling av personuppgifter som vi föreslår för hälso- och sjukvården.

Det innebär att socialtjänstdatalagen bland annat innehåller bestämmelser om personuppgiftsansvar, vilka personuppgifter som får behandlas, tillåtna ändamål för personuppgiftsbehandlingen, utlämnande genom direktåtkomst, inre sekretess, behörighets- styrning, åtkomstkontroll och rättigheter för den enskilde.

Hälso- och sjukvårdsdatalagen

I detta betänkande finns ett stort antal förslag som syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som ska minska tillämpningsproblemen med nuvarande lagstiftning, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. Utredningens förslag i sin helhet kommer därför att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen (2008:355). Under arbetets gång har det blivit uppenbart att våra förslag skulle medföra så många förändringar att det skulle inverka negativt på den befintliga strukturen i patientdatalagen och göra den svåröverskådlig.

Utredningen lämnar i betänkandet förslag som ska underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Regleringen av personuppgiftsbehandlingen inom och mellan hälso- och sjukvården och socialtjänsten underlättas om vi lämnar förslag till en ny lagstiftning för båda dessa områden samtidigt.

Utredningen anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämpningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och för de som ska tillämpa lagstiftningen.

Vårt förslag innebär att många bestämmelser ska överföras materiellt oförändrade från patientdatalagen till den nya lagen. Det

31

Sammanfattning

SOU 2014:23

har gett oss tillfälle att överväga och vid behöv föreslå förenklad utformning och språkliga justeringar i paragraferna. Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårds- datalag.

En informationshantering som utgår från individens behov

Förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde

Behovet av informationsutbyte om en patient är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. Den hälso- och sjukvård som utförs av landsting, kommuner och privata vårdgivare kräver ett tätt och fortlöpande samarbete i individuella vårdsituationer. En av grundförutsättningarna för att patienter ska känna trygghet i hälso- och sjukvården är att den vårdgivare patienten möter har tillgång till all aktuell och relevant information som behövs för att han eller hon ska få en god och säker vård.

Dagens organisationsinriktade lagstiftning motverkar dock ett sådant informationsutbyte. Även om i princip all hälso- och sjukvård är offentligt finansierad av kommuner och landsting uppställer lagstiftningen hinder för informationsutbytet mellan vårdgivare som är offentligt finansierade. För patienter som bor i kommuner eller landsting med få privata leverantörer i det offentligfinansierade systemet ger lagstiftningen bättre förutsättningar för en ändamålsenlig och sammanhållen informationshantering än för patienter som bor i ett landsting eller en kommun med en stor mångfald av vårdgivare.

Vi anser att alla medborgare som väljer vårdgivare, t.ex. en privat vårdcentral med offentlig finansiering, ska kunna lita på att den vårdgivaren har lika goda legala möjligheter som en landstings- driven vårdcentral att t.ex. utbyta information med det landstingsdrivna sjukhuset. För att möjliggöra detta föreslår utredningen att det ska vara tillåtet att utbyta nödvändiga uppgifter om en patient på samma enkla sätt oavsett hur vården i ett landsting eller i en kommun är organiserad. Vi föreslår att det ska bli tillåtet för offentligfinansierade vårdgivare inom en huvudmans ansvarsområde att utbyta uppgifter om en patient med hjälp av direktåtkomst med stöd av samma regler oavsett om verksamheten drivs offentlig eller privat. Inom det egna landstinget eller inom

32

SOU 2014:23

Sammanfattning

den egna kommunen ska informationen kunna följa patienten på ett enkelt och säkert sätt som är till nytta för honom eller henne.

För att tillgodose patienternas behov av integritetsskydd föreslår vi att patienten ska få en rätt att begränsa den elektroniska åtkomsten inom och mellan dessa vårdgivare, på ett sådant sätt att verksamheter som i praktiken inte heller deltar i patientens vård och behandling inte heller får ta del av uppgifterna. En sådan spärr kan sedan hävas med patientens samtycke eller i en nödsituation där patienten inte kan lämna samtycke.

Jämlik tillgång till sammanhållen journalföring

En konsekvens av utredningens förslag om förbättrade möjligheter till direktåtkomst mellan vårdgivare inom en och samma huvudmans ansvarsområde är att tillämpningsområdet för reglerna om sammanhållen journalföring krymper. Istället för som idag gälla vid allt informationsutbyte genom direktåtkomst mellan vårdgivare kommer reglerna att tillämpas för informationsutbytet mellan vårdgivare som finansieras av olika huvudmän, t.ex. en kommunalt finansierad vårdgivare och en landstingsfinansierad vårdgivare eller två vårdgivare som finansieras av olika landsting.

Genom sammanhållen journalföring kan viktig information om patienterna finnas tillhands i den stund och på den plats behovet för patienten uppstår. En förutsättning för det är dock att patienten inte motsatt sig informationsutbytet. I sådant fall får uppgifterna inte finnas tekniskt åtkomliga för andra vårdgivare i systemet för sammanhållen journalföring. Med hänsyn till patientens rätt till självbestämmande och integritetsskydd ska den förutsättningen enligt utredningens förslag alltjämt vara gällande, men med två undantag. Utredningen föreslår att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga så att uppgifterna kan nås i de situationer det behövs för patientens vård.

Ett problem med gällande bestämmelser om sammanhållen journalföring är att patientdatalagen saknar bestämmelser om hur personer som inte endast tillfälligt saknar beslutsförmåga ska kunna dra nytta av en sådan informationsdelning och de fördelar det kan medföra. En person som i det aktuella avseendet har

33

Sammanfattning

SOU 2014:23

nedsatt beslutsförmåga kan varken informeras om sammanhållen journalföring eller ta ställning till om vårddokumentationen ska få delas på det sättet.

För att den som har nedsatt beslutsförmåga ska ha samma möjligheter som andra individer att dra nytta av ett mer patient- säkert och effektivt informationsutbyte föreslår vi ett undantag i hälso- och sjukvårdsdatalagen som innebär att vårdgivare, under vissa förutsättningar, kan göra personuppgifter tillgängliga i system för sammanhållen journalföring även om patienten inte kan ta emot information och ta ställning till åtgärden.

För att en vårdgivare, som står i begrepp att ge patienten vård och behandling, ska få ta del av uppgifter i system för sammanhållen journalföring krävs idag att patienten lämnar ett särskilt samtycke till själva åtkomsten och användandet av uppgifterna. Utredningen föreslår att kravet på särskilt samtycke till personuppgifts- behandlingen inte överförs till hälso- och sjukvårdsdatalagen. I stället ska patientens samtycke till själva hälso- och sjukvårdsinsatserna utgöra grunden för vilka uppgifter hos andra vårdgivare som det är tillåtet att ta del av. Om patienten har kommit överens med vård- givaren om en viss hälso- och sjukvårdsinsats, t.ex. ordination av läkemedel mot sömnproblem, ska hälso- och sjukvårdspersonalen även få ta del av den information om patienten som behövs för att med en hög patientsäkerhet kunna fatta bästa möjliga beslut om patientens behandling. Patienten ska därmed fortfarande på en övergripande nivå förfoga över vilka uppgifter som hälso- och sjuk- vårdspersonalen får ta del av. Eftersom hälso- och sjukvårdspersonalen endast får ta del av de uppgifter som behövs för att de ska kunna utföra sitt arbete, kommer patientens självbestämmande alltjämt att vara grunden för vad som är lagligt i fråga om att ta del av uppgifter hos andra vårdgivare. Yrkesutövaren får bara ta del av de uppgifter som behövs för att kunna ge den vård som patienten vill ha. Förslaget innebär alltså ingen förändrad eller ökad rätt för hälso- och sjukvårdspersonal att ta del av de aktuella uppgifterna.

En konsekvens av detta förslag är att det blir möjligt att ta del av uppgifter genom sammanhållen journalföring även i samband med vård och behandling av en person som har nedsatt beslutsförmåga. Om hälso- och sjukvårdspersonalen anser att en viss vårdinsats kan ges trots att patienten inte kan uttrycka sitt samtycke till vården, får personalen också ta del av de uppgifter som behövs för att den aktuella vården ska kunna ges på ett patientsäkert sätt och med hög kvalitet.

34

SOU 2014:23

Sammanfattning

Vidare föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.

Nya former för informationsutbyte inom socialtjänsten

Även när det gäller informationshanteringen inom socialtjänsten finns anledning att göra den mer ändamålsenlig genom att låta informationen följa individen i stället för organisationsgränserna.

Utredningen anser att socialtjänsten behöver ha legala förutsätt- ningar för en ändamålsenlig samverkan i den individinriktade verk- samheten. Olika utförare som sida vid sida arbetar tillsammans för att ge den enskilde insatser av god kvalitet kan behöva utbyta uppgifter på ett effektivt och säkert sätt. De olika utförarna av socialtjänst behöver en mer sömlös informationshantering som ser till att uppgifter finns tillgängliga när de behövs, där de behövs utan omotiverad tidsfördröjning. Inte minst för att tillgodose individens behov av kontinuitet kan tillgång till rätt information i rätt tid vara avgörande.

Utredningen föreslår därför att det i en kommun som väljer att organisera socialtjänsten i flera olika nämnder och kommunalägda bolag ska vara tillåtet att utbyta personuppgifter mellan nämnderna och bolagen genom direktåtkomst. De kommuner som i dag har organiserat socialtjänsten i en och samma nämnd, har redan stora möjligheter till ett sådant ändamålsenligt och effektivt informations- utbyte som förslaget om direktåtkomst syftar till att möjliggöra för alla kommuner. Även denna fråga handlar om att öka förutsätt- ningarna för en jämlik socialtjänst av hög kvalitet för alla, oavsett hur myndighetsstrukturen i de olika kommunerna ser ut.

För att ytterligare förbättra möjligheterna till ändamålsenliga arbetssätt inom socialtjänsten föreslår utredningen att det under vissa förutsättningar även ska vara tillåtet med direktåtkomst mellan olika utförare av socialtjänst oavsett om de är kommunala eller privata. Denna form av direktåtkomst ska endast omfatta det informations- utbyte som behövs i samband med genomförandefasen i social- tjänsten, exempelvis när den enskilde får insatser genomförda av två eller flera utförare. Med hänsyn till behovet av självbestämmande och skydd för den personliga integriteten ska den enskildes samtycke krävas för informationsutbytet.

35

Sammanfattning

SOU 2014:23

Med våra förslag får alla kommuner – oavsett hur myndighets- strukturen ser ut och oavsett i vilken mån privata utförare av social- tjänst anlitas – samma möjlighet att arrangera informations- hanteringen inom socialtjänsten på ett sätt som ser till att individens behov av rättssäkerhet och god kvalitet tillgodoses. Vidare kan informationshanteringen bli mer kostnadseffektiv eftersom uppgifter, under vissa förutsättningar, får utbytas på ett sätt som minskar de administrativa insatserna som exempelvis sekretessprövningar och utlämnanden på medium för automatiserad behandling ger upphov till. Direktåtkomst innebär även att behovet av dubbeldokumentation, d.v.s. att samma uppgift behöver dokumenteras flera gånger på flera ställen, minskar.

Genom utredningens förslag får socialtjänsten motsvarande möjligheter att hantera och utbyta information som hälso- och sjukvården har haft sedan 2008.

Direktåtkomst mellan hälso- och sjukvård och socialtjänst och gemensam vård- och omsorgsjournal

Många individer har idag behov av insatser både från hälso- och sjuk- vården och socialtjänsten. Inte minst för äldre personer, personer med funktionshinder, personer med missbruks- eller beroendeproblematik eller personer med psykisk ohälsa krävs ofta en omfattande samverkan över organisatoriska och professionella gränser för att den enskilde individen ska få sina behov av hälso- och sjukvård och socialtjänst tillgodosedda. Det har även under en längre tid införts nya rättsliga krav på samverkan mellan huvudmännen i dessa frågor. För att sådan samverkan ska fungera och leda till bättre resultat för den enskilde måste det finnas rättsliga förutsättningar som medger en ömsesidig tillgång till relevant information över vårdgivargränser, utförargränser och huvudmannagränser.

En utgångspunkt för utredningen är att regelverket om informationshantering ska ge verksamheterna möjlighet att arbeta integrerat fullt ut för att så långt som möjligt kunna använda den gemensamma kompetensen för att ge god och säker vård och omsorg till den enskilde. Organisationsgränser och olika regelverk bör så lite som möjligt hindra det informationsutbyte som behövs i detta syfte. Där är vi inte idag.

Trots att det exempelvis i samband med Ädelreformen uttalades att många personer har så sammansatta behov av hälso- och sjuk-

36

SOU 2014:23

Sammanfattning

vård och socialtjänst att det inte går att skilja på vad som är vad, innebär dagens regler för informationshantering att yrkesutövare i vård och omsorg ändå måste ta ställning till dessa svåra gräns- dragningsfrågor och dela upp dokumentation om en och samma individ i två olika delar. Beroende på var uppgifter om den enskilde sedan dokumenteras uppstår risker genom bristande tillgång till relevant information och avsaknad av en samlad bild av individens hälsosituation. Utredningen lägger därför förslag om ett regelverk som i större utsträckning utgår ifrån individen och individens behov istället för organisations- och verksamhetsgränser.

För att tillgodose behoven i en sådan komplex verksamhet som vård och omsorg för personer med behov av både hälso- och sjukvård och socialtjänst, bör regelverket tillhandahålla flera olika möjligheter till en mer effektiv, ändamålsenlig och sammanhållen informationshantering. Därför bör verksamheterna få välja den form av informationshantering som ger de bästa förutsättningarna för att kunna tillgodose enskildas behov av en god och säker vård och omsorg. Utredningen föreslår därför att vårdgivare i hälso- och sjukvården och utförare i socialtjänsten ska kunna välja form för gemensam informationshantering; antingen i form av direkt- åtkomst mellan hälso- och sjukvård och socialtjänst eller i form av en gemensam vård- och omsorgsjournal.

Utredningens förslag innebär att t.ex. ungdomsmottagningar kan välja att använda möjligheten till direktåtkomst mellan hälso- och sjukvård och socialtjänst som ett sätt att utbyta uppgifter mellan de olika aktörer som deltar i insatserna för den unge. Det kan vara en ändamålsenlig form för informationshantering i den verksamheten så att de unga får insatser av god kvalitet. Genom förslaget blir det även möjligt för en primärvårdsläkare att med direktåtkomst ta del av det som dokumenterats om den äldre på ett särskilt boende i form av exempelvis hur den äldre sovit, ätit, druckit och i övrigt mått. Sådant som kan vara helt avgörande vid exempelvis ordination av läkemedel eller utvärdering av redan ordinerade behandlingar.

Andra verksamheter som bedrivs integrerat mellan hälso- och sjukvård och socialtjänst kan ha så stora behov av att dokumentera på ett samlat sätt att en gemensam vård- och omsorgsjournal är ett bättre alternativ än direktåtkomst. Utredningen gör bedömningen att det inte minst i särskilda boenden för äldre kan förenkla och förbättra informationsförsörjningen för de deltagande aktörerna om alla dokumenterar i en gemensam vård- och omsorgsjournal. På så sätt

37

Sammanfattning

SOU 2014:23

skapas bättre förutsättningar för en god och säker verksamhet för de äldre som får sina behov av vård och omsorg tillgodosedda på boendet. Innehållet i en gemensam vård- och omsorgsdokumentation ska motsvara både det som ska dokumenteras i en patientjournal och det som ska noteras i en social journal.

Den enskilde individens tillgång till uppgifter om sig själv och möjligheterna att förfoga över dessa

Utredningens utgångspunkt är att våra förslag ska stimulera en utveckling av fler e-tjänster som på olika sätt kan öka servicen och tillgängligheten gentemot medborgarna samt stärka individens inflytande och delaktighet i hälso- och sjukvården och social- tjänsten. Enligt gällande rätt får en vårdgivare ge en patient direktåtkomst uppgifter om sig själv. Vi föreslår även uttryckliga bestämmelser som ger den som bedriver verksamhet inom social- tjänsten möjlighet att ge individen direktåtkomst till sina person- uppgifter. Individen ska även få medges direktåtkomst till dokumentation om den åtkomst som förekommit (loggar).

Normalt gäller inte sekretess till skydd för en enskild individ i förhållande till individen själv. I hälso- och sjukvården finns dock bestämmelser i offentlighets- och sekretesslagen (2009:400) samt patientsäkerhetslagen (2010:659) som i vissa fall medför att sekretess eller tystnadsplikt kan bedömas föreligga även mot individen själv. Motsvarande sekretessbestämmelse mot individen själv finns inte för uppgifter inom socialtjänsten.

Utredningen anser att bestämmelsen om sekretess mot patienten själv är inte är förenlig med ett tidsenligt förhållande mellan hälso- och sjukvården och patienten. Eventuella risker med att ta bort sekretessen väger förhållandevis lätt jämfört med de vinster det för med sig, såväl vad gäller ökade fundamentala patienträttigheter som möjligheten för patienten att med hjälp av effektiva och säkra e-tjänster kunna ta del av viktig information om sitt hälsotillstånd. Förslaget medför också att dessa möjligheter kommer att vara likvärdiga avseende uppgifter såväl inom hälso- och sjukvården som socialtjänsten. Vi föreslår därför att bestämmelserna om sekretess och tystnadsplikt mot patientens själv tas bort. Förslaget innebär ingen förändring i vilka övriga uppgifter som får lämnas ut till en enskild. Exempelvis kan det, precis som idag, föreligga sekretess för uppgifter om andra personer som nämns i den enskildes patientjournal eller personakt i socialtjänsten.

38

SOU 2014:23

Sammanfattning

Vidare bedömer utredningen att många individer kan ha stor nytta av att ge närstående tillgång till korrekta och aktuella uppgifter som dokumenterats i hälso- och sjukvården och socialtjänsten. Med tillgång till rätt information får närstående bättre förutsättningar att vara ett stöd i frågor om hälso- och sjukvård och socialtjänst samt får ökade möjligheter att bevaka den enskildes intressen. Hälso- och sjukvårdsdatalagen och socialtjänstdatalagen bör innehålla bestämmelser som uttryckligen medger att individen kan förfoga över sin direktåtkomst. Det ska vara möjligt för individen att låta någon annan ta del av korrekta och aktuella uppgifter på ett ändamålsenligt sätt. Det kan exempelvis vara värdefullt när närstående hjälper till att stödja familjemedlemmar eller andra med sådant som har med hälso- och sjukvård att göra. Den närstående kan exempelvis vara behjälplig med individens medicinering och annan egenvård och därmed ha ett behov av att ta del av aktuella uppgifter genom direktåtkomst. Vidare kan det handla om att hjälpa till med att boka tider, förnya recept, följa en remiss eller helt enkelt att bara ta del av och hålla sig uppdaterad om de journalanteckningar som görs om individen.

En informationshantering som stödjer tillgänglighet, säkerhet och skyddet för den personliga integriteten

Förtydligat ansvar för hantering av personuppgifter inom hälso- och sjukvården och socialtjänsten

Utredningen föreslår att socialtjänstdatalagen och hälso- och sjuk- vårdsdatalagen ska innehålla flera bestämmelser om ansvaret för en säker och ändamålsenlig hantering av personuppgifter. Det handlar både om att se till att uppgifter finns tillgängliga och att uppgifter hanteras så att obehöriga, vare sig det är inom eller utom verksam- heten, inte kan komma åt dem. I de respektive lagarna ska finnas flera bestämmelser som uttrycker vad som innefattas i detta ansvar för säker hantering av personuppgifter.

En vårdgivare och den som bedriver verksamhet inom social- tjänsten är ytterst ansvariga för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete. Själva syftet med dokumentationen går förlorad om uppgifterna inte finns tillgängliga där de behövs, exempelvis för att se till att enskildas behov tillgodoses. Därför måste de ansvariga

39

Sammanfattning

SOU 2014:23

vara medvetna om sitt ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.

Mot bakgrund av behovet av ett starkt skydd för den personliga integriteten ska även uttryckas ett ansvar för att uppgifter hanteras och förvaras så att inte obehöriga får tillgång till dem och för att överföring av uppgifter görs på ett säkert sätt så att ingen obehörig kan ta del av dem.

Krav på behörighetsstyrning och åtkomstkontroll

På socialtjänstens område saknas idag, till skillnad mot hälso- och sjukvården, uttryckliga regler om krav på att anpassa yrkesutövarnas behörigheter för elektronisk åtkomst till uppgifter om enskilda efter de behov av uppgifter som yrkesutövaren har för att kunna utföra sitt arbete. Det saknas även uttryckliga bestämmelser om krav på loggning och kontroll av att ingen otillåten åtkomst till uppgifter om enskilda har förekommit. Med hänsyn till behovet av skydd för den personliga integriteten ska det både i socialtjänstdatalagen och i hälso- och sjukvårdsdatalagen finnas tydliga bestämmelser om krav på behörig- hetsstyrning och åtkomstkontroll. Yrkesutövare i hälso- och sjukvården och socialtjänsten ska så långt möjligt ha en behörighet som är begränsad och anpassad till vad som behövs för att en god och säker hälso- och sjukvård eller socialtjänst kan utföras.

Genom utredningens förslag tydliggörs exempelvis att det, även om sekretessen mellan myndigheter i socialtjänsten i samma kommun tas bort, alltid finns ett ansvar för den som bedriver verksamheten att se till att den interna elektroniska tillgången till uppgifter inte är större än den enskilda yrkesutövarens behov.

Yrkesutövarens ansvar – inre sekretess

I socialtjänstdatalagen ska, på motsvarande sätt som redan idag gäller inom hälso- och sjukvården, tydliggöras när en yrkesutövare får ta del av uppgifter om enskilda individer. Den som arbetar inom socialtjänsten får ta del av dokumenterade uppgifter om en enskild endast om han eller hon behöver uppgifterna för sitt arbete inom

40

SOU 2014:23

Sammanfattning

socialtjänsten och uppgifterna ska användas för något av de ändamål som är tillåtna enligt socialtjänstdatalagen, exempelvis för att handlägga ärenden om enskilda. Motsvarande bestämmelse överförs från patientdatalagen till hälso- och sjukvårdsdatalagen.

Skydd för personuppgifter vid samverkan mellan flera personuppgiftsansvariga

I nuvarande regelverk saknas uttryckliga krav som anger hur vård- givare inom hälso- och sjukvården eller utförare i socialtjänsten som samverkar kring behandling av känsliga personuppgifter ska agera tillsammans för att se till att uppgifterna skyddas. Enligt utredningens uppfattning är det viktigt att samverkande aktörer tar ett gemensamt ansvar för informationssäkerheten och skyddet för personuppgifterna, så att inte integritetsförluster uppstår för enskilda.

Mot den bakgrunden föreslås att samverkande aktörer inom hälso- och sjukvård och socialtjänst som medger varandra direkt- åtkomst eller på annat sätt samarbetar vid behandling av person- uppgifter ska göra en risk- och sårbarhetsanalys och komma överens om hur informationssäkerheten och skyddet för person- uppgifterna ska tillgodoses. Av överenskommelsen ska framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhetsåtgärder.

Krav på informationssystemens utformning

I de båda lagarna som föreslås ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, under- lättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. Dessutom ska informations- systemen vara utformade på ett sådant sätt att de enskildas integritets- skydd tillgodoses.

41

Sammanfattning

SOU 2014:23

En informationshantering som bidrar till bättre resultat för individer i behov av hälso- och sjukvård och socialtjänst

Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling inom en huvudmans ansvarsområde i hälso- och sjukvården

Genom vårt förslag om direktåtkomst mellan vårdgivare inom en huvudmans ansvarsområde blir förutsättningarna för informations- hantering i den individinriktade patientverksamheten lika för alla vårdgivare inom detta område, oavsett om vårdgivarens verksamhet drivs i privat eller i offentlig regi. Det blir alltså möjligt hålla ihop informationshanteringen på ett lokalt och regionalt plan, såväl i den individinriktade verksamheten som när det gäller olika över- gripande kvalitets- och förbättringssträvanden i landstinget eller kommunen. Inom det område som patienten oftast söker vård – inom det egna landstinget eller inom den egna kommunen – ska informationen nu kunna följa patienten på ett enkelt och säkert sätt. Utredningen anser att informationen i verksamheterna ska kunna bidra till bättre resultat för alla patienter, oavsett hur hälso- och sjukvården är organiserad.

För att ytterligare förstärka dessa möjligheter föreslår utred- ningen en tystnadspliktsbrytande uppgiftsskyldighet som gör att en privat vårdgivare kan lämna ut de uppgifter till huvudmannen som behövs för att denne ska kunna leva upp till sitt ansvar som huvudman enligt hälso- och sjukvårdslagen (1982:763). Förslaget syftar till att förbättra kommuner och landstings möjligheter att planera, följa upp och kvalitetssäkra den hälso- och sjukvård kommunen eller landstinget har huvudmannaansvaret för. Genom förslaget får kommuner och landsting samma förutsättningar att ta ansvar för hälso- och sjukvården oberoende av om verksamheten drivs av kommunen eller landstinget själv eller av en privat vård- givare med offentlig finansiering. Det blir möjligt att följa upp patientens vårdprocesser oavsett hur vården i landstinget eller kommunen är organiserat. Det ger också förutsättningar för alla huvudmän att planera och erbjuda preventiva insatser på ett jämlikt sätt till alla invånare.

42

SOU 2014:23

Sammanfattning

Viss kvalitetssäkring möjlig i system för sammanhållen journalföring

Enligt nuvarande regelverk får åtkomst till uppgifter i system för sammanhållen journalföring endast användas för ändamålen vård och behandling av patienten samt för att utfärda intyg. En konsekvens av ändamålsbegränsningen är att det inte är tillåtet att ta del av uppgifter hos andra vårdgivare genom direktåtkomst för att exempelvis följa upp och kvalitetssäkra den egna verksamheten. Samtidigt har det blivit tydligt att det kan finnas behov av att ta del av uppgifter i sammanhållen journalföring för att kvalitetssäkra den egna verksamheten. Det handlar inte om behov av att generellt ta del av patientuppgifter hos andra vårdgivare, utan om att ta del av uppgifter om patienter som vårdats både i den egna verksamheten och hos andra vårdgivare. Det är idag vanligt förekommande att flera vårdgivare arbetar tätt tillsammans i vården av samma patienter. För att en vårdgivare i ett sådant samarbete ska kunna följa upp och säkra kvaliteten av sina insatser föreslår utredningen att det ska vara tillåtet att ta del av uppgifter genom direktåtkomst hos andra vårdgivare om uppgifterna behövs för att kvalitetssäkra den vård som patienten har fått.

Förbättrade möjligheter till kvalitetssäkring och kvalitetsutveckling i socialtjänsten

Våra förslag till förbättrade möjligheter till informationsutbyte inom socialtjänsten ger på flera olika sätt bättre möjligheter till kvalitetssäkring och verksamhetsuppföljning inom socialtjänstens område. Förslagen ger ökade möjligheter till ett lokalt kvalitets- arbete exempelvis hos enskilda utförare av socialtjänst, genom att det i socialtjänstdatalagen tydliggörs att enskilda verksamheter får behandla personuppgifter för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten. Detta gäller redan för de offentliga verksamheterna idag och med utredningens förslag får alla som bedriver socialtjänst samma möjligheter.

Dessutom ger flera av utredningens förslag ökade möjligheter till ett mer övergripande kvalitetsarbete hos den ansvariga kommunen. Genom förslaget att ta bort sekretessgränserna mellan olika nämnder på socialtjänstens område i en och samma kommun, ges nya möjligheter för kommunen att göra en mer samlad verksamhetsuppföljning och kvalitetssäkring. Förslaget innebär att

43

Sammanfattning

SOU 2014:23

alla kommuner, oavsett hur de valt att organisera sin myndighets- struktur inom socialtjänsten, får samma legala möjligheter att följa upp, säkra och utveckla kvaliteten i den socialtjänst invånarna erbjuds.

Vidare föreslår utredningen att en kommun, som i egenskap av huvudman ansvarar för socialtjänsten, ska ha samma möjligheter att följa upp kvaliteten i socialtjänsten oavsett om den enskildes insatser utförs av en privat eller av en offentlig utförare. För att möjliggöra detta föreslås en tystnadspliktsbrytande uppgifts- skyldighet för enskilda verksamheter på socialtjänstens område att lämna ut de uppgifter som den ansvariga kommunen behöver. Förslaget innebär ingen inskränkning i den enskilda verksamhetens eget ansvar för det systematiska kvalitetsarbetet, men gör det möjligt för kommunen att genomföra en samlad uppföljning av all socialtjänstverksamhet som kommunen ansvarar för gentemot dess invånare.

I praktiken innebär våra förslag även förutsättningar för att implementera system för kvalitetssäkring och uppföljning som gör det möjligt att följa upp och jämföra socialtjänstens verksamhet i olika delar av landet.

Förbättrad möjlighet att använda nationella kvalitetsregister för att kvalitetssäkra den hälso- och sjukvård som ges av flera vårdgivare

Många patienter får idag sitt behov av hälso- och sjukvård tillgodosett av flera olika vårdgivare. Det är inte ovanligt exempelvis att en patient med cancer vårdas växelvis på ett sjukhus i det egna landstinget och växelvis på ett universitetssjukhus i ett annat landsting. Även den hälso-och sjukvård som riktar sig till äldre, personer med missbruks- och beroendeproblematik och till personer med psykisk ohälsa är ett typexempel på processer som går över vårdgivargränser.

Det är viktigt att lagstiftningen tillhandahåller goda möjligheter för vårdgivare att ta ansvar för och kvalitetssäkra den hälso- och sjukvård som patienter får i dessa situationer. Patienter ska inte riskera att få en osäkrare vård eller vård av lägre kvalitet bara för att flera olika vårdgivare är iblandade i patientens process. Utredningen föreslår därför förbättrade möjligheter att använda nationella eller regionala kvalitetsregister för att kvalitetssäkra den hälso-och sjukvård som patienten erbjuds och som utförs av flera vårdgivare. En vårdgivare ska få ha direktåtkomst till sådana uppgifter om en patient som vård-

44

SOU 2014:23

Sammanfattning

givaren själv registrerat i ett kvalitetsregister och till uppgifter om samma patient som andra vårdgivare registrerat i samma register.

Säkra läkemedelsförskrivningar och tillgång till varningsinformation

Läkemedelsbehandlingar är förenade med stora risker. För den enskilde patienten kan fel läkemedel eller en olämplig kombination av läkemedel föra med sig allvarliga konsekvenser för hälsa och livskvalitet. Det behov av vård som orsakas av felaktigt använda läkemedel utgör en allt större del av de samlade hälso- och sjuk- vårdskostnaderna. Målet och intentionen med en samlad information om patientens läkemedelsbehandling är att kunna ge honom eller henne en adekvat och anpassad behandling utifrån det tillstånd och det behov av vård som patienten har. Det förutsätter att den som exempelvis ska ordinera ett läkemedel har tillgång till en samlad information om patientens aktuella läkemedelsbehandling.

För patientens liv och hälsa är det även särskilt nödvändigt att den hälso- och sjukvårdspersonal som patienten möter känner till om patienten har sådana överkänsligheter som kan medföra allvarlig fara för patienten om denne utsätts för ämnet som ger överkänsligheten. För en patient som exempelvis är så överkänslig mot vissa läkemedel att en felaktig läkemedelsordination kan leda till bestående eller allvarliga men eller till patientens död, är hälso- och sjukvårdspersonalens tillgång till sådan varningsinformation helt nödvändig.

Utredningen föreslår därför att uppgifter om ordinerade läkemedel och uppgifter som ger en varning om att patienten har visat intolerans eller har en överkänslighet som innebär allvarlig fara för patientens liv eller hälsa, alltid ska få finnas tekniskt åtkomliga för en vårdgivare så att uppgifterna kan nås i de situationer det behövs för patientens vård. En patient kan därmed inte motsätta sig att sådan information finns tekniskt åtkomlig. Förslaget innebär ingen ökad rätt för hälso- och sjukvårdspersonal att ta del av uppgifter, utan endast att uppgifterna får finnas åtkomliga så att det är möjligt att ta del av dem när det behövs för patientens vård. Genom förslaget blir förutsättningarna för yrkes- utövares åtkomst i journalsystemens läkemedelslistor även i stort överensstämmande med vad som gäller för åtkomst till mot- svarande uppgifter i receptregistret och läkemedelsförteckningen.

45

Sammanfattning

SOU 2014:23

En informationshantering som ger förutsättningar för forskning och kliniska prövningar

Utredningen föreslår en möjlighet till direktåtkomst för källdata- granskning (monitorering) vid forskning inom hälso- och sjukvården. Sådant utlämnande får endast göras avseende patienter som har samtyckt till deltagande i forskningsstudien och till den person- uppgiftsbehandling som görs inom ramen för studien, samt till utlämnandet av uppgifter för källdatagranskningen. Denna form av direktåtkomst är integritetsvänlig eftersom monitoreringen kan bedrivas utan att uppgifterna sprids utanför vårdgivarens organisation. Informationshanteringen kan bli säkrare, effektivare och genomföras med hjälp av moderna tekniska lösningar.

Utredningen föreslår även att det av hälso- och sjukvårds- datalagens ändamålsbestämmelse uttryckligen ska framgå att personuppgiftsbehandling för att antalsberäkna möjliga deltagare i forskning inom hälso- och sjukvården är tillåtet. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i en forskningsstudie, om studien är godkänd av regional eller central etikprövningsnämnd. Förslaget innefattar även ett krav på vårdgivare att ta fram närmare riktlinjer som beskriver hur den här personuppgiftsbehandlingen ska gå till. Det bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet att antalsberäkna och identifiera personer inför kliniska prövningar.

En informationshantering som stödjer yrkesutövare inom hälso- och sjukvård och socialtjänst i deras arbete

Kunskap, kompetens, ledning och styrning

Utredningen har uppfattat att det såväl inom hälso- och sjukvården som socialtjänsten finns ett behov av ökad kunskap och kompetens när det gäller förutsättningarna för att hantera och utbyta information. Det finns såväl en osäkerhet om vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som finns och är tillåtna enligt lagstiftningen.

Det finns därför behov av en mer aktiv och målmedveten ledning och styrning i dessa frågor. Vi bedömer att behovet av kompetensutveckling och kunskapsstyrning på detta område finns

46

SOU 2014:23

Sammanfattning

såväl på den mer verksamhetsnära nivån som på de olika lednings- nivåerna i hälso- och sjukvården och socialtjänsten. Vårdgivare och de som bedriver verksamhet inom socialtjänsten behöver bygga upp strukturer som på olika sätt stödjer ett ändamålsenligt arbets- sätt vad gäller dokumentation och informationshantering. Dessa ansvariga aktörer måste förmedla till medborgarna och till personalen på vilket sätt de vill använda information i verksam- heten, vilka verktyg som ska användas i detta syfte, hur säkerhets- kraven ska uppfyllas och vad verksamheterna vill åstadkomma med informationshanteringen.

Mot denna bakgrund har utredningen i en delredovisning (bilaga 4) beskrivit de möjligheter som befintlig lagstiftning erbjuder för att hantera uppgifter inom och mellan hälso- och sjukvård och socialtjänst. I stället för en traditionell och mer teoretisk genom- gång av gällande lagstiftning har vi valt att utforma delredovis- ningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg

Ändamålsenliga former för informationsutbyte

Utredningen olika förslag för att underlätta ett säkert och ändamålsenligt informationsutbyte vid samverkan inom och mellan hälso- och sjukvård och socialtjänst kommer att ge yrkesutövarna bättre förutsättningar att ge enskilda individer god och säker hälso- och sjukvård och socialtjänst och på det sättet en större trygghet i arbetssituationen. De rättsliga förutsättningarna för samverkan avseende informationshanteringen kommer att bli mer överens- stämmande med de krav på samverkan runt individen som finns i lagstiftningen.

Rätt information på rätt plats i rätt tid

Utredningen har ovan redovisat flera förslag som medför ökade förutsättningar för yrkesverksamma att utföra sitt arbete på ett sätt som ger bästa möjliga resultat för individer i behov av hälso- och sjukvård eller socialtjänst. Utöver det kan även nämnas att hälso-

47

Sammanfattning

SOU 2014:23

och sjukvårdsdatalagen och socialtjänstdatalagen föreslås innehålla bestämmelser om vad som gäller för yrkesutövarnas åtkomst till uppgifter om enskilda. Det ska bland annat vara tydligt att vård- givaren och den som bedriver verksamhet inom socialtjänsten ansvarar för att anpassa och begränsa behörigheten för åtkomst till vad som behövs för att den som arbetar i hälso- och sjukvården eller socialtjänsten ska kunna fullgöra sina arbetsuppgifter. Genom en välutvecklad behörighetsstyrning kan en yrkesutövare snabbt och säkert få tillgång till den information som behövs för att fatta bästa möjliga beslut kring en individ, utan att samtidigt exponeras för uppgifter som är oväsentliga i sammanhanget.

Utredningen föreslår även att det i de båda lagarna ska uttryckas ett ansvar för den som bedriver verksamheten att se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer arbetet, underlättar arbetet med att utveckla verksamhetens kvalitet och underlättar samverkan och utbyte av uppgifter. För att medborgare ska få en god och säker hälso- och sjukvård och socialtjänst krävs att de som ansvarar för verksam- heten även tar ett tydligt ansvar för att se till att yrkesutövarna i praktiken får de verktyg och förutsättningar för informations- hantering som behövs för att de mål som gäller för verksamheten ska kunna uppnås.

Ett tydligare ansvar för patientjournalen och dess innehåll

Det ska framgå av hälso- och sjukvårdsdatalagen att vårdgivaren har det yttersta ansvaret för patientjournalen. Vårdgivaren ansvarar för att journaler förs i verksamheten, för deras innehåll och för att de hanteras och förvaras i enlighet med lag. Vårdgivarens ansvar omfattar att uppgifter används på ett sådant sätt att de bidrar till en god och säker vård.

De bestämmelser som reglerar journalföring och hantering av personuppgifter i hälso- och sjukvården syftar till att journalerna ska kunna användas som ett tillförlitligt arbetsredskap i vården Det är därför nödvändigt att rätt uppgifter och korrekta uppgifter finns i journalen och att dessa uppgifter inte förvanskas eller utplånas annat än med stöd av särskilda bestämmelser.

Den som för journal ansvarar idag för sina uppgifter och att de är korrekta, oavsett om en administrativ kvittens (signering) är synlig eller inte. Utredningen föreslår att signeringskravet, som det

48

SOU 2014:23

Sammanfattning

är utformat i dag, ska tas bort. Av lagen ska följa att den som för patientjournal ansvarar för sina uppgifter och ska kontrollera att uppgifterna är korrekta. Denna kontroll ska antingen göras i direkt anslutning till att yrkesutövaren själv för in sin anteckning eller i samband med genomläsning av vad t.ex. en läkarsekreterare fört in. Detta innebär att vårdgivaren får ta ansvar för om det behövs någon synlig kvittering av att genomläsningen gjorts. Vårdgivaren kan ställa krav på sådan signering av vissa anteckningar om det är motiverat med hänsyn till verksamhetens krav på patientsäkerhet.

Vårdgivaren ska ha tydliga rutiner för hur ansvaret för uppgifternas riktighet ska upprätthållas i verksamheten. Det är nödvändigt för informationsöverföringen inom och mellan verk- samheter och vårdgivare att det finns tillit till att dokumentationen är korrekt och användbar. Vårt förslag innebär att såväl vårdgivaren som yrkesutövaren även fortsättningsvis har ett ansvar för att uppgifterna i en patientjournal är korrekta.

49

1 Vårt uppdrag och arbete

1.1Vårt uppdrag

Regeringen beslutade den 15 december 2011 (dir. 2011:111, bilaga 1) att tillsätta en särskild utredare för att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten.

Utgångspunkter för uppdraget ska bland annat vara att efter en avvägning mellan verksamheternas behov av information och skyddet för den enskildes personliga integritet kartlägga vilken typ av information som bedöms vara nödvändig att behandla genom till exempel utlämnande genom direktåtkomst. I uppdraget ingår att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I uppdraget ingår även att peka ut vilka hinder för en sådan informationshantering som finns i dag och i förekommande falla i vilka lagar dessa hinder finns. Med utgångspunkt från kartläggningen och de identifierade förutsätt- ningarna och hindren ska utredaren föreslå sådana lagstiftnings- åtgärder som medger att behörig personal och beslutsfattare inom hälso- och sjukvården och socialtjänsten får ha tillgång till nödvändiga uppgifter för den aktuella behandlingen inom eller över både organisatoriska och nationella gränser.

I utredningens uppdrag ingår bland annat att utreda hur person- uppgiftsansvaret ska regleras i framtiden och då även person- uppgiftsansvaret för känsliga personuppgifter som den enskilde själv rapporterar in. Utredningen ska också analyser vilka hinder som finns för vårdgivare i Sverige att på elektronisk väg lämna ut personuppgifter till andra länder. Utredningen ska även se över om det är lämpligt att införa regler i patientdatalagen (2008:355) beträffande personer som saknar förmåga att motsätta sig eller samtycka till nödvändig behandling av personuppgifter. I upp-

51

Vårt uppdrag och arbete

SOU 2014:23

draget ingår även att undersöka om det är lämpligt att införa sekretessbrytande bestämmelser i socialtjänsten motsvarande de som redan gäller i hälso- och sjukvården.

Vidare ska utredningen föreslå hur ändamålen för behandling av personuppgifter i läkemedelsregistret kan anpassa till ändamål som gäller för övriga hälsodataregister. Slutligen ska utredningen överväga om det bör införas en möjlighet för vårdgivare att ansöka om journal- förstöring och, om det behövs lämna förslag till sådan reglering. Utredaren har även möjlighet att ta upp frågor som inte nämns i direktivet men som denne anser behöver analyseras eller regleras för att uppdraget ska kunna fullgöras på ett tillfredställande sätt.

Utredaren fick även som deluppdrag att analysera förutsätt- ningarna för att på internet eller genom elektronisk direktåtkomst öka tillgängligheten till vissa personuppgifter i Socialstyrelsens register över hälso- och sjukvårdspersonal (HOSP-registret).

I tilläggsdirektiv den 29 mars 2012 (dir. 2012:23, bilaga 2) beslutade regeringen att klargöra och delvis förändra gränsdragningen mellan utredningen och Utredningen om stärkt ställning för patienten genom nu patientlagstiftning (S 2011:03, dir. 2001:25)och att förlänga tiden för överlämnande av delbetänkandet avseende utredningsfrågorna om register över hälso- och sjukvårdspersonal (HOSP-registret) till den 31 maj 2012.

Utredningen överlämnade delbetänkandet Bättre behörighets- kontroll (SOU 2012:42) den 31 maj 2012.

I tilläggsdirektiv den 2 maj 2013 (dir. 2013:43, bilaga 3) beslutade regeringen att förkorta tiden för den del av uppdraget som handlar om att utreda om det är lämpligt att införa regler i patientdatalagen beträffande personer som saknar förmåga att motsäga sig eller samtycka till nödvändig behandling av person- uppgifter så att de trots denna oförmåga kan ingå i sammanhållen journalföring m.m. Denna del av uppdraget skulle redovisas i ett delbetänkande senast den 5 juni 2013. I den del som av uppdraget som handlar om att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten skulle utred- ningen i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger för att praktiskt kunna utbyta uppgifter där så anses nödvändigt. Delredovisningen skulle lämnas till regeringen senast den 31 december 2013. För huvuddelen av uppdraget förlängdes utredningstiden att redovisas senast den 30 april 2014.

52

SOU 2014:23

Vårt uppdrag och arbete

Utredningen överlämnade i delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) den 5 juni 2013.

Den 31 december 2013 överlämnade utredningen en delredo- visning om vilka möjligheter som gällande rätt ger för att kunna hantera och utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.

1.2Utredningens arbete

Utredningen har antagit namnet Utredningen om rätt information i vård och omsorg (S 2011:13).

Det övergripande uppdraget är enligt direktivet att utreda och lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Utredningen har på olika sätt inhämtat kunskap och fått del av erfarenheter om de frågor som behandlas i utredningens arbete. Arbetet har bedrivits öppet och utåtriktat och har fort- löpande kommunicerats med berörda statliga myndigheter, kommuner, landsting, Sveriges Kommuner och Landsting, privata utförare och organisationer.

Utredningen har genomfört ett flertal möten och studiebesök i landsting och kommuner. Studiebesök har även gjorts hos privata vårdgivare, privata utförare av socialtjänst och hos olika organisationer.

Utredningen har haft möten och dialoger med Data- inspektionen, Socialstyrelsen, Sveriges Kommuner och Landsting och Inspektionen för vård och omsorg. Samtal har ägt rum med eHälsomyndigheten (f.d. Apotekens Service Aktiebolag) kring utvecklingen av det personliga hälsokontot, Hälsa för mig.

Utredningen har även haft ett stort antal möten med företrädare för olika organisationer, vårdgivare och huvudmän. Kontakter har även tagits med vård- och omsorgsproducenter och enskilda patientorganisationer, yrkesföreningar, fackliga organisationer, patient- och brukarorganisationer och arbetsgivare- och intresse- organisationer. Flera olika typer av referensgruppsmöten har arrangerats på initiativ av utredningen.

Utredningen har även aktivt deltagit och hållit föredrag vid ett stort antal konferenser och seminarier såsom bland annat Almedalen, Normkonferansen (Norge), Senior i Centrum, Vitalis, konferensen

53

Vårt uppdrag och arbete

SOU 2014:23

för Nationell Ehälsa, Datainspektionens konferens om patient- datalagen, konferensen Dagar om Lagar, Sveriges Kommuner och Landstings konferens Barnen och lagen, Nationella rådslaget om aktiv hälsostyrning, Nationella Kvalitetsregisterkonferensen, Stockholms läns landstings seminarium om informationssäkerhet och seminarier arrangerade av Svenska Läkaresällskapet.

Utredningen har vid en studieresa till USA tagit del av erfarenheter från hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare.

Utredningens arbete har bedrivits med den övergripande målsätt- ningen att skapa förutsättningar för en informationshantering som bidrar till bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst. I detta har vi inriktat arbetet på att

•särskilt beakta vad som krävs för att äldre personer, personer med missbruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker vård och omsorg,

•se över hur behandlingen av personuppgifter regleras inom hälso- och sjukvården och föreslå författningsändringar för att möjliggöra en välfungerande och sammanhållen reglering,

•se över hur behandlingen av personuppgifter regleras inom socialtjänsten och föreslå författningsändringar för att möjlig- göra en välfungerande och sammanhållen reglering, och

•möjliggöra ett utökat utbyte av personuppgifter mellan social- tjänsten och hälso- och sjukvården.

1.2.1Sakkunnig- och expertgrupp

Utöver utredningens sekretariat har en expertgrupp deltagit i utredningsarbetet. I februari 2012 tillsatts en expertgrupp med representanter från berörda departement, myndigheter och organisationer. Till gruppen förordnades sakkunniga från Social- departementet, Justitiedepartementet och Utbildningsdepartementet. Därutöver förordnades experter från Sveriges Kommuner och Landsting (SKL), Socialstyrelsen, Inspektionen för vård och omsorg, Datainspektionen, Statens Medicinsk-Etiska Råd (SMER), Famna, Karolinska Universitetssjukhuset, Vårdföretagarna, Norrköpings kommun, Landstinget i Jämtland, Norrbottens läns landsting.

54

SOU 2014:23

Vårt uppdrag och arbete

Expertgruppen har träffats för sammanträden vid 10 tillfällen under utredningens arbete. Under utredningstiden har även två tvådagars internatsammanträde hållits.

1.2.2Samråd med statliga utredningar

Utredningen har under arbetets gång haft dialog med ett stor antal statliga utredningar, bland annat följande.

•Statistikutredningen 2012 (Fi 2011:05).

•Informationshanteringsutredningen (Ju 2011:11).

•Statens vård- och omsorgsutredning (S 2011:01).

•Läkemedels- och apoteksutredningen (S 2011:07).

•Patientmaktsutredningen (S 2011:03).

•Utredningen om beslutsoförmögna personers ställning i hälso- och sjukvård, socialtjänst och forskning (S 2012:06).

•Utredningen om en kommunallag för framtiden (Fi 2012:07).

•Utredningen om tillgänglig och säker information i hälso- och sjukvård och socialtjänst (E-hälsokommittén) (S 2013:17).

•Utredningen om framtida valfrihetssystem inom socialtjänsten (S 2012:08).

• Utredningen om nationell samordning av kliniska studier (U 2013:04).

•E-delegationen (N Fi 2009:01).

•Utredningen en nationell samordnare för effektivare resurs- utnyttjande inom hälso- och sjukvården (S 2013:14).

1.2.3Metodstöd m.m.

I utredningsuppdraget har vi sett behov av en tankemodell för hur man kan göra avvägningar mellan de olika etiska värden som representeras av patientintegritet och patientsäkerhet. Prioriteringscentrum vid Linköpings universitet har fått i uppdrag att ta fram en sådan modell, vilken presenteras i rapporten Att prioritera mellan olika värden – En modell för avvägningar mellan

55

Vårt uppdrag och arbete

SOU 2014:23

patientintegritet, patientsäkerhet och andra etiska värde inom hälso- och sjukvården (Prioriteringscentrums rapportserie 2013:4) Arbetet har genomförts av professor Lars Sandman i dialog med företrädare för utredningen, medarbetare inom Prioriterings- centrum samt den expertgrupp kring behörighet, spärr och logg inom ramen för patientdatalagen som finns i Västra Götalands- regionen.

1.2.4Delbetänkandet Bättre behörighetskontroll

Den 21 maj 2012 överlämnade utredningen delbetänkandet Bättre behörighetskontroll (SOU 2012:42).

Legitimation för yrke inom hälso- och sjukvården är förbehållen sådana yrkesgrupper som har kvalificerade arbetsuppgifter och ett särskilt ansvar för patienternas säkerhet i vården. Socialstyrelsen är ansvarig för ett register (HOSP-registret) över dessa yrkesutövare.

Flera olika intressenter frågar efter uppgifter ur registret. Det grundläggande syftet med att hämta in uppgifter om hälso- och sjukvårdspersonalens behörighet är gemensamt; att på olika sätt trygga patientens säkerhet.

Utredningen lämnade i betänkandet olika förslag för att möjlig- göra direktåtkomst till uppgifter registret för allmänheten, vård- givare, Apotekens Service AB (i dag eHälsomyndigheten) och Transportstyrelsen.

1.2.5Delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga

Den 5 juni 2013 överlämnade utredningen delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45).

Dagens regelverk om informationshantering i hälso- och sjukvården medför att personer som inte själv kan ta ställning till frågor om informationsutbyte riskerar att få vård på osäkrare villkor och av lägre kvalitet än personer som har förmåga att ta ställning i dessa frågor.

Utredningen lämnade i betänkandet förslag till ändringar i patientdatalagen för att göra det möjligt för vuxna med nedsatt

56

SOU 2014:23

Vårt uppdrag och arbete

beslutsförmåga att dra nytta av fördelarna med sammanhållen journalföring.

Utredningen föreslog att vårdgivare ska få göra uppgifterna tillgängliga i system för sammanhållen journalföring även om en patient inte endast tillfälligt saknar förmåga att förstå information om sammanhållen journalföring och ta ställning till person- uppgiftsbehandlingen. Av respekt för den enskildes rätt till självbestämmande och integritetsskydd får detta endast göras under förutsättning att det inte är uppenbart att patienten skulle ha motsatt sig sådan personuppgiftsbehandling. Om det för vård- givaren finns omständigheter som pekar på att den enskilde uppenbarligen hade motsatt sig sammanhållen journalföring ska ett tillgängliggörande av uppgifter inte vara tillåtet. Sådana omständlig- heter kan exempelvis handla om att närstående lämnar välgrundad information om saken, exempelvis i samband med vårdplanering, inflyttning på särskilt boende eller inför planerad hälso- och sjukvård m.m. För hälso- och sjukvårdspersonalen handlar det således om att agera utifrån vad som är känt om den enskildes inställning och personalens bedömning av vad som är bäst för patienten.

Utredningen föreslog vidare att vårdgivare ska få en möjlighet att i enskilda situationer när patienten är i behov av vård ta del av vårddokumentation, t.ex. uppgifter om vilka läkemedel patienten har, som en annan vårdgivare gjort tillgängliga i system för sammanhållen journalföring, även om patienten inte endast tillfälligt saknar förmåga lämna samtycke till personuppgifts- hanteringen. Av hänsyn till behovet av skydd för den personliga integriteten får personuppgiftsbehandlingen endast genomföras under förutsättning att uppgifterna kan antas ha betydelse för den vård och behandling som är nödvändig med hänsyn till patientens hälsotillstånd. Det handlar således om sådan informationshantering som behövs för att patienten i enskilda fall ska få bästa möjliga vård och omhändertagande.

När det gäller deltagande i nationella och regionala kvalitets- register föreslog utredningen att det ska vara tillåtet för vårdgivare att behandla personuppgifter i ett nationellt eller regionalt kvalitetsregister även om den enskilde inte endast tillfälligt saknar förmåga att ta ställning till den information som lämnas om registreringen. Av hänsyn till behovet av skydd för den personliga integriteten bör sådan personuppgiftsbehandling endast få göras under förutsättning att den enskildes inställning till person-

57

Vårt uppdrag och arbete

SOU 2014:23

uppgiftsbehandlingen så långt möjligt klarlagts och att det inte är uppenbart att den enskilde skulle ha motsatt sig sådan person- uppgiftsbehandling. Precis som när det gäller sammanhållen journalföring är patientens närstående en viktig informationskälla när personalen ska försöka utreda vilken inställning patienten kan tänkas ha i frågan. Om det med ledning av vad som går att ta reda på om den enskildes inställning framstår som uppenbart att patienten hade motsatt sig, får personuppgiftsbehandlingen inte genomföras.

Förslaget gör det möjligt att använda personuppgifter avseende en person som har nedsatt beslutsförmåga i kvalitetsregister i syfte att förbättra kvaliteten i vården, både för den enskilde patienten själv och för andra med liknande sjukdomar eller skador. Genom förslaget tillhandahålls därmed lika goda förutsättningar att förbättra vården, omhändertagandet och livskvaliteten för personer med nedsatt beslutsförmåga och deras närstående, som det finns för personer som kan ge uttryck för sin inställning i dessa frågor.

1.2.6Delredovisningen enligt direktiv 2013:43 – Stöd vid tillämpningen av gällande rätt

Den 31 december 2013 överlämnande utredningen en delredovis- ning som beskriver de möjligheter som befintlig lagstiftning ger för att kunna utbyta uppgifter inom och mellan hälso- och sjukvård och socialtjänst.1 Delredovisningen återfinns i bilaga 4.

Utredningen valde att ta fram ett praktiskt användbart verktyg i form av frågor och svar. Syftet med materialet är att ge stöd till den verksamhetsnära nivån i hälso- och sjukvården och socialtjänsten. Materialet speglar utredningen bedömning av gällande rätt den 31/12 2013.

Delredovisningen består av en omfattande powerpoint- presentation med omkring 80 frågor och svar om informations- hanteringen inom och mellan hälso- och sjukvården och social- tjänsten samt tre promemorior. De tre promemoriorna behandlar studerandes möjligheter att ta del av och använda patientuppgifter, möjligheten att använda patientuppgifter för att följa upp, säkra och utveckla resultatet för patienterna i hälso- och sjukvården och möjligheten att ta del av andra vårdgivares uppgifter i system för sammanhållen journalföring. Promemoriorna förklarar mer utför-

1 Delredovisningen återges i bilaga 4 till detta betänkande

58

SOU 2014:23

Vårt uppdrag och arbete

ligt vad som gäller för användningen av personuppgifter inom dessa områden än vad som är möjligt att inom ramen för en powerpoint- presentationen.

Materialet med frågor och svar är fritt för var och en att använda och anpassa efter de behov och förutsättningar som finns i den egna verksamheten. Utredningen betraktar därför denna del av delredovisningen som ett råmaterial som kan förädlas och vidare- utvecklas för att på ett ändamålsenligt sätt användas i samband med utbildning av personal, vid framtagandet av IT-stöd och när verk- samhetsnära riktlinjer för informationshanteringen utformas m.m. Materialet finns att hämta på http://www.sou.gov.se/sb/d/18347.

Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.

1.3Betänkandets disposition

Utredningens uppdrag består av tre huvuddelar; informations- hanteringen inom hälso- och sjukvården, informationshanteringen inom socialtjänsten och informationshanteringen mellan hälso- och sjukvården och socialtjänsten. Utredningen har valt att låta betänkandets disposition ge uttryck för uppdragets olika delar.

I kapitel 4–17 redogör utredningen för utgångspunkter, över- väganden och förslag rörande hälso- och sjukvårdens informations- hantering. I kapitel 18–30 behandlar utredningen motsvarande frågor inom socialtjänstens område. Informationshanteringen rörande personer som har behov av både hälso- och sjukvård och socialtjänst avhandlas i kapitel 31 och 32. I kapitel 33 återfinns utredningens utgångspunkter, överväganden och förslag med avseende på hälso- och sjukvårdens och socialtjänstens ökade elektroniska kommunikation med medborgare. I kapitel 34–37 samlas överväganden och förslag rörande ett antal övriga frågor; internationellt informationsutbyte, patientrapporterade mått, Datainspektionens befogenheter och Socialstyrelsens läkemedels- register.

Utredningens författningsförslag redovisas i kapitel 38. Frågor om ikraftträdande och konsekvenser av utredningens förslag återfinns i kapitel 39 och 40. I kapitel 41 återfinns författnings- kommentaren.

59

2Rätt information på rätt plats i rätt tid – några utgångspunkter

2.1Inledning

Den hälso- och sjukvård och socialtjänst som utförs av landsting, kommuner och privata utförare kräver ett tätt och fortlöpande samarbete både i frågor som rör enskilda individer och i frågor som rör planering, kvalitetssäkring, förebyggande hälsoarbete m.m. För att individer ska få säkra insatser av hög kvalitet behöver behörig personal ha tillgång till rätt uppgifter på rätt plats i rätt tid, över organisatoriska och andra gränser. Samtidigt har utmaningarna för att åstadkomma detta blivit än större i takt med en ökad mångfald av aktörer, en ökad valfrihet för de enskilda, en ökad subspecialisering och en ökad rörlighet hos dem som söker hälso- och sjukvård och socialtjänst. Utredningen har även vid möten med patient- och anhörigföreningar samt vid genomgångar av tillsynsrapporter kunnat konstatera att den information som behövs för att en individ ska få en god vård och omsorg inte alltid finns tillhands.

Utredningens övergripande uppdrag har varit att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten samt vilka hinder mot en sådan informationshantering som finns i dag. Den uttalade målsättningen har varit att skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer som är i behov av hälso- och sjukvård eller socialtjänst.

61

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

2.2Individen och individens behov i centrum

Utredningen har i arbetet med att ta fram förslag för att skapa bättre förutsättningar för en ändamålsenlig informationshantering inom och mellan hälso- och sjukvård och socialtjänst särskilt beaktat vad som krävs för att äldre personer, personer med miss- bruk eller beroenden, personer med psykisk sjukdom och funktionsnedsättning samt barn ska få en god och säker hälso- och sjukvård och socialtjänst.

I detta arbete har vår utgångspunkt varit att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personal- kategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar, exempelvis tvärprofessionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner och personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.

Om individen och hans eller hennes behov lyfts fram blir det uppenbart att informationshanteringen bör vara anpassad till hur det konkreta arbetet för att tillgodose behoven ser ut. I dag utgår de regler som gäller för hantering och utbyte av information från hur hälso- och sjukvården är organiserad i stället från hur informationen behöver vara tillgänglig för att erbjuda säkra insatser till individen.

Vi har försökt att lyfta blicken och så långt möjligt bortse från de organisatoriska aspekterna och i stället ställa oss frågan: hur skulle en sådan verksamhet bäst byggas upp om den inte behövde ta hänsyn till befintliga organisationsgränser eller befintlig lag- stiftning om informationshantering? Under hela utredningens arbete har vi i samtal med utredningens experter och sakkunniga samt i möten med myndigheter och olika organisationer återvänt till denna frågeställning. För oss har det handlat om att försöka skapa en kreativitet som inte är begränsad av de hinder som uppställs i dag, utan som är inspirerad av den möjlighet som utredningen har fått att försöka skapa förutsättningar för en informationshantering som bidrar till ännu bättre resultat för individer i hälso- och sjukvård och socialtjänst.

62

SOU 2014:23

Rätt information på rätt plats i rätt tid – några utgångspunkter

Om vi, för att endast ta ett exempel, tänker oss att vi skulle starta en verksamhet för äldre personer med omfattande behov av hälso- och sjukvård och socialtjänst, hur skulle den på bästa sätt utformas för att skapa förutsättningar för ett samarbete mellan olika kompetenser för att ge goda insatser till individen? Vi är inte övertygade om att vi skulle sträva efter att bygga upp en verk- samhet med inbyggda sekretessgränser och olika hinder för utbyte av information mellan olika personalgrupper eller med olika hinder för att utbyta information med hjälp av modern teknik eller hinder genom krav på att information ska dokumenteras på olika ställen. I stället ser vi framför oss en verksamhet där all personal har goda förutsättningarna att ge den äldre personen de allra bästa insatserna. Det förutsätter att både dokumenterandet och utbytet av information mellan de som arbetar i verksamheten fungerar på ett ändamålsenligt sätt. Det måste vara tillåtet att ge information och ta emot information om den enskilde individen och hans eller hennes behov och vilka insatser som planeras och har genomförts. För att informationsutbytet ska kunna göras på ett snabbt, säkert och enkelt sätt behöver de som samarbetar kring den enskilde kunna använda modern informationsteknik.

Utredningen har med hjälp av denna ideala verksamhet som målbild försökt hitta lösningar som utgår från individens behov i stället från hur hälso- och sjukvården och socialtjänsten är organiserad i dag. Det handlar om att stödja en utveckling som ser till att rätt information finns på rätt plats i rätt tid.

Många faktorer måste samspela

Utredningen inser att många olika faktorer behöver samspela för att det ska vara möjligt att utveckla en informationshantering som bidrar till att skapa ännu bättre resultat för individer i hälso- och sjukvården och socialtjänsten. Förutom att lagstiftningen behöver stimulera en önskad utveckling finns även behov av att nödvändiga faktorer som ledning och styrning, professionskulturer, arbetssätt, IT-utveckling, informatik m.m. drar åt samma håll. Det vilar därmed ett stort ansvar på hälso- och sjukvårdens och social- tjänstens aktörer att tillsammans vidta åtgärder och arbeta tillsammans över organisatoriska och professionella gränser för att i praktiken kunna ta tillvara lagstiftningens intentioner.

63

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

2.3Informationshantering som en integrerad del i verksamheten

Enligt utredningens erfarenheter finns i dagsläget inte alltid överensstämmelse mellan förutsättningarna för att ge hälso- och sjukvård eller socialtjänst och förutsättningarna för att hantera den information om individer som behövs för att vården eller insatserna ska kunna ges på bästa möjliga sätt. I våra möten med företrädare för olika verksamheter och med personal inom hälso-och sjuk- vården och socialtjänsten framkommer inte sällan att man upplever att regelverket för informationshantering inte stimulerar det faktiska arbetet.

Utredningen har i olika sammanhang försökt analysera detta. Problembilden är komplex och det finns utmaningar i flera olika dimensioner. En utmaning handlar sannolikt om det rättsliga regel- verkets utformning. Det finns därför skäl att överväga hur regel- verket kan utformas så att frågor om yrkesutövningen i hälso- och sjukvården och socialtjänsten vad gäller ställningstagandet till vård eller andra insatser, går hand i hand med ställningstaganden till informationshantering.

2.4Informationshantering rörande personer med nedsatt beslutsförmåga

Personer med nedsatt beslutsförmåga behöver enligt utredningens uppfattning särskild uppmärksamhet från lagstiftarens sida. Begreppen integritet och självbestämmande är centrala både i hälso- och sjukvårdslagstiftningen och i socialtjänstlagstiftningen. Det grundläggande kravet är att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. De båda begreppen kompletterar varandra – från livets början till livets slut. Däremot kan förmågan att vara självbestämmande skifta under en människas liv, och den kan skifta från individ till individ. Personer som har förmåga att vara självbestämmande kan också bestämma över och försvara sin integritet. Om förmågan till självbestämmande sviktar är det nödvändigt att andra människor blir det skydd som bevarar och försvarar, upprättar och återupprättar integriteten.

Såväl vård- och behandlingsinsatser och insatser inom social- tjänsten liksom en stor del av informationshanteringen i dessa verksamheter förutsätter att den enskilde själv kan ta ställning och

64

SOU 2014:23

Rätt information på rätt plats i rätt tid – några utgångspunkter

ge uttryck för sin vilja i olika avseenden. Men personal inom hälso- och sjukvården och socialtjänsten möter varje dag personer som av en eller annan anledning tillfälligt eller mer varaktigt saknar möjlighet att ge uttryck för sin vilja att exempelvis få en viss vård- och behandlingsinsats eller hemtjänstinsats. En sådan person har ofta även nedsatt förmåga ta emot information och lämna samtycke till den informationshantering som sådana insatser ibland förut- sätter.

Utredningen utgångspunkt är att en individ som av en eller annan anledning saknar möjlighet att samtycka till eller motsätta sig en viss informationshantering ska inte, varken nu eller i framtiden, få sämre insatser eller insatser på osäkrare villkor än andra individer.

Vi anser de förutsättningar som gäller för att kunna genomföra insatser i hälso- och sjukvården och socialtjänsten måste överens- stämma med de som gäller för att hantera den information som behövs i en sådan situation. I situationer där det exempelvis är möjligt att ge vård till någon som inte kan samtycka till åtgärden, måste lagstiftningen även göra det möjligt för den som ska ge vården att ta del av den information som behövs för en god och säker vård.

Det handlar om nödvändiga förutsättningar för individens säkerhet och om personalens möjlighet att göra gott och undvika skada. Samtidigt måste både insatserna och informations- hanteringen utföras med respekt för den enskildes självbestäm- mande och integritet.

2.5Den tekniska utvecklingen ger nya möjligheter

Informationshanteringen i vård- och omsorgssektorn handlar i dag om så mycket mer än att yrkesutövare ska dokumentera sina bedömningar, ställningstaganden, åtgärder och beslut kring enskilda individer och att någon annan yrkesutövare i ett senare skede ska ta del av dessa för eventuellt vidare utredning och beslut.

Enligt utredningens uppfattning har vi gått från en tid när det många gånger har handlat om att dokumentera uppgifter om enskilda, till en tid när det i större utsträckning även handlar om hur uppgifter som har dokumenterats kan användas för att skapa bästa möjliga resultat för individen och för andra i liknande situationer. De tekniska landvinningarna har bland annat medfört

65

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

att det i dag är möjligt att göra sådant som tidigare var omöjligt eller som åtminstone i praktiken var alltför resurskrävande för att kunna genomföras.

Det kan handla om att med teknikens hjälp, på systemnivå, hantera information om enskilda individer tillsammans med inbyggda kunskapskällor för att få bättre stöd för beslut i mötet med patienter i hälso- och sjukvården eller individer i social- tjänsten. I stället för en manuell eller elektronisk hantering som förutsätter att en fysisk person tar del av all tillgänglig information för att försöka göra korrekta bedömningar, t.ex. avseende en patients risk att drabbas av en viss sjukdom, finns i dag möjligheter att utföra ett sådant arbete på systemnivå så att yrkesutövaren endast får del av själva resultatet och de rekommendationer som föranleds av det. Med hjälp av tillgänglig information om patienter, deras sjukdomshistoria, riskfaktorer och aktuella behandlings- riktlinjer m.m. kan tekniken bidra till att förebygga ohälsa. En effektiv informationshantering kan göra att sjukdomar upptäcks tidigare och kan behandlas snabbare.

Sammantaget kan konstateras att informationshanteringen i hälso- och sjukvården och socialtjänsten, med hjälp av den tekniska utvecklingen, kan ha en stor betydelse såväl för kvaliteten och säkerheten i den vård och omsorg enskilda individer erbjuds, som för möjligheterna att arbeta preventivt och förebygga ohälsa och låg livskvalitet. Samtidigt är nya möjligheter ofta förknippande med nya risker, exempelvis i form av otillräckligt skydd för den personliga integriteten. Det behöver därför göras en ständig avvägning mellan den nytta som en åtgärd syftar till att åstad- komma och de olika risker som en sådan åtgärd kan föra med sig.

2.6Bättre resultat för individen – en balansgång mellan kvalitet, säkerhet och personlig integritet

En effektiv informationshantering i syfte att skapa bästa möjliga resultat för de individer som har behov av hälso- och sjukvård eller socialtjänst ger även upphov till frågor om hur en sådan informationshantering förhåller sig till andra värden. Inte sällan uppstår ett behov av att finna en balans mellan sådant som kvalitet, säkerhet och skydd för den personliga integriteten.

Inte minst har relationen mellan patientsäkerhet och personlig integritet varit under debatt och diskussion. Alltsedan patientdata-

66

SOU 2014:23

Rätt information på rätt plats i rätt tid – några utgångspunkter

lagen trädde ikraft har det i den allmänna debatten höjts röster för att integritetsskyddet tillmäts en sådan stor betydelse att patient- säkerheten riskerar att hotas. Ibland har patientsäkerhet och integritetsskydd även framställts som varandras motsatser.

Enligt utredningens uppfattning är står värden som kvalitet och säkerhet inte nödvändigtvis i motsats till skyddet för den personliga integriteten. I själva verket handlar det om ett samspel där ett välbalanserat integritetsskydd är en förutsättning för hög kvalitet och säkerhet. Skyddet för den personliga integriteten är, enligt vårt synsätt, viktigt för att åstadkomma en patientsäker hälso- och sjukvård och en god socialtjänst. Om målet är att skapa en god vård och omsorg, är skyddet för den personliga integriteten ett medel för att nå detta mål. Utredningen bedömer därför att integritetsskyddet hela tiden behöver anpassas för att på bästa sätt skydda dessa andra värden och möjliggöra en utveckling mot en god vård och omsorg.

Relationen kan också beskrivas på ett sådant sätt att hög kvalitet och säkerhet i de flesta fall förutsätter ett gott integritetsskydd, medan ett gott integritetsskydd är fullt möjligt att uppnå i en verk- samhet av låg kvalitet och säkerhet. Det skulle exempelvis innebära en förstärkning av patienternas integritetsskydd att förbjuda hälso- och sjukvården att föra patientjournaler, samtidigt som möjlig- heterna att bedriva en patientsäker verksamhet skulle bli väsentligt sämre eller rent av obefintliga.

Men en fullständig urholkning av integritetsskyddet skulle också ge betydligt sämre förutsättningar att bedriva en patientsäker hälso- och sjukvård eller en god socialtjänst, bland annat eftersom enskilda som inte känner trygghet med hur känsliga uppgifter om dem hanteras skulle kunna välja att undanhålla information för den som ska fatta ett viktigt beslut om den enskildes insatser, vård eller behandling.

Detta innebär att det inte är en fråga om antingen eller, utan snarare om hur integritetsskyddet bör utformas för att ge så goda förutsättningar som möjligt att bedriva en verksamhet av hög kvalitet som ständigt utvecklas och förbättras. Det handlar om att konstruera och upprätthålla ett integritetsskydd som faktiskt bidrar till att skydda och stimulera en god hälso- och sjukvård och socialtjänst. Utredningens förslag i detta betänkande handlar således inte i sak om att stärka integritetsskyddet i vård och omsorg. Å andra sidan är det, enligt utredningens perspektiv, inte heller helt ändamålsenligt att tala exempelvis om att patient-

67

Rätt information på rätt plats i rätt tid – några utgångspunkter

SOU 2014:23

säkerheten får företräde framför integritetsskyddet. Förslagen handlar om att öka förutsättningarna att skapa bättre resultat för individer i behov av hälso- och sjukvård eller socialtjänst. I detta ingår integritetsskydd som en viktig beståndsdel. Våra förslag avspeglar därmed den avvägning som vi bedömer är rimlig för att åstadkomma en – för individen – mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. I förslagen inryms utredningens bedömningar av hur integritetsskyddet närmare bör utformas för att på bästa sätt skydda värden som kvalitet och säkerhet.

68

3Kort om regelverket och om ansvaret för tillsynen

3.1God vård och omsorg

3.1.1Målen för hälso- och sjukvården och socialtjänsten

Socialtjänstens och hälso- och sjukvårdens verksamheter har samma målsättning; att stärka människors hälsa i vid bemärkelse. Målet för hälso- och sjukvården är enligt 2 § hälso- och sjukvårdslagen (1982:763), förkortad HSL, en god hälsa och en vård på lika villkor för hela befolkningen. Tandvården har motsvarande mål enligt 2 § tandvårdslagen (1985:125), det vill säga en god tandhälsa och en tandvård på lika villkor för hela befolkningen.

Hälso- och sjukvården ska enligt 2 a § HSL bedrivas så att den uppfyller kraven på en god vård. Detta innebär att den särskilt ska vara av god kvalitet med en god hygienisk standard och tillgodose patientens behov av trygghet, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet, främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen samt tillgodose patientens behov av kontinuitet och säkerhet i vården. Vården och behandlingen ska så långt möjligt utformas och genomföras i samråd med patienten. Olika insatser för patienten ska samordnas på ett ändamålsenligt sätt. Varje patient som vänder sig till hälso- och sjukvården ska, om det inte är uppenbart obehövligt, snarast ges en medicinsk bedömning av sitt hälso- tillstånd.

De övergripande målen och grundläggande värderingarna för socialtjänstens samtliga verksamheter uttrycks i 1 kap. 1 § social- tjänstlagen (2001:453), förkortad SoL. I denna inledande paragraf sägs att samhällets socialtjänst ska främja människors ekonomiska och sociala trygghet, jämlikhet i levnadsvillkor och aktiva deltagande i samhällslivet på demokratins och solidaritetens grund. Vidare ska

69

Kort om regelverket och om ansvaret för tillsynen

SOU 2014:23

socialtjänsten inriktas på att frigöra och utveckla enskildas och gruppers egna resurser, under hänsynstagande till människors ansvar för sin och andras sociala situation. Verksamheten ska bygga på respekt för människors rätt till självbestämmande och integritet.

I lagen (1993:387) om stöd och service till vissa funktions- hindrade, förkortad LSS, ställs krav på att verksamheten ska främja jämlikhet i levnadsvillkor och full delaktighet för de funktions- hindrade som omfattas av lagen. Målet är att den enskilde ska kunna leva som andra.

Dessa övergripande kvalitetskrav på vården och omsorgen specificeras sedan ytterligare i andra författningar som reglerar verksamheterna.

3.1.2Ledningssystem för kvalitet

Verksamheter som bedriver hälso- och sjukvård, tandvård, social- tjänst eller verksamhet enligt LSS är skyldiga att systematisk och fortlöpande arbeta med att göra sina verksamheter bättre och säkrare. I hälso- och sjukvårdslagen, tandvårdslagen, socialtjänst- lagen och lagen om stöd och service till vissa funktionshindrade finns likalydande bestämmelser som anger att kvaliteten i verksam- heten systematiskt och fortlöpande ska utvecklas och säkras.

I 3 kap. 1 § patientsäkerhetslagen (2010:650), förkortad PSL, finns bestämmelser som uttrycker att vårdgivaren ska planera, leda och kontrollera verksamheten på så sätt att kravet på god vård i hälso- och sjukvårdslagen och tandvårdslagen upprätthålls. Vårdgivaren är alltså ytterst ansvarig för att verksamheten drivs på ett säkert sätt och med hög kvalitet. Enligt 1 kap. 3 § PSL är vårdgivare:

•statlig myndighet, landsting eller kommun som bedriver hälso- och sjukvård i egenregi

•annan juridisk person än staten, landsting eller kommun som bedriver hälso- och sjukvård, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av ett eller flera landsting eller kommuner

•enskild näringsidkare som bedriver hälso- och sjukvård.

Varje sådan vårdgivare ska ha ett ledningssystem för den hälso- och sjukvårdsverksamhet som denne bedriver. Vårdgivaren ska även

70

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

enligt 2 kap. 1 § Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården säkerställa att det i ledningssystemet finns en dokumenterad informationssäkerhetspolicy.

Enligt definitionen i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete är den som bedriver socialtjänst:

•socialnämnd eller motsvarande kommunal nämnd, i fråga om sådan socialtjänst som kommunen bedriver i egen regi

•Statens institutionsstyrelse, då den myndigheten bedriver socialtjänst

•annan juridisk person än staten eller kommun som bedriver socialtjänst, till exempel aktiebolag eller stiftelser. Detta omfattar även juridiska personer som ägs av en eller flera kommuner, och

•enskild näringsidkare som bedriver socialtjänst.

Alla som bedriver socialtjänst ska ha ett ledningssystem för sin verksamhet. Det gäller både vid myndighetsutövning till exempel ärendehandläggning och vid genomförandet av vård eller insatser. Motsvarande skyldighet har vårdgivare och den som bedriver verksamhet enligt LSS.

Socialstyrelsens föreskrifter och allmänna råd om lednings- system för systematiskt kvalitetsarbete är gemensamma för hälso- och sjukvård, tandvård, socialtjänst och verksamhet enligt LSS. Tanken är att gemensamma reglera ska underlätta för verksamheter som bedriver både hälso- och sjukvård och socialtjänst eller verksamhet enligt LSS att ta fram av ändamålsenliga och verksam- hetsanpassade ledningssystem.

Ledningssystemet ska användas för att systematiskt och fort- löpande utveckla och säkra verksamhetens kvalitet. Den som bedriver verksamheten ska med stöd av ledningssystemet planera, leda, kontrollera, följa upp, utvärdera och förbättra verksamheten.

Det är alltid vårdgivaren eller den som bedriver socialtjänst eller verksamhet enligt LSS som har ansvaret för att det finns ett ledningssystem.

71

Kort om regelverket och om ansvaret för tillsynen

SOU 2014:23

Socialstyrelsen har gett ut ett meddelandeblad1 och en handbok2 till stöd i arbetet med att ta fram ett ledningssystem för kvalitet.

3.2Informationshantering och personuppgiftsbehandling

3.2.1Informationshantering för en god vård och omsorg

För att den enskilde individen ska kunna erbjudas god vård och omsorg måste de ansvariga verksamheterna dokumentera och i övrigt hantera information om individen och hans eller hennes behov och om de insatser som planeras och genomförs. Även resultaten för individen måste dokumenteras och följas upp. För att verksamheten ska kunna utveckla sin kvalitet behöver resultaten också följas upp på verksamhetsnivå.

När en person får insatser inom vård och omsorg är dokumentationen en integrerad del av genomförandet. Vård- och omsorgspersonal tar del av nödvändiga uppgifter om individen innan mötet med honom eller henne samt även under och efter arbetets genomförande. Uppgifter kan behöva dokumenteras och på olika sätt användas under hela detta förlopp. I bästa fall kan informationssystemet fungera som beslutsstöd direkt arbets- situationen. Det är därför naturligt att se de konkreta insatserna för en individ inom vård och omsorg och den informationshantering som hör ihop med dessa, som beståndsdelar av samma insats. Verksamhetsfrågor och frågor om informationshantering hör ihop. De är tillsammans nödvändiga för att tillgodose den enskildes behov.

Generellt kan sägas att informationshanteringen i vård och omsorg har gått från en tid när ett stort fokus låg på att uppgifter om enskilda dokumenterades, till en tid när mer och mer uppmärksamhet även riktas på hur dokumenterade uppgifter kan användas för att skapa bästa möjliga resultat för enskilda individer och för nästkommande i liknande situationer. Den elektroniska utvecklingen har gett hälso- och sjukvården och socialtjänsten möjligheter att bedriva en bättre, säkrare och mer effektiv verksamhet än vad som tidigare var möjligt.

1Meddelandeblad nr 11/2011, Information om Socialstyrelsens nya föreskrifter och allmänna råd om ledningssystem för systematiskt kvalitetsarbete (SOSFS 2011:9).

2Ledningssystem för systematiskt kvalitetsarbete, Handbok för tillämpningen av före- skrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete.

72

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

En ändamålsenlig informationshantering bidrar därmed inte endast till att upprätthålla verksamhetens kvalitet och säkerhet, utan även till att kvaliteten och säkerheten kontinuerligt utvecklas.

Informationshantering i hälso- och sjukvården

Förutsättningarna för hälso- och sjukvårdens informations- hantering regleras i ett antal olika regelverk. På en övergripande nivå har lagstiftning som offentlighets- och sekretesslagen (2009:400), förkortad OSL, arkivlagen (1990:782) och tryckfrihets- förordningen (1949:105) betydelse.

När vård- och omsorgspersonal dokumenterar, tar del av eller följer upp resultat m.m. innefattar det även behandling av person- uppgifter. För hälso- och sjukvårdens personuppgiftsbehandling finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare, oavsett huvudman, och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informations- hanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Lagen innehåller även bestämmelser om patientjournaler och om nationella och regionala kvalitetsregister. Kompletterande bestämmelser finns i patientdataförordningen (2008:360) och i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informations- hantering och journalföring i hälso- och sjukvården. Socialstyrelsen har även gett ut en handbok till stöd för tillämpningen av före- skrifterna. 3 Därtill gäller personuppgiftslagen (1998:204) utöver bestämmelserna i patientdatalagen.

Även i samband med förskrivning och uttag av läkemedel hanteras personuppgifter. I lagen (1996:1156) om receptregister anges att E-hälsomyndigheten med hjälp av automatiserad behandling får föra ett register över förskrivningar av läkemedel och andra varor för människor (receptregister). Lagen är tillämplig på den behandling av personuppgifter som E-hälsomyndigheten gör i samband med utlämnande av uppgifter om förskrivningar. I lagen finns även bestämmelser bland annat om att uppgifter från receptregistret får lämnas till Socialstyrelsens läkemedelsregister som reglerar i förordningen (2005:363) om läkemedelsregister. I

3 Handboken – Ett stöd för vårdgivare, verksamhetschefer, medicinskt ansvariga sjuk- sköterskor och hälso- och sjukvårdspersonal som ska tillämpa Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

73

Kort om regelverket och om ansvaret för tillsynen SOU 2014:23

förordningen (2009:625) om receptregister finns närmare bestämmelser.

Läkemedelsförteckningen innehåller uppgifter om samtliga läkemedel som patienter hämtat ut på apotek under de senaste 15 månaderna. Registret talar om ifall patienten har hämtat ut det läkemedel som en ordinatör har ordinerat och dokumenterat i patient- journalen. Det är eHälsomyndigheten som är personuppgiftsansvarig för läkemedelsförteckningen och behandlingen av personuppgifter regleras av lagen (2005:258) om läkemedelsförteckning.

Informationshantering i socialtjänsten

Den rättsliga regleringen för informationshantering i socialtjänsten är inte är lika omfattande som den för hälso- och sjukvården. Exempelvis regleras inte dokumentationsfrågorna särskilt utförligt i socialtjänsten, medan det för hälso- och sjukvårdens del finns en lång tradition av detaljerade författningsbestämmelser kring journalföringens innehåll m.m. De regler som styr handläggning och dokumentation i social- tjänsten återfinns framför allt i förvaltningslagen (1986:223), socialtjänstlagen och de särskilda lagarna med särskilda bestämmelser vid vård av unga (1990:52), förkortad LVU, om vård av missbrukare (1988:870) i vissa fall, förkortad LVM, samt om stöd och service till vissa funktionshindrade. Därutöver har lagstiftning som offentlighets- och sekretesslagen, arkivlagen och tryckfrihetsförordningen även betydelse för socialtjänstens informationshantering.

Socialstyrelsen har utfärdat föreskrifter och allmänna råd (SOSFS 2006:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt SoL, LVU, LVM och LSS. Det finns även en handbok som syftar till att underlätta tillämpningen av det regelverk som gäller för handläggning av ärenden och dokumentation av socialtjänstens insatser för enskilda.4

Socialtjänstens hantering av personuppgifter regleras av person- uppgiftslagen och av närmare bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten (SoLPUL) och förordningen (2001:637) om behandling av personuppgifter i socialtjänsten (SoLPULF).

4 Handläggning och dokumentation inom socialtjänsten (Socialstyrelsen).

74

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

3.3Tystnadsplikt och sekretess

Såväl hälso- och sjukvårdspersonal som personal i verksamheter inom socialtjänsten och LSS kommer i kontakt med uppgifter om enskilda personer. För att var och en med tillit och trygghet ska kunna vända sig till vården och omsorgen måste uppgifter om enskilda skyddas mot obehörig åtkomst.

Offentlighets- och sekretesslagen, innehåller bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Lagen innehåller inskränkningar i den offentlighetsprincip som regleras i tryckfrihetsförordningen Sekretess inom den offentliga vården regleras alltså i offentlighets- och sekretesslagen.

Enligt 25 kap. 1 § OSL gäller sekretess inom hälso- och sjuk- vården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. Regler om tystnadsplikt för hälso- och sjukvårdspersonalen inom den enskilda (privata) hälso- och sjukvården finns i 6 kap. PSL.

I patientdatalagen finns bestämmelser om hur den som arbetar i vården får använda sin åtkomst till personuppgifter i informations- systemen. Den som arbetar åt en vårdgivare får enligt 4 kap. 1 § PDL endast ta del av dokumenterade personuppgifter om han eller hon deltar i vården av en patient eller av annat skäl behöver uppgifterna i sitt arbete inom hälso- och sjukvården.

Inom socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men (26 kap. 1 § första stycket OSL). Bestämmelser som reglerar sekretessen i privat drivna verksamheter finns i 15 kap. SoL.

I verksamhet enligt SoL samt LSS ska handlingar som rör enskildas personliga förhållanden enligt 11 kap. 5 § andra stycket SoL samt 21 a § LSS förvaras så att obehöriga inte får tillgång till dem.

Det skydd som personuppgifter har av reglerna om sekretess och tystnadsplikt kan den enskilde själv förfoga över genom att ge tillstånd till att skyddade uppgifter ändå får lämnas ut (12 kap. 2 § OSL).

Det finns bestämmelser om självbestämmande och integritet för den enskilde individen i socialtjänsten (inklusive verksamhet enligt LSS) och hälso- och sjukvården. I dessa framgår att vården och

75

Kort om regelverket och om ansvaret för tillsynen

SOU 2014:23

omsorgen ska bygga på respekt för individens självbestämmande och integritet. Det innebär i korthet att man behöver en persons samtycke för att utföra åtgärder, till exempel om man behöver samverka kring en individ. Bestämmelserna gäller helt oberoende av sekretess, men de påverkar möjligheten att lämna ut uppgifter om den enskilde individen. Det gäller såväl inom som mellan myndigheter. Bestämmelserna finns i 2 a § HSL, 1 kap. 1 § tredje stycket SoL samt 6 § LSS. Om samverkan över sekretessgränser behövs kan det vara lämpligt att, i samband med inhämtandet av samtycke till den åtgärden, samtidigt inhämta det samtycke som i många fall behövs för att kunna lämna ut sekretessbelagda uppgifter över sekretess- eller tystnadspliktsgränser. Bestämmel- serna gäller även för verksamhet i privat regi, det vill säga för privata vårdgivare och enskilda verksamheter.

I hälso- och sjukvården gäller att om en enskild på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut hindrar inte sekretess att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvård till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område (25 kap. 13 § OSL). Motsvarande sekretessbrytande bestämmelse finns inte för socialtjänsten.

3.4Tillsyn av vård och omsorg

Från den 1 juni 2013 har Inspektionen för vård och omsorg (IVO) tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt LSS. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter.

Säker vård och omsorg omfattar även säker hantering av person- uppgifter. För att en säker verksamhet ska kunna bedrivas måste uppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården och socialtjänsten förutsätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och den enskilde.

76

SOU 2014:23

Kort om regelverket och om ansvaret för tillsynen

I förordningen (2013:176) med instruktion för Inspektionen för vård och omsorg beskrivs myndighetens tillsynsansvar. Bestämmel- ser om IVO:s tillsyn finns också i patientsäkerhetslagen, social- tjänstlagen och i lagen om stöd och service till vissa funktions- hindrade.

Datainspektionen ska verka för att skydda människors personliga integritet vid behandling av personuppgifter. Datainspektion utövar i detta syfte tillsyn över personuppgiftsbehandlingen inom vård och omsorg. Bestämmelser om Datainspektionens tillsyn finns i förord- ningen (2007:975) med instruktion för Datainspektionen och i PUL.

Såväl IVO som Datainspektionen har alltså tillsyn över informationshanteringen inom vård och omsorg och ska samverka i dessa tillsynsfrågor.5

Läkemedelsverket har tillsyn inom bland annat området läke- medel och medicintekniska produkter. I förordning (2007:1205) med instruktion för Läkemedelsverket beskrivs tillsynsuppdraget. Enligt förordningen (1993:876) om medicintekniska produkter har Läkemedelsverket tillsyn över att lagen (1993:584) om medicin- tekniska produkter följs. I tillämpningsområdet för Socialstyrelsens föreskrifter (SOSFS 2008:1) om användning av medicintekniska produkter i hälso- och sjukvården ingår informationssystem som är anslutna till medicintekniska produkter.

Arbetsmiljöverket har tillsyn över att vårdgivare och att de som bedriver socialtjänst och verksamhet enligt LSS följer arbetsmiljö- lagen (1977:1160). I arbetsmiljölagen finns regler om skyldigheter för arbetsgivare och andra skyddsansvariga om att förebygga ohälsa och olycksfall i arbetet.

Det är alltså åtminstone fyra olika myndigheter som bedriver tillsyn av de verksamheter som är ansvariga för god vård och omsorg. Det förutsätts i förvaltningslagen (1986:223) att myndig- heter ska samverka med varandra.

5 Prop. 2007/08:126 s. 216.

77

4En hälso- och sjukvård i utveckling

4.1Inledning

Behovet av informationsutbyte kring individen är i dag störst på det lokala planet, i hemkommunen och inom det egna landstinget. De verksamheter som bedriver sjukvård behöver alla ha tillgång till rätt information om patienterna, för att kunna ge bästa möjliga vård i varje situation. Huvudmannen som har ansvar för befolk- ningen i området och finansierar verksamheterna, oavsett om de sedan drivs i offentlig eller i privat regi, behöver ha tillgång till rätt uppgifter för att kunna planera behovet av insatser, men även för att kvalitetssäkra verksamheten och dess olika processer alldeles oavsett om individens resa har passerat offentliga och privata aktörer.

Det övergripande uppdraget är enligt utredningsdirektivet att utreda och lämna förslag till en mer sammanhållen och ändamåls- enlig informationshantering inom och mellan hälso- och sjuk- vården och socialtjänsten.

I direktivet anför regeringen att en enskild som rör sig inom och mellan hälso- och sjukvården och socialtjänsten möter allt fler vårdgivare, utförare inom socialtjänsten etc., både nationellt och internationellt. Med nuvarande lagstiftning innebär fler aktörer fler gränser mellan aktörer, vilket kan skapa juridiska och andra hinder för tillgång till personuppgifter.

Vidare anförs att den enskilde inte ska riskera att få mindre säkra insatser av lägre kvalitet inom hälso- och sjukvården och socialtjänsten för att en eller flera personalkategorier som utför insatserna inte har åtkomst till rätt information vid rätt tillfälle. Rätt information i rätt tid för rätt användare är en nyckel till personalens möjligheter att göra ett bra arbete för den enskilde. Bra samverkande verksamheter kan ge fördelar som exempelvis tvär-

79

En hälso- och sjukvård i utveckling

SOU 2014:23

professionella team sammansatta utifrån individens behov, tätt samarbete mellan övriga stödfunktioner, personal dygnet runt m.m. Detta kräver ett regelverk med individen och individens behov i centrum.

4.1.1Riksrevisionens rapport

Under 2011 presenterade Riksrevisionen sin rapport Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan?1. I rapporten granskas de statliga insatserna som gjorts för att vårdpersonal ska ha tillgång till all relevant patientinformation vid rätt tillfälle. Riksrevisionen anför i granskningen bl.a. att vårdens organisering har kommit att bli avgörande för informationsutbytet:

Regeringen har som ambition att öka andelen privata aktörer inom vård och omsorg. Med flera aktörer blir det allt viktigare att säkerställa ett effektivt utbyte av information över organisationsgränserna. Det har i granskningen framkommit att val av organisation får konsekvenser för hanteringen av patientinformation. Granskningen visar att det i ett landsting med få vårdgivare är enklare att få tillgång till patientinformation då patientdatalagen ställer hårdare krav vid informationsutbyte mellan olika vårdgivare än inom en vårdgivare.

Mot den bakgrunden rekommenderade Riksrevisionen regeringen att analysera de konsekvenser som det ökade antalet privata vård- givare får för målet att behörig personal ska ha rätt information vid rätt tillfälle och överväga om det behövs någon ytterligare författ- ningsreglering.

4.2Hälso- och sjukvårdens organisation

Med hälso- och sjukvård avses enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador. Begreppet hälso- och sjukvård omfattar således såväl de sjukdomsförebyggande och hälsofrämjande åtgärderna som den egentliga sjukvården. I fråga om tandvård finns särskilda bestämmelser.

Den svenska hälso- och sjukvården karaktäriseras av en stark decentralisering. Staten ansvarar för den övergripande hälso- och sjukvårdspolitiken, men det är de 21 landstingen/regionerna samt

1 RiR 2011:19.

80

SOU 2014:23

En hälso- och sjukvård i utveckling

de drygt 290 kommunerna som tillsammans ansvaret för hälso- och sjukvården i landet. Den svenska modellen innebär att i princip all hälso- och sjukvård som ges i landet är offentligt finansierad antingen av landsting eller av kommuner. Detta gäller alldeles oavsett om det sedan är landstinget, kommunen eller en privat vårdgivare som bedriver själva hälso- och sjukvårdsverksamheten. Den rent privata hälso- och sjukvården, d.v.s. som inte finansieras med offentliga medel, är visserligen något på framväxt men utgör fortfarande en mycket liten del av den totala hälso- och sjukvårds- produktionen.

Målet för hälso- och sjukvården är en god hälsa och en vård på lika villkor för hela befolkningen. Vidare ska vården ges med respekt för alla människors lika värde och för den enskilda människans värdighet (2 § HSL).

4.2.1Landstingens ansvar

Landstingen har enligt hälso- och sjukvårdslagen ett omfattande ansvar och ska på ett övergripande plan erbjuda en god hälso- och sjukvård åt dem som är bosatta inom landstinget samt verka för en god hälsa hos hela befolkningen. Vidare ska de som är bosatta i landstinget erbjudas en vårdgaranti som försäkrar att den enskilde inom viss tid får kontakt med primärvården (tillgänglighets- garanti), besöka läkare inom primärvården (besöksgaranti), besöka den specialiserade vården (besöksgaranti), och planerad vård (behandlingsgaranti).

I landstingens planeringsansvar ingår att planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov av sådan vård. Planeringen ska även avse den hälso- och sjukvård som bedrivs av privata och andra vårdgivare.

Andra grundläggande krav på landstingen är att det ska finnas sjukhus för sådan hälso- och sjukvård som kräver intagning i vård- inrättning, s.k. sluten vård. Annan hälso- och sjukvård benämns öppen vård. Primärvården ska som en del av den öppna vården utan avgränsning vad gäller sjukdomar, ålder eller patientgrupper svara för befolkningens behov av sådan grundläggande medicinsk behandling, omvårdnad, förebyggande arbete och rehabilitering som inte kräver sjukhusens medicinska och tekniska resurser eller annan särskild kompetens. Dessutom ska landstingen, enligt 5 § HSL, organisera primärvården så att alla som är bosatta inom

81

En hälso- och sjukvård i utveckling

SOU 2014:23

landstingen kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt (vårdvalssystem). Sådana vårdvalssystem ska utformas så att alla utförare behandlas lika, om det inte finns skäl för annat. Ersättningen från landstinget till utförare inom ett vårdvalssystem ska följa den enskildes val av utförare.

I Sverige har vi i dag nio regionsjukhus, omkring 20 länssjukhus och 40 länsdelssjukhus. Inom slutenvården finns cirka 20 000 vårdplatser. För primärvården finns drygt 1 000 vårdcentraler.

Landstingens ansvar för läkarinsatser

Landstingen har ett särskilt ansvar för läkarinsatser. Det ställer stora krav på samverkan med kommuner och privata utförare av såväl hälso- och sjukvård som socialtjänst.

Av hälso- och sjukvårdslagen följer att landstingen ska till kommunerna inom landstinget avsätta de läkarresurser som behövs för att invånare som bor i särskilt boende eller deltar i dagverksamhet enligt 3 kap. 6 § socialtjänstlagen (2001:453), förkortad SoL, får en god hälso- och sjukvård. Samma krav på läkarinsatser gäller även för hemsjukvården. Även om kommunen tagit över ansvaret för hälso- och sjukvårdsinsatser för de som bor kvar i hemmet har landstinget ansvar för de läkarinsatser som den enskilde är i behov av.

4.2.2Kommunernas ansvar

Varje kommun ska erbjuda en god hälso- och sjukvård åt de äldre eller funktionshindrade som efter beslut av kommunen bor i särskilt boende. Även i sådan dagverksamhet som avses i 3 kap. 6 § SoL ska kommunen ansvara för hälso- och sjukvård åt dem som vistas i verksamheten.

När det gäller hälso- och sjukvård i hemmet (hemsjukvård) ligger det primära ansvaret på landstingen även om kommunerna i 18 § HSL har fått befogenheter att erbjuda dem som vistas i kommunen hemsjukvård. Landstingen har även möjlighet att, genom en överens- kommelse med en kommun, överlåta skyldigheten att erbjuda hem- sjukvård. I dag har samtliga län utom Stockholm kommunaliserat hemsjukvården. Hemsjukvård är avsedd för personer som behöver långvariga insatser från både hälso- och sjukvården och socialtjänsten.

82

SOU 2014:23

En hälso- och sjukvård i utveckling

Insatser av mera tillfällig karaktär som hälso- och sjukvårdspersonal utför i hemmet har inte räknats som hemsjukvård (prop. 1990/91:14). Enligt statistik från Socialstyrelsen var det i december 2009 168 000 personer som fick hemsjukvård.

Det är dock inte möjligt att inom ramen för en sådan överens- kommelse om hemsjukvården överlåta sådan hälso- och sjukvård som bedrivs av läkare. Det innebär att landstinget, även efter en kommunalisering av hemsjukvården, står för de läkarinsatser som den enskilde behöver. Den kommunala hemsjukvården har då att samarbeta med läkare på vårdcentraler, mottagningar och sjukhus för att den enskilde ska få de insatser som behövs.

En kommun får även sluta avtal med någon annan, exempelvis en privat vårdgivare, om att utföra de uppgifter som kommunen ansvarar för. Kommunen ska planera sin hälso- och sjukvård med utgångspunkt i befolkningens behov. Planeringen ska även avse den hälso- och sjukvård som erbjuds av privata och andra vårdgivare.

4.2.3Privata vårdgivare m.m.

Fram till mitten på 1990-talet var det huvudsakligen landstingen och kommunerna som själva både ansvarade för och utförde hälso- och sjukvården i landet. Även om landsting och kommuner alltjämt ansvarar för hälso- och sjukvården har utvecklingen gjort att det blivit vanligare att landsting och kommuner anlitar privata aktörer som utförare av hälso- och sjukvård. Bland de privata aktörerna finns allt ifrån vinstdrivande bolag till ideella och idéburna aktörer. Det ökade antalet privata vårdgivare återfinns framför allt inom primärvården, men även sjukhus som S:t Görans sjukhus och sjukhuset i Simrishamn drivs av privata aktörer. Även i den kommunala hälso- och sjukvården ökar antalet privata utförare av den sjukvård som exempelvis bedrivs i särskilt boende eller i hem- sjukvården. Det förekommer även att flera olika privata vårdgivare i samverkan, t.ex. inom ramen för en mottagning eller ett mindre sjukhus, erbjuder hälso- och sjukvård.

Fortfarande är det dock landstingen och kommunerna som finansierar verksamheten, men med andra aktörer som utförare. De offentliga aktörerna är som huvudmän och beställare ansvariga för uppföljning och kontroll av de privata vårdgivarnas offentlig- finansierade verksamheter. Utredningen om en ny kommunallag för framtiden anför i SOU 2013:53 att det av bestämmelser i bl.a.

83

En hälso- och sjukvård i utveckling

SOU 2014:23

kommunallagen (1991:900), hälso- och sjukvårdslagen, socialtjänst- lagen och lagen (1993:387) om stöd och service till vissa funktions- hindrade, förkortad LSS, framgår att kommuner och landsting genom avtal får lämna över viss uppgift till privata utförare. När kommuner och landsting lämnar över verksamhet till privata utförare så kvarstår, enligt den utredningen, det kommunala huvudmannaskapet för verksamheten. Det kan indirekt utläsas av 6 kap. 7 § kommunallagen, i vilken det anges att de kommunala nämnderna har ett ansvar att kontrollera att verksamheten bedrivs på ett tillfredsställande sätt, även när en kommunal angelägenhet har lämnats över till någon annan.2 Ansvaret gentemot kommun- medlemmarna ligger alltjämt på kommunen eller landstinget som huvudman även om vissa uppgifter inom den kommunala verksamheten lämnats över till en privat utförare. Kommunen eller landstinget bestämmer om verksamhetens mål, inriktning, omfatt- ning och kvalitet när den utförs av en privat utförare. Den privata utföraren tillhandahåller en kommunal tjänst och kommunen eller landstinget behåller det övergripande ansvaret på samma sätt som när den bedriver verksamhet i egen regi.3 Kostnad och kvalitet för samma vårdinsats för den enskilde ska exempelvis inte skilja sig åt mellan en offentlig och en privat utförare.

Privata vårdgivare med offentlig finansiering grundar sin verksamhet på i huvudsak någon av följande avtalsrelationer med landstinget eller kommunen:

1.vårdval enligt lagen (2008:962) om valfrihetssystem, förkortad LOV,

2.upphandling enligt lagen (2007:1091) om offentlig upphandling, förkortad LOU,

3.ersättningsetablering enligt lagen (1993:1651) om läkarvårds- ersättning, förkortad LOL, och enligt lagen (1993:1652) om ersättning för fysioterapi,

4.direktavtal.

Hälso- och sjukvård kan även bedrivas helt i privat regi utan att något avtal föreligger med landstinget eller kommunen och utan inslag av offentlig finansiering. Denna sektor av hälso- och sjuk- vården är emellertid mycket liten. I dessa fall ansvarar följaktligen

2SOU 2013:45 Privata utförare – Kontroll och insyn s. 99.

3SOU 2013:45 Privata utförare – Kontroll och insyn s. 105.

84

SOU 2014:23

En hälso- och sjukvård i utveckling

inte heller landstinget eller kommunen i egenskap av huvudman för verksamheten.

4.2.4Vårdval och valfrihetssystem

Riksdagen antog 2009 propositionen Vårdval i primärvården4. Detta har inneburit att landstingen och Gotlands kommun senast den 1 januari 2010 skulle ha infört vårdvalssystem som ger patienten rätt att välja mellan olika vårdgivare i primärvården. Alla vårdgivare, som uppfyller de krav landstingen ställer, har rätt att etablera sig i primärvården. Bestämmelserna i lagen om valfrihets- system ska följas när landstingen utformar sina valfrihetssystem.

Landstingen ska således, enligt 5 § HSL, organisera primär- vården så att alla som är bosatta inom landstinget kan välja utförare av hälso- och sjukvårdstjänster samt få tillgång till och välja en fast läkarkontakt. Landstinget får inte begränsa den enskildes val till ett visst geografiskt område inom landstinget.

Hur det övergripande målet för vårdvalet formuleras kan skilja något mellan landstingen. I några betonas befolkningens tillgäng- lighet till vård och mångfald, medan andra framhåller målen att stärka patientens ställning och den nära vården.

I vårdvalsuppdraget framhåller alla landsting hälsofrämjande och sjukdomsförebyggande insatser, ökad tillgänglighet, att invånarnas behov ska vara styrande för verksamheten, att vårdenheten ska medverka till en samordnad eller sammanhållen vårdprocess, och att den vårdenhet som invånaren är listad hos ska vara ett naturligt förstahandsval när invånaren söker hälso- och sjukvård.

I exempelvis Stockholms läns landstings modell Vårdval Stockholm beslutas regler för auktorisering och vårdval av landstingsstyrelsen alternativt hälso- och sjukvårdsnämnden. Mot- tagningar som godkänns får avtal att driva sjukvård inom sitt område. Reglerna för auktorisering är desamma för privat och landstingsdriven verksamhet. Med den auktoriserade mottagningen sluts ett avtal där mottagningen förbinder sig att följa de åtaganden och regler som landstinget ställer. Avtalen gäller tills vidare och kan tidigast sägas upp efter fyra år.

Medan det för landstingen är obligatoriskt att införa valfrihets- system i primärvården är det frivilligt för kommunerna att göra det inom den kommunala hälso- och sjukvården och socialtjänsten.

4 Prop. 2008/09:74, bet. 2008/09:SoU9, rskr. 2008/09:172.

85

En hälso- och sjukvård i utveckling

SOU 2014:23

Samtidigt har många kommuner i dag infört valfrihetssystem inom vård och omsorgssektorn.

4.2.5Ett växande antal privata vårdgivare

Uppskattningsvis finns omkring 10 000 privata vård- och omsorgs- företag i landet i dag. Vid en kartläggning som gjordes av Vård- företagarna 2001 utfördes omkring 5 procent av vårduppdragen av privata företag. Enligt Vårdföretagarna svarar i dag privat vård och omsorg för cirka 12 procent av den totala hälso- och sjukvården. År 2010 drevs omkring 26 procent av primärvården och 14 procent av äldreomsorgen i privat regi.

Variationen i landet, mellan landsting och kommuner, är dock stor. I en del län förekommer endast ett ringa antal privata utförare, medan några län visar upp en stor mångfald aktörer.

Av hälso-och sjukvårdsnämnden i Stockholms läns landstings totala kostnader för köpt hälso- och sjukvård 2011 stod privata vårdgivare för 32 procent av de totala kostnaderna. Fördelningen mellan privat utförd och offentligt utförd hälso- och sjukvård, uppdelad på olika delar av hälso- och sjukvården, ser ut som följer inom SLL år 2011.

1.Somatisk specialistsjukvård, 81 % landsting, 19 % privat.

2.Psykiatri, 80 % landsting, 20 % privat.

3.Primärvård, 40 % landsting, 60 % privat.

4.Geriatrik, 49 % landsting, 51 % privat.

5.Övrig vård, 36 % landsting, 64 % privat.

Ytterligare uppgifter från Stockholms läns landsting gör gällande att det, förutom offentliga vårdleverantörer, finns drygt 3 000 verksamheter som bedriver hälso- och sjukvård i länet.5 Av dessa har 560 leverantörer olika vårdavtal med landstinget, 1 400 erbjuder vård med stöd av nationella taxan samt 1 100 utför tandvård med offentlig finansiering. Vidare visar utvecklingen en tendens i ett ökat antal leverantörer. År 2008 fanns det i länet 453 unika leverantörer som tillsammans hade 1 260 vårdavtal för driften av sina verksamheter. År 2011 hade antalet ökat till 564 leverantörer och 1 695 avtal. Vid en analys av utvecklingen i Stockholm mellan år 2000 och 2010 kan konstateras att de privata vårdgivarnas andel framför allt har ökat

5 Rapporten Vårdmarknad och företagsklimat, 2012, Stockholms läns landsting.

86

SOU 2014:23

En hälso- och sjukvård i utveckling

inom geriatriken, där cirka 50 procent av vården producerades av privata vårdgivare år 2010 jämfört med några få procent tio år tidigare. Även inom primärvården har ökningen varit stor, från omkring 30 procent år 2000 till 60 procent 2010.

Även i Landstinget i Östergötland har antalet privata vårdgivare ökat de senaste åren. Från 2008 till 2012 har antalet privat drivna vårdcentraler med finansiering från landstinget ökat med 50 procent, från sex stycken till nio vårdcentraler. Av landstingets 43 vårdcentraler drivs således drygt 20 procent i privat regi.

Vidare kan uppmärksammas Landstinget i Uppsala län där privata vårdgivare med offentlig finansiering står för omkring 40 procent av vårdutbudet i primärvården.

Socialstyrelsen har haft regeringens uppdrag att följa upp valfrihetssystemen inom primärvård och socialtjänst ur ett patient- och befolkningsperspektiv. I slutrapporten från 2012 framkommer bl.a. följande om den utveckling som har skett6.

Sedan landstingen införde sina respektive vårdvalssystem har 208 vårdcentraler i privat regi etablerats till och med oktober 2011. Under motsvarande tid har antalet vårdcentraler i offentlig regi minskat med 17 stycken. Nettotillskottet uppgår alltså till 191 vårdcentraler, vilket motsvarar omkring 19 procent av det totala antalet.

I de 191 vårdcentralerna ingår även filialer. En filial är en del av eller underavdelning till en vårdcentral och har inga listade patienter, utan dessa är listade hos ”huvudmottagningen”. Filialen bedriver verksamhet med fast adress på annan ort och har i de flesta fall ett mer begränsat utbud av primärvårdstjänster jämfört med huvudmottagningen.

Antalet vårdcentraler som drivs av privata utförare har mer än fördubblats efter vårdvalsreformen 2009. Det har skett dels genom att nya vårdcentraler har etablerats men framför allt genom att vårdcentraler som tidigare drivits i offentlig regi numera drivs i privat regi. Av det totala antalet vårdcentraler drivs nästan hälften av privata utförare. Den största utvecklingen har skett efter 2009. Siffror från Myndigheten för tillväxtpolitiska utvärderingar och analyser visar att antalet vårdcentraler innan vårdvalet infördes var 1 022 och av dem drevs 288 i privat regi. År 2011 finns det 1 213 vårdcentraler i landet och av dem drivs nu 602 i privat regi.

6 Socialstyrelsens rapport Valfrihetssystem ur ett befolknings- och patientperspektiv (2012).

87

En hälso- och sjukvård i utveckling

SOU 2014:23

Privatiseringen av primärvården har därmed gått i en snabb takt mellan 2009 och 2011.

4.2.6Ökad specialisering

Det råder ingen tvekan om att komplexiteten i hälso- och sjuk- vården ökar bland annat i takt med nya medicinska landvinningar och utvecklingen av nya läkemedel och medicintekniska produkter. Människans liv blir allt längre och i takt med tiden ökar före- komsten av kroniska sjukdomar och multisjuka patienter. Dagens hälso- och sjukvård ställer stora krav på samverkan och samarbete för att lösa de utmaningar som står för dörren. Det ställs stora krav på hälso- och sjukvårdens aktörer för att de ska kunna säkra framtidens vård, möta den snabba medicinska utvecklingen, till- godose behovet av hög kompetens på alla områden och samtidigt balansera kostnaderna för verksamheten och utvecklingen.

Detta har bl.a. lett till ökade behov av att koncentrera verk- samheter, eftersom resurser saknas för att med tillräckligt hög kvalitet tillhandahålla samma utbud överallt. Den rådande utveck- lingen i samhället och i hälso- och sjukvården har mot denna bak- grund medfört en ökad specialisering.

4.2.7Vårdval – ökade möjligheter för medborgarna

I och med valfrihetsreformen har samtliga medborgare fått rätten att välja en utförare av hälso- och sjukvårdstjänster. För många innebär det ett val av vårdcentral. Men även personer som bor i ordinärt boende och som samtidigt får hälso- och sjukvårdsinsatser i hemmet omfattas av vårdvalet oavsett om insatserna utförs under kommunens eller landstingets ansvar.

I en vårdgivares skyldigheter ingår i regel ansvar för läkar- insatser till enskilda personer som vårdas inom den kommunala hälso- och sjukvården. Läkarinsatser i särskilda boenden omfattas i de flesta landsting av ett grundåtagande i vårdvalet. Det innebär att den enskilde har rätt att välja vårdgivare även om man bor i särskilt boende.

Medborgarnas ökade valmöjligheter medför en del nya krav på vård- och omsorgsaktörerna. Förutsebarheten och möjligheten att planera och dimensionera olika verksamheter är i dag mer

88

SOU 2014:23

En hälso- och sjukvård i utveckling

komplicerad. Samtidigt som landsting och kommuner behöver ha en flexibilitet för att möta medborgarnas valfrihet måste den övergripande planeringen och nödvändiga stödsystem vara robusta och garantera en högkvalitativ och jämlik vård. Dagens mångfald av utförare gör tillsammans med medborgarnas valmöjligheter att behovet av att systematiskt hålla ihop de system, processer, rutiner etc. som är nödvändiga förutsättningar för en god och säker vård är ännu större än tidigare.

4.2.8Vårdprocesser sträcker sig allt mer över vårdgivargränser

En konsekvens av den ökade specialiseringen och mångfalden av utförare är att det i dag snarare är regel än undantag att patienten möter flera olika vårdgivare under en och samma vårdprocess. Patienten möter olika offentliga och privata utförare som tillsammans har uppdraget att leverera högkvalitativ vård för den enskildes bästa. För ett antal år sedan var situationen annorlunda. Då stod kommuner och landsting för i princip all hälso- och sjukvård som utfördes. Vårdprocesserna gick då typiskt sett inte över vårdgivargränser utan hölls i större utsträckning inom landstingets eller kommunens verksamhet. I takt med privatiseringen har detta dock kommit att förändras. Det är särskilt märkbart inom framför allt primärvården.

I dag kan patienten på sin resa genom vården, t.ex. inom ramen för en remisshantering, passera flera olika privata och offentliga aktörer. Det kan handla om att patienten remitteras från en privat driven vårdcentral för att först utredas på en landstingsdriven mottagning och efter det på en privat driven specialistmottagning för att sedan återvända till den remitterande vårdgivaren. Det kan även förekomma att patienten behöver söka vården akut för samma hälsoproblem och då få hjälp av ytterligare en aktör.

Vårdprocesser är inte heller alltid på förhand definierade på ett sådant sätt att det är möjligt att förutse vilka aktörer som kommer att vara inblandade i patientens vård och behandling. Vid exempelvis misstänkt cancer kan processen se olika ut och inledas utifrån symptom som inte omedelbart förknippas med cancer. Det kan i ett inledande skede vara fråga om en omfattande remisshantering, t.ex. från en primärvårdsmottagning till ett laboratorium, från akut- mottagning till röntgen, från vårdavdelning till MR-undersökning på länssjukhus och vidare till kirurgi, patologi och onkologi.

89

En hälso- och sjukvård i utveckling

SOU 2014:23

När det gäller primärvården pekar exempelvis Socialstyrelsen i sin rapport om Valfrihetssystem ur ett befolknings- och patient- perspektiv (2012) på att det ännu finns få svenska studier som visar hur olika befolkningsgrupper använder sig av de möjligheter ett valfrihetssystem kan ge och på vilka grunder eller kriterier enskilda personer väljer. Av en undersökning som Konkurrensverket låtit göra kring vårdval i primärvården7 framgår att kontinuitet generellt ansågs vara en viktig faktor i vård och omsorg av dem som deltog i undersökningen, men särskilt bland de äldre. Yngre personer lade större vikt vid att snabbt kunna få läkartid för sig eller sina barn. Patientens val och rörlighet kan därmed hänga mycket samman med faktorer som i vilket skede i livet patienten befinner sig, vilka socioekonomiska förutsättningar individen har etc. Vård-och omsorgsproducenterna måste därför kunna leverera en hög- kvalitativ vård och omsorg till individer med olika förutsättningar och som gör olika val för att initiera en vårdprocess.

4.2.9Sammanfattande reflektioner

Gemensamt för många av dagens vårdprocesser är att behoven av både tät samverkan och flexibilitet är stora. Inte sällan framförs risker med att mångfald, vårdvalssystem och vård- och omsorgsprocesser med flertalet aktörer kan medföra att individen får ta ett större eget ansvar för att hålla samman processen i gränssnitten mellan de olika aktörerna. I en alltmer specialiserad vård med en mångfald av utförare ökar behovet att hålla samman informationen i enskilda vård- och omsorgsprocesser. Tillgång till rätt information om patienten är kritiskt i varje del av kedjan, hos varje aktör som möter individen. IT- system måste kunna kommunicera, rutiner och arbetssätt måste vara ändamålsenliga och till viss del gemensamma, samma termer och begrepp måste användas av olika aktörer m.m. Det är avgörande för patientsäkerheten att ha en helhetsbild över patientens hälsoproblem oavsett hur patientens resa genom vård och omsorgssystemet har startat och oavsett vilka aktörer som passeras under resan. Det ligger även ytterst i varje medborgares intresse att vård- och omsorgsproducenterna kan hålla ihop de system, processer, rutiner och den information som krävs för att patienter ska få en god vård och omsorg.

7 Konkurrensverkets rapportserie 2010:3.

90

5Informationshantering inom hälso- och sjukvården

5.1Bakgrund

Informationshanteringen är av fundamental betydelse för hälso- och sjukvården. Grunden utgörs traditionellt sett av patientjournal- föringen, som har avgörande betydelse för kvaliteten och säkerheten i hälso- och sjukvården. Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård för patienten. Patientjournalen är därmed primärt ett arbetsinstrument för hälso- och sjukvårdspersonalen. Samtidigt är journalen även en viktig informationskälla för patienten, t.ex. för att ge patienten större kunskap om sin hälsosituation och för att öka patientens delaktighet i vården. Den har även stor betydelse för möjligheterna till uppföljning och kvalitetssäkring av verksamheten samt för forskningen. Patientjournalen är också ett viktigt underlag vid tillsyn eller i rättsliga sammanhang.

Samtidigt kan konstateras att hälso- och sjukvårdens informations- hantering i dag är så mycket mer än den egentliga patientjournal- föringen. Det handlar inte längre endast om att i efterhand dokumentera bedömningar, ställningstaganden och vidtagna åtgärder kring enskilda patienter. I dag handlar det även mycket om hur hälso- och sjukvården kan använda redan dokumenterade uppgifter om patienter och information exempelvis om de landvinningar som görs inom den medicinska forskningen för att skapa ännu bättre resultat för patienterna.

Informationshanteringen kan därför sägas vara en grundläggande förutsättning för effektiva kunskaps- och beslutsstöd i den patientinriktade verksamheten. Nya tekniska lösningar har medfört att hälso- och sjukvården kan få bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än vad som över huvud taget är möjligt vid manuella genomgångar av patientjournaler och forskningsrön.

91

Informationshantering inom hälso- och sjukvården

SOU 2014:23

Den elektroniska utvecklingen har även medfört att det i dag kommit att handla mer och mer om hur informationen presenteras för användarna, dvs. hälso- och sjukvårdspersonalen, och hur informationssystemen i övrigt bör vara uppbyggda för att vara användbara i verksamheten.

Därutöver har frågor om hur uppgifter om patienter kan användas för att utveckla och säkra kvaliteten i hälso- och sjuk- vården under en längre tid ökat i aktualitet. Utvecklingen av nationella kvalitetsregister, öppna jämförelser m.m. har bland annat satt ljuset på hur viktigt det är att mäta vad som görs i verk- samheten för att få underlag till förbättringsarbeten.

Vidare har en stor utveckling kommit att ske vad gäller patienters tillgång till information om dem själva. Från att ha handlat om att lämna ut journalkopior manuellt på papper, handlar frågorna i dag om direkt tillgång till uppgifter på internet och särskilda tekniska lösningar som exempelvis gör att informationen kan förädlas och visualiseras på sätt som motsvarar enskilda patienters behov. Den dokumentation som skapas i hälso- och sjukvården är därmed även på väg att bli en grundförutsättning för att stärka patienters delaktighet i vården och öka patienters känne- dom om deras hälsosituation. En del av hälso- och sjukvårdens informationshantering handlar därför om att tillhandahålla förut- sättningar för patienter att förstå och kunna fatta informerade beslut som påverkar hälsa och livskvalitet.

Sammantaget kan konstateras att frågorna om hälso- och sjukvårdens informationshantering har blivit fler och kommit att spänna över bredare områden än tidigare. Det har även medfört ett större fokus på lagstiftningen på området och på frågan om vad som är rättsligt möjligt i frågor om användning av uppgifter om patienter.

I detta kapitel redogörs översiktligt för den nuvarande rättsliga regleringen av hälso- och sjukvårdens informationshantering. Längre fram i betänkandet återfinns utredningens närmare redo- görelser och analyser av olika delar av gällande rätt.

92

SOU 2014:23

Informationshantering inom hälso- och sjukvården

5.2Den rättsliga regleringen av informationshanteringen

För hanteringen av personuppgifter inom hälso- och sjukvården finns i dag en sammanhängande reglering i patientdatalagen (2008:355), förkortad PDL. Lagen gäller för alla vårdgivare och har karaktären av en ramlagstiftning som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård.

Patientdatalagen kompletteras av Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

5.2.1Begreppet vårdgivare

I patientdatalagen görs en åtskillnad mellan informationshanteringen inom en vårdgivares verksamhet respektive mellan olika vårdgivare. Förutsättningarna för informationshantering i ett enskilt fall är därmed bl.a. beroende av om det rör sig om en hantering uteslutande inom den egna vårdgivarens verksamhet eller om information exempelvis behöver inhämtas från en eller flera andra vårdgivare.

Med vårdgivare avses en fysisk eller juridisk person som bedriver hälso- och sjukvård. Det är statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndig- heten, landstinget eller kommunen har ansvar för (offentlig vård- givare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Inom den allmänna hälso- och sjukvården är det således den juridiska personen landstinget eller kommunen som är vårdgivare. Sådana kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är egna juridiska personer och utgör själv- ständiga vårdgivare. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset AB och Danderyds sjukhus AB. Även privata utförare av offentligfinansierad hälso- och sjukvård, som exempel- vis Capio, Aleris och Praktikertjänst, är självständiga vårdgivare. Detsamma gäller för även enskilda personer som bedriver husläkar- mottagningar, mottagningar för sjukgymnastik m.m.

93

Informationshantering inom hälso- och sjukvården

SOU 2014:23

Några exakta uppgifter om hur många vårdgivare det finns i dag i Sverige har inte varit möjligt att få fram. En siffra som har nämnts i olika sammanhang är att det finns omkring 10 000 privata vård- och omsorgsföretag i Sverige. Om samtliga dessa är att betrakta som vårdgivare i lagstiftningens mening är emellertid oklart. Hur som helst kan dock konstateras att antalet sinsemellan självständiga vårdgivare har ökat väsentligt de senaste åren. Bara i Stockholm finns omkring 1 000 vårdgivare som driver sin verksamhet med offentlig finansiering.

5.2.2Informationshantering inom en vårdgivares verksamhet (inre sekretess)

Inom en vårdgivares verksamhet kan information utbytas mellan olika aktörer och olika enheter, exempelvis mellan sjukhus och vårdcentraler eller mellan olika enheter inom ett sjukhus, utan hinder av sekretess. Det finns således ingen sekretessgräns som hindrar ett informationsflöde inom en vårdgivares verksamhet, i det s.k. inre sekretessområdet.

Det betyder emellertid inte att det är fritt fram att utbyta information mellan alla som arbetar inom en och samma vård- givares verksamhet. Av den grundläggande bestämmelsen i 4 kap. 1 § PDL om inre sekretess följer att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient endast om han eller hon deltar i vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjuk- vården.

Vidare följer av kraven på behörighetsstyrning att personalens behörighet för åtkomst till patientuppgifter ska begränsas till vad som behövs för att den enskilde anställde ska kunna fullgöra sina arbetsuppgifter. Dessutom finns integritetsskyddande bestämmel- ser om åtkomstkontroll, som ställer krav på att åtkomsten till patientuppgifter dokumenteras (loggas) samt systematiskt och återkommande kontrolleras.

Även om det inte finns några sekretessgränser för informations- utbytet inom en vårdgivares verksamhet har patienten en möjlighet att själv begära att den elektroniska åtkomsten till patientens uppgifter begränsas. Den rätten beskrivs ofta som att patienten kan lägga en inre spärr. Rättigheten följer av 4 kap. 4 § PDL och innebär att vård- dokumentation som dokumenterats hos en vårdenhet eller inom en

94

SOU 2014:23

Informationshantering inom hälso- och sjukvården

vårdprocess inte får göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.

En sådan spärr får hävas av behörig befattningshavare hos vård- givaren om patienten samtycker till det. Spärren får även hävas i sådana situationer där patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Lagstiftarens tanke med reglerna om inre spärrar har varit att skapa en bestämmelse som slår fast de principer som uttrycks i 2 § hälso- och sjukvårdslagen om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet. Patient- datautredningen anförde i sitt betänkande (s. 373) att det för en del patienter inte skulle räcka med en möjlighet att i efterhand kontrollera vilken åtkomst till patientens uppgifter som före- kommit. De patienterna bör enligt utredningen ha en möjlighet att motsätta sig att journaluppgifter görs elektroniskt tillgängliga för andra vårdenheter alternativt vårdprocesser än den vid vilken patienten vårdats under en specifik tidsperiod.

Den inre spärren handlar dock inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika vårdenheter, t.ex. kliniker eller sjukhus hos en och samma vårdgivare. Bestämmelsen reglerar endast själva sättet för informationsutbytet, dvs. elektronisk åtkomst. Några nya interna sekretessgränser uppstår inte och spärrarna innebär inget hinder mot att personal vid olika vård- enheter eller vårdprocesser tar kontakt med varandra på mot- svarande sätt som görs när förutsättningar för elektronisk åtkomst helt saknas.

5.2.3Informationshantering mellan vårdgivare

Av bestämmelserna om sekretess och tystnadsplikt i offentlighets- och sekretesslagen respektive patientsäkerhetslagen (2010:659) följer att sekretess råder mellan olika vårdgivare för uppgifter om hälsotillstånd eller andra personliga förhållanden. Det innebär något förenklat att det exempelvis råder sekretess mellan ett offentligt drivet sjukhus och en privat driven vårdcentral, eller mellan olika offentliga vårdgivare samt mellan olika privata vård- givare. Uppgifter om enskilds hälsotillstånd eller andra personliga

95

Informationshantering inom hälso- och sjukvården

SOU 2014:23

förhållanden får då i huvudsak utbytas med stöd av den enskildes samtycke eller genom att tillämpa en sekretessbrytande bestäm- melse.

I offentlighets- och sekretesslagen finns exempelvis sekretess- brytande bestämmelser som innebär att sekretessen inte hindrar att uppgift lämnas från en myndighet som bedriver hälso- och sjukvård i en kommun till en annan sådan myndighet i samma kommun. Motsvarande bestämmelse finns även för olika myndigheter som bedriver hälso- och sjukvård inom ett landsting. Dessa bestämmelser möjliggör för kommuner och landsting att organisera sin verksamhet i olika myndigheter utan att det för den skull uppstår sekretessgränser dem emellan. Bestämmelserna gäller dock enbart den hälso-och sjukvård som landstinget eller kommunen själv bedriver genom dessa myndigheter och kan inte tillämpas på sådan hälso- och sjukvård som utförs av privata vårdgivare med offentlig finansiering. Mellan de offentliga och privata aktörerna råder alltjämt sekretess.

Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte att en uppgift som behövs för att den enskilde ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en privat vårdgivare eller privat utförare av socialtjänst. Det är en sekretessbrytande bestämmelse som inte ska tillämpas generellt och i vida omfattning, utan i stället med stor försiktighet då det framstår som direkt påkallat att bistå en enskild och den enskilde kan tänkas motsätta sig ett utlämnande eller att saken brådskar och det inte finns tid att inhämta ett samtycke.

Hur uppgifter får utbytas, vare sig uppgiftsutbytet grundas på ett samtycke eller en sekretessbrytande bestämmelse, regleras bl.a. i patientdatalagen. I lagen medges dels att uppgifter som får lämnas ut kan lämnas ut elektroniskt, dels att vårdgivare under vissa förut- sättningar får ha direktåtkomst till varandras vårddokumentation.

96

SOU 2014:23

Informationshantering inom hälso- och sjukvården

5.2.4Informationshantering mellan vårdgivare – sammanhållen journalföring

Genom patientdatalagen och sekretessbrytande bestämmelser i OSL har vårdgivare fått möjligheten att under vissa förutsättningar ta del av varandras vårddokumentation genom direktåtkomst, s.k. sammanhållen journalföring.

Kännetecknande för direktåtkomst är bl.a. att den som önskar ta del av information hos exempelvis en annan vårdgivare på eget initiativ kan bereda sig åtkomst till informationen. Uppgifterna finns således potentiellt tillgängliga att ta del av utan att den som gjort uppgifterna tillgängliga behöver fatta ett formellt beslut om utlämnande till förmån för den som önskar ta del av uppgifterna. Enkelt uttryckt handlar sammanhållen journalföring således om att dela med sig av sin egen vårddokumentation och/eller ta del av vårddokumentation som andra vårdgivare har gjort tillgänglig. Sammanhållen journalföring ger därmed inte uttryck för tanken om ”en patient – en journal”, utan regelverket förutsätter att vårdgivare för sin egen journal och ansvarar för hanteringen av den.

Det är frivilligt för vårdgivare att samarbeta och skapa system för sammanhållen journalföring. Samtidigt måste en rad förutsätt- ningar vara uppfyllda för att vårdgivare ska få nyttja möjligheterna att dela vårddokumentation genom direktåtkomst.

För det första gäller att patienten har en rätt att – efter ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare genom direktåtkomst. Det krävs således inget samtycke för att vårdgivare ska kunna dela med sig av patienternas uppgifter genom direktåtkomst, utan regleringen ger i stället uttryck för individens rätt att motsätta sig, s.k. opt-out.

Patienten har således att välja på att tyst samtycka eller uttryckligen motsätta sig att uppgifter görs tillgängliga för andra vårdgivare genom direktåtkomst. En grundläggande förutsättning i sammanhanget är dock att patienten informeras om att han eller hon faktiskt har något att ta ställning till. Sådan information ska lämnas innan uppgifterna görs tillgängliga i system för samman- hållen journalföring. Hur sådan information ska lämnas regleras inte i lagstiftningen, utan det är upp till hälso- och sjukvårdens aktörer att hitta lämpliga former som är väl avvägda och anpassade till olika förutsättningar.

97

Informationshantering inom hälso- och sjukvården

SOU 2014:23

Genom praxis från Datainspektionen har det tydliggjorts att vårdgivarnas informationsplikt är central och de informationsinsatser som väljs måste vara anpassade för att kunna nå de patienter vars uppgifter avses ingå i sammanhållen journalföring. Exempelvis förekommer informationsinsatser i de olika länstidningar som finns, i kallelser till patientbesök, genom affischer och broschyrer på sjukhus och vårdcentraler. Vårdgivare som avser att tillgängliggöra patient- uppgifter rörande patienter som finns i andra län än det i vilket vårdgivaren är verksam, kan även behöva använda sig av region- eller rikstäckande informationsinsatser för att nå patienterna. Som ett exempel på detta kan nämnas Karolinska Universitetssjukhuset som bl.a. informerat genom annonser i Dagens Nyheter.

Om patienten motsätter sig sammanhållen journalföring ska vårdgivaren spärra uppgifterna, dvs. se till att uppgifterna över huvud taget inte är elektroniskt tillgängliga genom direktåtkomst för andra vårdgivare. Åtkomst till sådana spärrade uppgifter får då ske på samma sätt som t.ex. då journaler fördes på papper, dvs. att uppgifterna kan lämnas ut efter sekretessprövning. Beslut om ett sådant utlämnande ska, efter förfrågan från patienten eller en vård- givare som önskar ta del av uppgifterna, fattas av den vårdgivare som har spärrat uppgifterna. Om uppgifterna får lämnas ut kan det ske manuellt eller elektroniskt.

Vårddokumentation rörande de patienter som efter att ha blivit informerade valt att inte motsätta sig den sammanhållna journal- föringen får däremot göras tillgängliga genom direktåtkomst. I sådant fall finns patientens uppgifter potentiellt tillgängliga för den som i en viss situation möter patienten och då har ett behov av att ta del av uppgifter en annan vårdgivare har gjort tillgängliga. För att personal i en sådan situation få bereda sig åtkomst till uppgifter som en annan vårdgivare har gjort tillgängliga krävs att

1.uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med,

2.uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten, och

3.patienten samtycker till det.

Det första kravet ovan, att det finns en aktuell patientrelation, är inte en regel om s.k. inre sekretess utan anger endast under vilka förutsättningar vårdgivaren som sådan får använda den direktåtkomst

98

SOU 2014:23

Informationshantering inom hälso- och sjukvården

som vårdgivaren medgetts genom systemet för sammanhållen journalföring. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares uppgifter till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Begreppet patientrelation är inte definierat i lagstiftningen. I Patientdatautredningens betänkande1 anförs att det normalt inte borde uppstå några tveksamheter huruvida en aktuell patientrelation föreligger eller inte. Enligt utredningen bör en patientrelation t.ex. anses avslutad då en intagen sjukhuspatient skrivs ut som färdigbehandlad utan inplanerade återbesök, efterkontroller eller liknande. Vidare ansåg utredningen att detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos primärvård i annan vårdgivares regi och att man vid tveksamheter får överlåta till rättstillämpningen att från fall till fall bedöma om en patientrelation är pågående eller inte.

Vidare krävs att personalen som avser att ta del av uppgifter om patienten bedömer om uppgifterna kan antas ha betydelse för patientens vård eller behandling. Rekvisitet ”kan antas” är ett förhållandevis lågt ställt krav, men kräver ändå att ett ställnings- tagande görs. Genom bestämmelsen tydliggörs även att direkt- åtkomsten endast får användas för vårdändamål och inte för andra syften som exempelvis kvalitetssäkring och verksamhetsutveckling. Däremot får direktåtkomsten även användas för att utfärda sådant intyg om vården, som patienten begär.

Det tredje villkoret för åtkomst är att patienten samtycker till det. Med samtycke avses här ett aktivt samtycke från patienten till att direktåtkomst till en annan vårdgivares vårddokumentation används. Vidare följer att det ska vara fråga om ett samtycke enligt person- uppgiftslagen (1998:204), dvs. att samtycket ska vara frivilligt, särskilt och otvetydigt. Kravet på att det ska vara ett samtycke enligt person- uppgiftslagen innebär bl.a. att det endast är patienten själv, eller en legal ställföreträdare, som kan lämna ett samtycke. Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras finns däremot inte.

1 Patientdatautredningens huvudbetänkande; Patientdatalag, SOU 2006:82 s. 301.

99

Informationshantering inom hälso- och sjukvården

SOU 2014:23

5.2.5Enskilds möjlighet att ta del av uppgifter genom direktåtkomst

I äldre lagstiftning fanns bestämmelser som omöjliggjorde för vård- givare att ge patienter direktåtkomst till journaluppgifter om patienten själv. Genom patientdatalagen har dock möjliggjorts för vårdgivare att medge en enskild direktåtkomst till sådana uppgifter om den enskilde som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Bestämmelsen inne- bär således en möjlighet för en vårdgivare, ingen skyldighet, att erbjuda patienten direktåtkomst till journaluppgifter.

För att understryka att en sekretessprövning i enlighet med 25 kap. 6 § OSL är nödvändig i samband med att uppgifter lämnas ut till patienten, vare sig det görs manuellt eller elektroniskt, anges i patientdatalagen att direktåtkomsten endast får avse uppgifter som får lämnas ut till patienten.

Under samma förutsättningar får patienten även medges direkt- åtkomst till dokumentation om den åtkomst till uppgifter som förekommit om den enskilde, s.k. logglistor.

5.2.6Socialstyrelsens föreskrifter (SOSFS 2008:14)

Socialstyrelsen har med stöd av bl.a. patientdataförordningen (2008:360) utfärdat föreskrifter som kompletterar patientdata- lagens bestämmelser om vårdgivares behandling av personuppgifter i hälso- och sjukvården.2

Föreskrifterna, som delvis har utfärdats efter samråd med Data- inspektionen, innehåller bestämmelser om ansvar för informations- säkerhet, rutiner för journalföring och rutiner för hantering av patientuppgifter. Dessutom finns särskilda bestämmelser om enskild verksamhets upphörande.

I kapitlet om informationssäkerhet finns exempelvis krav på behörighetsstyrning och åtkomstkontroll samt att vårdgivare som använder öppna nät (t.ex. Internet eller Sjunet) för att hantera patient- uppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att

2 Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

100

SOU 2014:23

Informationshantering inom hälso- och sjukvården

1.överföring av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna, och

2.åtkomst till patientuppgifter föregås av stark autentisering.

Vidare finns detaljerade krav på hur åtkomst till patientuppgifter får gå till såväl inom en vårdgivares verksamhet som när direkt- åtkomst till sammanhållen journalföring nyttjas. Bland annat ställs krav på att patientuppgifter inte görs tillgängliga utan att användaren gör ett antal aktiva val, dvs. ställningstaganden till om han eller hon har rätt att ta del av de aktuella uppgifterna.

Det finns även närmare bestämmelser som rör patientens möjlighet att genom direktåtkomst få ta del av sina patient- uppgifter, dvs. journaluppgifter som rör patienten själv. Vårdgivare som medger en enskild direktåtkomst ska även ansvara för att det finns ett system för bedömning av de uppgifter som kräver ett särskilt skydd i förhållande till den enskilde och som inte ska lämnas ut genom direktåtkomst.

När en enskild verksamhet ska upphöra finns bestämmelser om att vårdgivaren ska säkerställa att de patientjournaler som finns i verksamheten tas om hand på ett sådant sätt att obehöriga inte kan ta del av dem. Om journalerna inte kan tas om hand på ett sådant sätt ska vårdgivaren ansöka hos Socialstyrelsen om omhänder- tagande av patientjournalerna.

5.2.7Verksamhetsuppföljning m.m. inom en vårdgivares verksamhet

I och med patientdatalagens ikraftträdande undanröjdes några hinder i äldre lagstiftning för vårdgivares möjligheter att följa upp, utveckla och kvalitetssäkra sin verksamhet. Av lagens ändamåls- bestämmelse framgår att vårdgivare, inom sin egen verksamhet, får hantera personuppgifter för att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. Ofta innebär det att personuppgifter som dokumenterats för vård- och behandlings- ändamål i den individinriktade verksamheten, sedan används för verksamhetsuppföljning på olika nivåer inom vårdgivarens verk- samhet. Men det kan även vara aktuellt att hantera andra person- uppgifter, som inte samlats in i vården av patienten, för att utveckla verksamheten. De begränsningar till samkörning av olika register,

101

Informationshantering inom hälso- och sjukvården

SOU 2014:23

t.ex. journalsystem och patientadministrativa system, som fanns i tidigare lagstiftning har också tagits bort.

Dessutom har de sekretessbrytande bestämmelserna mellan olika nämnder i en kommun eller ett landsting gjort det möjligt för landsting och kommuner att följa upp sin verksamhet, även om verksamheten drivs av flera olika nämnder eller sådana kommunala företag som avses i 2 kap. 4 § OSL.

Även om det nu finns bättre förutsättningar för vårdgivare att hantera personuppgifter för att följa upp sin egen verksamhet gäller alltjämt de grundläggande kraven i personuppgiftslagen. Det inne- bär exempelvis att det bara är tillåtet att basera verksamhets- uppföljningen på personuppgifter om det inte är tillräckligt med hänsyn till ändamålet att använda indirekt utpekande eller avidentifierade uppgifter.

5.2.8Verksamhetsuppföljning över vårdgivargränser

I patientdatalagen finns, förutom regelverket för regionala och nationella kvalitetsregister, inga särskilda bestämmelser som syftar till att möjliggöra verksamhetsuppföljning över vårdgivargränser.

Patientdatautredningen ansåg exempelvis inte att det var motiverat att tillåta direktåtkomst vid sammanhållen journalföring för andra ändamål än patientvård eller för att på patientens begäran utfärda intyg. Inga andra ändamål är således tillåtna, inte ens med patientens samtycke.

Samtidigt anförde utredningen3att det sagda inte hindrar vård- givare A från att följa upp den egna verksamheten genom att använda den egna vårddokumentationen och, om det verkligen bedöms vara nödvändigt, den vårddokumentation hos vårdgivare B som vårdgivare A med patientens samtycke tagit del av genom sin direktåtkomst och som lagts till grund för det egna arbetet. Resonemanget utvecklades emellertid inte ytterligare och det får därmed anses oklart hur och under vilka närmare förutsättningar en sådan uppföljning skulle ske.

I övrigt är verksamhetsuppföljning över vårdgivargränser, åtminstone teoretiskt, möjligt om en sekretessprövning utfaller i bedömningen att uppgifterna kan lämnas ut till den vårdgivare som ska göra den gemensamma uppföljningen. Det låter sig dock inte göras några generella uttalanden kring i vilka fall ett sådant utläm-

3 SOU 2006:82 s. 424.

102

SOU 2014:23

Informationshantering inom hälso- och sjukvården

nande kan göras. Jämfört med vad som gäller i den individinriktade verksamheten torde en sekretessprövning enligt OSL oftare leda till bedömningen att uppgiften inte kan lämnas ut, om syftet med utlämnandet är verksamhetsuppföljning och inte att bereda den enskilde nödvändig vård och behandling.

5.2.9Särskilt om nationella kvalitetsregister

Genom patientdatalagen har hanteringen av personuppgifter i nationella och regionala kvalitetsregister reglerats. Med nationella kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Kvalitetsregistren ska även möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. I linje med detta gäller bestämmelserna i 7 kap. patientdatalagen för nationella eller regionala kvalitetsregister i vilka personuppgifter samlats in från flera vårdgivare. Regelverket ger därmed stöd för en särskilt form av verksamhetsuppföljning över vårdgivargränser.

Ett grundläggande krav för att få registrera uppgifter i ett nationellt kvalitetsregister är att patienten inte motsatt sig det. Det är således fråga om samma förutsättningar för s.k. opt-out som gäller vid sammanhållen journalföring. För att den enskilde ska kunna tillvarata sin rätt att ta ställning till medverkan i den verk- samhetsuppföljning som görs i ett kvalitetsregister är den person- uppgiftsansvarige skyldig att, innan uppgifterna registreras, lämna patienten utförlig information om den hantering av person- uppgifter som gäller för det aktuella kvalitetsregistret.

Informationsplikten innebär således att de personuppgifts- ansvariga aktivt måste uppmärksamma patienten på villkoren för registrering, t.ex. genom att hänvisa till och tillhandahålla den relevanta informationen. Information ska bl.a. lämnas om ända- målet med registret, vilka kategorier av uppgifter som behandlas, vem som är personuppgiftsansvarig, att registreringen är frivillig, att patienten när som helst har rätt att få uppgifter om sig själv utplånade ur registret, vilka kategorier av mottagare som person- uppgifter kan komma att lämnas ut till m.m.

När personuppgifter registreras i ett kvalitetsregister innebär det att uppgifterna, såväl i offentlighets- och sekretesslagens som i personuppgiftslagens mening, lämnas ut från den inrapporterande

103

Informationshantering inom hälso- och sjukvården

SOU 2014:23

vårdgivaren till den mottagande aktören. För att möjliggöra detta utlämnande har det införts en bestämmelse i offentlighets- och sekretesslagen som bryter sekretessen när uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen.

Personuppgifter i nationella kvalitetsregister får primärt behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det handlar således i första hand om att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Som huvudregel får kvalitetsregister därmed endast innehålla sådana personuppgifter som behövs för de ändamål för vilket det enskilda kvalitetsregistret verkar för, exempelvis att säkra och utveckla kvaliteten i vården av en viss diagnos, t.ex. diabetes, eller för en viss åtgärd, t.ex. höftoperationer.

Samtidigt får de personuppgifter som samlats in för det primära ändamålet även behandlas för vissa andra, sekundära ändamål, nämligen för framställning av statistik och forskning inom hälso- och sjukvårdsområdet. Med det särskilda ändamålet framställning av statistik avses inte sådana uppgifter som sammanställs statistiskt t.ex. i de kontinuerliga återrapporteringar eller i de årsböcker som framställs i själva kvalitetssäkringsarbetet. Sådan statistikframställ- ning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet avser således statistik som kan användas för andra syften än att förbättra vårdens kvalitet.

Att det är tillåtet att personuppgifter som samlats in för kvalitets- säkring även används i forskning inom hälso- och sjukvårdsområdet innebär emellertid inget undantag från övriga rättsliga krav för att forskning på känsliga personuppgifter ska få äga rum. Det innebär att krav på etikprövning alltjämt gäller om forskning ska göras på uppgifter som registrerats i nationella kvalitetsregister.

Vidare anges i patientdatalagen att uppgifter även får behandlas för att lämnas ut till någon som ska använda uppgifterna för något av de tidigare nämnda tillåtna primära eller sekundära ändamålen. Dessutom anges som ett sista tillåtet ändamål visst fullgörande av uppgiftsskyldighet som följer av lag eller förordning.

Det är uttryckligen förbjudet att behandla personuppgifter i nationella kvalitetsregister för andra ändamål än de nämnda, dvs. för

1.att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet,

2.framställning av statistik,

104

SOU 2014:23

Informationshantering inom hälso- och sjukvården

3.forskning inom hälso- och sjukvården,

4.utlämnande till den som ska använda uppgifterna för något av ändamålen i punkterna 1–3, och

5.fullgörande av någon annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen.

Det ska uppmärksammas att det finns ett undantag från ovan- stående förbud att behandla personuppgifter för andra ändamål än de uppräknade, nämligen om den enskilde har lämnat ett särskilt och uttryckligt samtycke till en personuppgiftsbehandling för andra ändamål.

Personuppgiftsansvaret för den behandling av personuppgifter som föranleds av registrering i nationella kvalitetsregister kan sägas vara uppdelad på två nivåer, en lokal och en central nivå. För den personuppgiftsbehandling som vårdgivare utför när de samlar in och registrerar uppgifter i ett nationellt kvalitetsregister, eller annars behandlar registrerade personuppgifter, är respektive vårdgivare själv personuppgiftsansvarig. I detta personuppgiftsansvar ingår att personuppgifterna hanteras i enlighet med patientdatalagens krav, exempelvis att information har tillhandahållits patienten, att patienten inte motsatt sig registrering, att uppgifterna är korrekta m.m.

För den centrala behandlingen av inrapporterande uppgifter från samtliga medverkande vårdgivare ansvarar emellertid en eller flera utpekade personuppgiftsansvariga. Av patientdatalagen följer att endast myndigheter inom hälso- och sjukvården får vara person- uppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister (7 kap. 7 § PDL). Det har fått till följd att det för varje nationellt kvalitetsregister har utsett en centralt personuppgiftsansvarig myndighet, i de flesta fall en landstingsstyrelse eller en sjukhusstyrelse om sjukhuset är att betrakta som en egen myndighet. Till det centrala ansvaret hör exempelvis ansvar för övergripande säkerhetsfrågor, för att fel- aktiga uppgifter rättas, för att utplåning kan göras på patientens begäran, för att gallring och arkivering görs i enlighet med lagstift- ningen m.m.

Patientdatalagen medger att en vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett regionalt eller nationellt kvalitetsregister. Direktåtkomsten kan användas av den

105

Informationshantering inom hälso- och sjukvården

SOU 2014:23

inrapporterande vårdgivaren för att lokalt arbeta med att utveckla och säkra verksamhetens kvalitet.

Till skillnad mot vad som gäller för vårddokumentationen anges som huvudregel att uppgifter i kvalitetsregister ska gallras när de inte längre behövs för ändamålet kvalitetssäkring. Arkivmyndig- heten kan dock genom beslut bestämma att uppgifterna ska bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål.

106

6En ändamålsenlig informationshantering – iakttagelser och reflektioner

6.1Bakgrund

När patientdatalagen (2008:355), förkortad PDL, trädde i kraft hade den varit efterlängtad i många år. Patientjournallagen (1985:562) och vårdregisterlagen (1998:544) som hade gällt fram till dess var omoderna och svåra att tillämpa på modern kommunikation. Regelverket för hälso- och sjukvårdens hantering av personuppgifter ansågs splittrad och otydlig.1 Det var därför många som såg fram mot den nya lagen. Nu skulle det äntligen bli möjligt att initiera utvecklingsarbeten för en modern informations- hantering där ändamålsenliga tekniska lösningar skulle användas för utbyte av information över vårdgivargränserna. Till viss del handlade det även om att sådant informationsutbyte som redan hade börjat utvecklats skulle bli laglig, exempelvis utbyte av upp- gifter genom direktåtkomst mellan vårdgivare.

Samtidigt med att patientdatalagen trädde i kraft den 1 juli 2008 började även Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården att gälla. I föreskrifterna finns mer detaljerade krav på vårdgivarna avseende informationssäkerhet och journalföring. Under våren 2009 gavs Socialstyrelsens handbok till föreskrifterna ut på internet.

Såväl Socialstyrelsen, Datainspektionen och Sveriges Kommuner och Landsting (SKL) genomförde under första åren olika satsningar för att informera om den nya lagen; konferenser, utbild- ningsdagar genomfördes och olika former av informationsmaterial togs fram.

1 SOU 2006:82 s. 151 f.

107

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

Entusiasmen var stor från myndighetshåll, i kommuner och landsting, bland privata vårdgivare och bland leverantörer och it- utvecklare. Patientdatalagen erbjöd nya möjligheter till informations- utbyte mellan olika vårdgivare och tydliggjorde hur vårdgivare måste arbeta med att tilldela behörigheter och kontrollera hur åtkomsten används. Lagen erbjöd dessutom nya möjligheter för patienterna att förfoga över hur åtkomsten till uppgifterna skulle få användas. Och gjorde det tillåtet för vårdgivarna att ge patienten själv elektronisk åtkomst till sin journal. En annan nyhet var att de nationella och regionala kvalitetsregistren blev reglerade i lag.

Sverige har kommit långt när det gäller användning av it-system som stöd i den dagliga verksamheten och för utveckling samt när det gäller säkerhet och behörighet. Staten och huvudmännen har gjort stora investeringar för att skapa goda grundförutsättningar för en mer ändamålsenlig informationshantering. Satsningar har gjorts och görs på exempelvis it-infrastruktur, säkerhetslösningar och för att införa en nationell informationsstruktur och ett nationellt fackspråk. Vidare håller man nu på att införa bl.a. nationell patientöversikt, samman- hållna journalsystem och elektroniska beslutsstöd inom hela vård- och omsorgssektorn.

Landstingen har arbetat med att införa it-stöd för vård- dokumentation under många år och i dagsläget finns elektroniska journalsystem vid i princip alla sjukhus samt inom hela primär- vården. It-kostnaderna i landstingen uppgick till uppskattningsvis 8 miljarder kronor 2012, vilket är 3 procent av den totala kostnaden för landstingens hela verksamhet. Antalet it-system inom hälso- och sjukvården är relativt stort. Utöver elektronisk journal- hantering, där det i dag finns sex större system i Sverige, finns en mängd olika dokumentationssystem, t.ex. för läkemedelshantering, mödrahälsovård, operationsplanering, akutsjukvård och patient- administration.

Det finns alltså i stort en positiv utveckling när det gäller e- hälsa. Men det finns också många utmaningar. Huvudmännen för vård och omsorg använder fortfarande många gamla system för informationshantering. System som inte är helt anpassade till de krav som måste ställas på modern informationshantering. Data- inspektionen har t.ex. i sin tillsyn observerat att vårdgivarna har haft problem med att anpassa it-systemen till de krav som ställs patientdatalagen. Även Riksrevisionen har pekat på ett antal

108

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

utmaningar för hälso- och sjukvårdens informationshantering.2 Vidare har i många olika sammanhang uppmärksammats att lag- stiftningen upplevs hindra en önskad utveckling. Utredningen har även kunnat konstatera att det, på flera olika nivåer i hälso- och sjukvården, finns en relativt utbredd osäkerhet kring hur patient- datalagen ska tillämpas. Nya organisatoriska förutsättningar är ytterligare en faktor som har kommit att påverka möjligheterna till en ändamålsenlig informationshantering i hälso- och sjukvården.

6.1.1Vårt uppdrag och våra utgångspunkter

Utredningen har som ett övergripande uppdrag att identifiera nödvändiga förutsättningar för en ändamålsenlig och mer samman- hållen informationshantering inom och mellan hälso- och sjuk- vården och socialtjänsten samt vilka hinder (juridiska, tekniska etc.) för en sådan informationshantering som finns i dag och i förekommande fall i vilka lagar dessa hinder finns.

Under utredningens arbete har det blivit tydligt att många faktorer måste samspela om hälso- och sjukvården ska få till stånd en informationshantering som bidrar till ännu bättre resultat för patienterna. Lagstiftningen spelar naturligtvis en viktig roll för att tillhandahålla möjligheter och ställa krav som är väl anpassade till de behov som finns för att patienten ska få en god och säker vård alldeles oavsett vilka vårdgivare patienten möter på sin resa genom hälso- och sjukvården. Andra grundläggande faktorer som i olika grad har direkt påverkan på förutsättningarna för en ändamålsenlig informations- hantering är exempelvis hälso- och sjukvårdens organisatoriska strukturer, ledning och styrning, professionskulturer, arbetssätt, it- utveckling och informatik. Utredningens utgångspunkt är att alla dessa faktorer måste beaktas när frågor om informationshantering analyseras.

I det följande redogör vi översiktligt för ett antal faktorer som utredningen bedömer som centrala för möjligheterna att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.

2 Riksrevisionens rapport (RiR 2011:19) Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan.

109

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

6.2Strukturförändringarna i vården påverkar behov och möjligheter till informationsutbyte

Hälso- och sjukvården har alltsedan patientdatalagen trädde i kraft genomgått stora strukturförändringar, varav en av de mest markanta är ökningen av andelen privata vårdgivare. Siffror från SKL visar att landstingens köp av vårdtjänster från privata leverantörer har ökat från 18 miljarder kronor till cirka 32 miljarder kronor under perioden 2006–2012. Vi har i tidigare avsnitt redovisat att det bara i Stockholms läns landsting finns, förutom offentliga vårdleverantörer, omkring 3 000 privata verksamheter som bedriver hälso- och sjukvård (inklusive företagare på nationella taxan och inom tandvården). Även om mångfalden av privata och offentliga vårdgivare skiljer sig åt i olika delar av landet pekar den sammantanga utvecklingen på att mångfalden ökar och att de privata vårdgivarna blir fler. Samtidigt är det, i allt väsentligt, kommuner och landsting som finansierar såväl de offentliga som de privata vårdgivarnas verksamhet. Tillsammans med det ökade antalet vårdgivare har även specialiseringen inom hälso- och sjukvården ökat.

Utvecklingen har medfört att det ofta är fler aktörer än tidigare inblandade i vården av samma patient. Det finns många exempel på detta och här kan bland annat nämnas den mångfald av vårdgivare i ambulanssjukvården som exempelvis finns i Stockholms läns landsting. Det är i dag inte ovanligt att den privata vårdgivare som står för insatserna i ambulansen assisteras av en akutbil med läkare eller sjuksköterskor från en annan privat vårdgivare. För patienter som är i behov av koordinerade insatser från primärvården och specialistvården är det i dag snarare regel än undantag att samarbetet inbegriper två eller fler självständiga vårdgivare. Bara i byggnaderna som utgör Danderyds sjukhus finns i dag, såvitt utredningen kunnat bedöma, åtminstone sex olika vårdgivare som samarbetar i vården av patienterna. Utvecklingen ser i stort likadan ut i den landstings- finansierade och i den kommunalt finansierade hälso- och sjukvården. Även i kommunal hälso- och sjukvård har antalet vårdgivare som bedriver hälso- och sjukvård i särskilda boenden eller i hemsjukvården ökat. Inte sällan kan även två eller fler vårdgivare i kommunal hälso- och sjukvård behöva samarbeta tätt i vården av patienterna, exempelvis om en vårdgivare står för verksamheten under dagtid och en annan under kvällstid. Eftersom landstingen fortfarande är den aktör som står för läkarinsatserna i särskilda boenden och i hemsjukvården har patienter i den kommunala hälso- och sjukvården dessutom alltid

110

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

behov av insatser från en vårdgivare från den landstingsfinansierade hälso- och sjukvården.

Sammantaget har de organisatoriska förändringarna påverkan både på behoven av och möjligheterna till en ändmålsenlig informationshantering. I vården av enskilda patienter finns i dag ett grundläggande behov av att kunna utbyta information mellan två eller fler vårdgivare. Samtidigt är de rättsliga förutsättningarna för att utbyta information olika utformade beroende på om vården ges av flera eller endast av en vårdgivare. Möjligheterna att utbyta information är med den lagstiftning vi har i dag beroende av hur vården är organiserad. Samtidigt som det kommit nya möjligheter att göra nödvändig information tillgänglig i hälso- och sjukvården så innebär strukturförändringarna att förutsättningarna för nödvändigt informationsutbyte har blivit sämre. Rådande regelverk innebär att villkoren för en effektiv och säker informations- hantering är starkt beroende av hur landstinget eller kommunen organiserar sig. Ett landsting eller en kommun med få privata vårdgivare i sitt offentligfinansierade system har i dag väsentligt bättre legala förutsättningar för en ändamålsenlig informations- hantering än ett landsting eller en kommun med många privata utförare i den offentligt finansierade verksamheten.

Regelverkets organisatoriska fokus har inte endast påverkan på möjligheterna att hantera och utbyta information i den individ- inriktade patientvården, utan även på möjligheterna att säkra och utveckla kvaliteten i den hälso- och sjukvård som patienterna erbjuds. Inte sällan behöver dokumenterade personuppgifter om enskilda individer, diagnoser, åtgärder, bakgrunden till genomförda insatser, resultaten av dessa och patienters samt närståendes upplevelser av hälsorelaterad livskvalitet m.m. ligga till grund för ett ständigt förbättringsarbete. Dagens hälso- och sjukvård med patientrörlighet, valfrihet för individer, ökad mångfald av vårdgivare och en ökad specialisering ställer delvis nya krav på kvalitetssäkringen. Även den informationshanteringen behöver därför ta sin utgångspunkt i och följa patienten i dennes möten med kommunala, landstingsdrivna och privata vårdgivare under ett visst vårdåtagande eller vårdprocess.

Det finns mot denna bakgrund anledning att analysera hur det rättsliga regelverket kan utformas så att en ändamålsenlig informationshantering kan åstadkommas oavsett hälso- och sjuk- vårdens organisation och alldeles oberoende om den enskilde patienten får sitt hälso- och sjukvårdsbehov tillgodosett av en eller fler vårdgivare.

111

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

6.3Informatik och it-frågor

Det har under utredningens arbete blivit tydligt att såväl hälso- och sjukvården som socialtjänsten har behov av att utveckla och implementera ett nationellt fackspråk och en mer strukturerad dokumentation. Det är på många sätt en grundläggande förutsättning för ökad kvalitet och säkerhet samt möjligheter till jämförelser. I ett vidare perspektiv påverkar det även möjligheterna till en jämlik hälso- och sjukvård för alla, oavsett vilket landsting eller vilken kommun medborgaren bor i eller vilken vårdgivare medborgaren väljer för att få sitt behov av hälso- och sjukvård tillgodosett. Eftersom en strukturerad dokumentation enligt ett nationellt fackspråk på ett annat sätt än en informationshantering med mer fria ramar, kan bli kunskapsstyrande och mer direkt påverka arbetssätt och arbetsflöden i hälso- och sjukvården, kan det i viss mån även betraktas som en demokrati- och rättvisefråga.

Hälso- och sjukvårdens informationshantering handlar i dag om så mycket mer än att yrkesutövare i efterhand ska dokumentera sina bedömningar, ställningstaganden och åtgärder kring enskilda patienter. Genom en mer strukturerad journalföring kan hälso- och sjukvårdspersonalen i större utsträckning dokumentera i anslutning till hälso- och sjukvårdsinsatserna och då få stöd direkt i arbets- flödet. Förutom att en strukturerad dokumentation kan bidra till att det blir lättare att göra rätt, kan det även leda till en mer jämlik vård genom att det blir styrande för hur all personal ska agera och dokumentera i olika situationer.

Utredningen har under arbetet exempelvis besökt de amerikanska hälso- och sjukvårdsorganisationerna Kaiser Permanente och Intermountain Healthcare för att bland annat ta del av deras utvecklingsarbeten kring informationshantering och förbättrings- arbete i hälso- och sjukvården. En av erfarenheterna från besöket var bland annat det målmedvetna arbetet som lagts ner just på att få informationshanteringen att stödja de centrala arbetsprocesserna i verksamheten. Intermountain Healthcare hade exempelvis infört strukturerad dokumentation med kopplade beslutsstöd för ett 30-tal olika processer i hälso- och sjukvården. För att ständigt utveckla arbetet och se till att den strukturerade dokumentationen hela tiden förändras och anpassas i takt med att ny kunskap genereras om vad som betraktas som hög kvalitet och säkerhet i verksamheten fanns även fastställda och implementerade organisatoriska strukturer för denna typ av kunskapsstyrning. Enligt utredningens bedömning finns

112

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

flera paralleller mellan dessa organisationers strävan efter att skapa en informationshantering som leder till bättre resultat för patienterna och den utveckling som vi har kunnat se även i Sverige.

En ändamålsenlig hantering av dokumenterade uppgifter kan enligt utredningen exempelvis leda till att olika former av anpassade beslutsstöd tas fram och används i den patientnära verksamheten. Beslutsstöd som exempelvis utifrån den enskilda patientens förutsättningar, tillsammans med inbyggda kunskapskällor, kan ge hälso- och sjukvårdspersonalen bättre bedömningsunderlag på ett säkrare och mer effektivt sätt än manuella journalgenomgångar. Informationshanteringen i hälso- och sjukvården blir då inte enbart fokuserad på att uppgifter dokumenteras, utan även hur de används för att skapa bästa möjliga nytta för patienten. Dessutom ökar möjligheterna till uppföljning för att utveckla och säkra kvaliteten i hälso- och sjukvården samt göra jämförelser över landet.

Vidare kan konstateras att informationshanteringen i hälso- och sjukvården i dag även handlar mycket om hur informationen presenteras för hälso- och sjukvårdspersonalen. Med en mer strukturerad dokumentation ökar sannolikt förutsättningarna för att utforma journalsystemens gränssnitt efter de individuella användarnas behov, så att den enskilde yrkesutövararen snabbt och säkert får tillgång till de uppgifter som är nödvändiga för arbetets utförande. Förutom att det kan bidra till en ökad kvalitet och effektivitet i hälso- och sjukvården medför det även att patienternas behov av skydd för den personliga integriteten till- varatas, genom att uppgifter som användaren inte har behov av inte heller exponeras i lika stor utsträckning som i dag.

Denna utveckling mot en mer strukturerad dokumentation enligt ett nationellt fackspråk kan därmed även ha en avgörande påverkan på möjligheterna att utveckla ett ändamålsenligt system för tilldelning av behörighet för åtkomst, så att varje användare i systemen får en individuell behörighet som är anpassad och begränsad till den åtkomst som behövs för att utföra arbetet.

I sammanhanget kan även nämnas att Myndigheten för vård- analys har genomfört en studie som identifierar de huvudsakliga utvecklingsområden för en mer effektiv användning av läkares tid och kompetens inom hälso- och sjukvården i Sverige.3 Ett av de utvecklingsområden som identifierat är att it-stöden måste för- bättras. Läkare arbetar i it-system som inte upplevs som användar-

3 Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.

113

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

vänliga. Konkreta brister som nämns i rapporten är dålig över- skådlighet, dålig läsbarhet, osäkerhet om innebörden av menyer och flikar, avsaknad av sökfunktioner, osäkerhet om begrepp och termer och dålig intuitivitet. Informationen i systemen är inte strukturerade och presenterade på ett sätt som underlättar arbetet. Av rapporten framkommer även att läkare använder flera olika it- system, men att kompabiliteten mellan systemen upplevs som bristfällig. Flera parallella system medför ständiga in- och utloggningar. Information överförs inte alltid automatiskt mellan olika system, vilket leder till konsekvenser ut effektivitets- arbets- miljö- och patientsäkerhetsperspektiv.

Dessa iakttagelser bekräftas av rapporten Störande eller stödjande.4 I rapporten presenteras tio punkter som behöver prioriteras i arbetet med att utveckla eHälsosystemens användbarhet. Av prioriterings- områdena kan t.ex. nämnas att it-systemen måste förvaltas, utvärderas och tillsynas och kontinuerligt optimeras i förhållande till användbar- heten i den verksamhet som ska stödjas.

Utredningen har även identifierat ett behov av ökad kunskap om lagstiftningen i samband med framtagandet av journalsystem och enskilda tekniska funktioner. Genom våra kontakter med företrädare för hälso- och sjukvården har vi kunnat ta del av exempel där it-stöd inte har utformats på ett ändamålsenligt sätt. Det finns med avseende på detta både exempel på när it-stöden inte gör det möjligt för användarna att bedriva sitt arbete i enlighet med de krav som ställs upp i integritetsskyddslagstiftningen och exempel där kraven i lagstiftningen har implementerats på ett olämpligt eller alltför långtgående sätt. Eftersom journalsystemen ofta är det gränssnitt där hälso- och sjukvårdspersonalen möter den tillämpade juridiken, blir effekterna av olämplig eller felaktig implementering extra stora. Det kan enligt utredningens uppfatt- ning inte uteslutas att brister i it-stödens utformning i vissa delar kan spilla över på hälso- och sjukvårdspersonalens frustration över vad de upplever som rättsliga hinder.

Sammantaget finns mot ovanstående bakgrund anledning att analysera vilka åtgärder, i form av förändrad lagstiftning och andra insatser, som ytterligare kan stimulera en önskad utveckling i frågor som relaterar till informatik och it.

4 Störande eller stödjande. eHälsosystemens användbarhet 2013. Slutrapport från projektet eHälsosystemens användbarhet 2013.

114

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

6.4Patientdatalagen och tillämpningsproblemen

Informationshanteringen inom hälso- och sjukvården ska vara organiserad så att den tillgodoses patientsäkerhet, god kvalitet samt främjar kostnadseffektivitet. Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Det är så patient- datalagens syfte är uttryckt (1 kap. 2 § PDL).

Patientdatalagen ska alltså främja kvalitet och patientsäkerhet i vid bemärkelse. God och säker vård innefattar såväl professionella vårdinsatser som säker hantering av de uppgifter som hör samman med hälso- och sjukvårdsinsatserna. Säker hantering av information innebär således både att uppgifterna måste finnas tillgängliga när det behövs och att de måste skyddas från obehörigas åtkomst.

En tillgänglighetsreform som inte fullt slagit igenom

Patientdatalagen ersatte patientjournallagen och vårdregisterlagen. Patientjournallagen reglerade journalföringen och vårdregisterlagen reglerade automatiserad behandling av personuppgifter i s.k. vård- register. Den nya lagen har bland annat tillfört nya möjligheter till informationsutbyte mellan vårdgivare samt preciserat de integritets- skyddkrav som ska gälla vid hantering av så känsliga personuppgifter som det är fråga om inom hälso- och sjukvården. I patientdatalagen finns dock inga uttryckliga krav på vårdgivarna att se till att vårddokumentationen är tillgänglig och användbar eller att informationssystemen som används i verksamheten ska vara ändamålsenliga. De regler som är till för att skydda uppgifterna från obehörig åtkomst blev genom den nya lagen betonade, medan lagens övriga syften inte uttrycktes genom materiella regler. Det här kan enligt utredningens bedömning vara en av orsakerna till att lagen inte har uppfattats som den tillgänglighetsreform som den är tänkt att vara.

Patientdatalagen syftar till att främja både patientsäkerhet och integritet vid behandling av personuppgifter. Detta kommer för det mesta inte fram i den allmänna debatten. Det är ofta de bestämmelser i lagen som syftar till att skydda uppgifterna från obehörig spridning som blir omdiskuterade eller föremål för frågor om tillämpning. Lagens syfte att säkerställa att rätt uppgifter också

115

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

finns tillgängliga för behöriga användare har tenderat att hamna i skymundan bakom den nog så viktiga integritetsfrågan.

För att en lagstiftning ska få avsedd effekt på ett sådant sätt att lagstiftningens intentioner förverkligas är det, enligt vår bedöm- ning, viktigt att lagstiftningens olika värden är uppenbara för dem som ska tillämpa lagstiftningen. Det kan därför finnas skäl att över- väga om regleringen av hälso- och sjukvårdens personuppgifts- behandling på ett tillräckligt tydligt sätt lyfter fram vikten av att den som arbetar i hälso- och sjukvården har tillgång till den information som behövs för att ge patienten bästa möjliga vård och omhändertagande och hur det kan göras utan att för den skull låta skyddet för den personliga integriteten hamna i skymundan.

Tillämpningsproblem

Allt sedan patientdatalagens ikraftträdande har det även pågått en allmän diskussion huruvida lagen är ändamålsenlig med hänsyn till syftet med lagen och förutsättningarna i hälso- och sjukvården. Av de frågor från yrkesverksamma och representanter för vårdgivare som kommer in till exempelvis Socialstyrelsen, Datainspektionen, regeringskansliet och Sveriges Kommuner och Landsting framgår att det finns en osäkerhet om hur lagen ska tillämpas. Även utredningen har genom hela arbetets gång i samband med möten, konferenser och studiebesök bevittnat att det finns både en osäkerhet kring lagens tillämpning, men även ett missnöje med hur lagen i olika avseenden är utformad. Vårdgivare har även framfört att de saknat stöd vid tolkning av lagen vilket skapat problem i tillämpningen. Detta lyser också igenom i den debatt om lagen som förts av hälso- och sjukvårdspersonal bl.a. i Läkartidningen.5

Det har även i debattartiklar i dagspress höjts röster för att patientdatalagen inte är ändamålsenlig och bör ändras.6 Företrädare för Sveriges Yngre Läkares Förening, SYLF, har även i en debatt- artikel uttalat att föreningen anser att patientdatalagen är för strikt utformad och riskerar att försämra patientsäkerheten.7 Vidare har representanter för Läkarförbundets centralstyrelse och ord- föranden i SYLF m.fl. i Dagens Medicin framfört att patient-

5Flera artiklar i Läkartidningen, bl.a. i nr 15 2013 Patientdatalagen ger ansvariga tjänstemän huvudbry.

6Exempelvis Svenska Dagbladet, 2012-12-30, Läkare förbjuds att läsa journaler.

7Svenska Dagbladet, 2012-10-25, Patientdatalagen är alltför strikt formad.

116

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

datalagen skapar en onödig osäkerhet bland vårdpersonal, patienter och allmänhet och av den anledningen borde moderniseras.8

Att det finns oklarheter i tillämpningen av patientdatalagen har även uppmärksammats i en rapport från 2013 framtagen av Svensk sjuksköterskeförening, Svenska Läkaresällskapet, Sveriges Läkar- förbund, Vårdförbundet och Kommunal.9 Det behövs rättsligt stöd för att kunna hantera och utbyta information på ett enkelt, säkert och etiskt försvarbart sätt. I dag finns det enligt rapporten oklarheter ute i verksamheterna om vad som är juridiskt möjligt. Användare av it-system uppfattar att lagstiftningen förhindrar informationsdelning, uppföljning, utvärdering och kvalitetssäkring av den egna verksamheten.

Även Riksrevisionen konstaterade i sin rapport Rätt information vid rätt tillfälle inom vård och omsorg – samverkan utan verkan? att vägledningen för att tillämpa lagen har varit otillräcklig.10

I rapporten Ur led är tiden har Myndigheten för vårdanalys identifierat att värdet av viss patientrelaterad administration kan ifrågasättas i relation till arbetsinsatsen.11 Kraven på patient- relaterad dokumentation upplevs ha ökat, särskilt vad gäller patientjournalens innehåll. Särskilt kravet på signering av journal- anteckningar ifrågasätts. Det nämns att flera landstingsföreträdare tvivlar på om signeringskravet verkligen bidrar till en högre patient- säkerhet eftersom de är tveksamma till om läkare i detalj går igenom sina anteckningar vid signering.

Utredningens delredovisning enligt direktiv 2013:43

Utredningens övergripande uppdrag är att lämna förslag till en mer sammanhållen och ändamålsenlig informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om se till att yrkesutövare inom båda områdena, i rätt tid får tillgång till den information om den enskilde som behövs för att kunna ge god vård och omsorg och för att kunna följa upp kvaliteten i verksamheten.

Bland annat mot bakgrund av vad som redovisas ovan om osäkerheten i tillämpningen har utredningen fått i uppdrag att

8Dagens Medicin, 2012-10-25, Modernisera patientdatalagen och tillämpa den bättre.

9Störande eller stöjdande? Om eHälsosystemens användbarhet 2013.

10RiR 2011:9.

11Myndighetens för vårdanalys rapport (2013:9); Ur led är tiden. Fyra utvecklingsområden för en mer effektiv användning av läkares tid och kompetens.

117

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

analysera vari tillämpningsproblemen ligger och hur dessa ska lösas. I utredningsdirektivet anför regeringen bland annat att det kan finnas behov av att förtydliga eller förändra relevant lagstiftning. Det kan också behöva utredas vilka behov som finns av exempelvis information, utbildning eller kompetenshöjande insatser av olika slag om vad den berörda lagstiftningen innebär samt överväga andra åtgärder än lagändringar.

Vidare fick utredningen i tilläggsdirektivet 2013:43 regeringens uppdrag att i en delredovisning beskriva de möjligheter som befintlig lagstiftning ger till en ändamålsenlig informations- hantering. Utredningen överlämnade delredovisningen den 31 december 2013 i form av en omfattande powerpointpresentation med frågor och svar samt tre utförligare promemorior. I stället för en traditionell och mer teoretisk genomgång av gällande lag- stiftning valde utredningen således att utforma delredovisningen som ett praktiskt verktyg anpassat för en verksamhetsnära nivå. Förhoppningen är att delredovisningen kan bidra till att de som är verksamma inom hälso- och sjukvård och socialtjänst får en ökad kunskap om hur personuppgifter kan användas och hanteras i syfte att bidra till god vård och omsorg.

Sammantaget utgör delredovisningen en del i utredningens uppdrag att analysera tillämpningsproblemen och lämna förslag till hur de kan lösas samt vilka behov av kunskapshöjande insatser som bedöms finnas.

Ytterligare behov av analys

Utredningen anser att patientdatalagen erbjuder många möjligheter att arbeta på ett ändamålsenligt sätt med vårddokumentation. Samtidigt visar såväl brister i efterlevnaden av lagstiftningen som vårdgivares och hälso- och sjukvårdspersonalens osäkerhet kring lagstiftningens tillämpning på att det finns skäl att ytterligare analysera om lagstiftningen i tillräckligt stor utsträckning stimulerar en önskad utveckling. De finns därför anledning att överväga behoven av att modernisera regleringen av informationshanteringen i hälso- och sjukvården och formulera regelverket på ett sådant sätt att det både blir mer pedagogiskt, dvs. enklare att tillämpa, och mer tydligt kring vad som ska uppnås.

118

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

6.5Bristande efterlevnad av regelverket

Av tillsynsmyndigheternas granskningar har det framkommit att det finns brister i hur patientdatalagen implementerats och följts, framför allt avseende lagens integritetsskyddande bestämmelser.

Datainspektionen har allt sedan patientdatalagen trädde i kraft haft en aktiv tillsyn av hur lagen implementerats i hälso- och sjukvården. I denna tillsyn har Datainspektionen funnit en rad brister som gäller patienternas möjlighet att spärra information, hur patienterna informerats om vad sammanhållen journalföring innebär samt att vårdpersonalen har fått alltför omfattande behörighet att ta del av uppgifter.12 Det har vidare vid tillsynen framkommit att vårdgivarna har stora problem att anpassa sina it-system till patientdatalagen. Brister har även funnits bland annat vad gäller efterlevnaden av bestämmelser om personuppgiftsbehandling i nationella och regionala kvalitetsregister.

Datainspektionen blev exempelvis sommaren 2013 klar med en uppföljande nationell kontroll av vårdgivare och hur dessa kan spärra känsliga patientuppgifter när en patient begär det. Gransk- ningen visade att vårdgivare har börjat satsa ordentligt på att införa de möjligheter till spärrar som måste finnas enligt patientdatalagen. Det var en förbättring jämfört med Datainspektionens granskning av spärrhanteringen år 2012. Vid den tidpunkten visade tillsynen att ingen av landstingen uppfyllde sina skyldigheter fullt ut mot patienterna.

Ett annat exempel är Datainspektionens granskning av behörig- hetstilldelningen på Karolinska Universitetssjukhuset i Stockholm. Granskningen visade enligt inspektionens bedömning att personalen hade för vid behörighet att komma åt patientuppgifter.13

Socialstyrelsens tillsyn genomförde 2011 tillsyn av sex av landets universitetssjukhus avseende informationssäkerheten. Vid samtliga sjukhus fanns brister som hade kunnat leda till att patienter kommer till skada. Exempelvis framkom att ett journalsystem hade räknat fram fel dos medicin. Vidare att personalen inte hade kunnat läsa eller skriva in uppgifter i journalen på grund av driftstopp. Ett annat exempel på brist var journalsystem som inte klarat att snabbt ge en översikt av de uppgifter som krävs för att göra en bedömning av kritiskt sjuka

12Datainspektionens beslut 2011-06-01, dnr 461-2010 och ett antal beslut på grund av Datainspektionens nationella projekt om spärrar i IT-system inom hälso- och sjukvården 2012 med uppföljning 2013 m.m.

13Datainspektionens beslut 2013-08-26, dnr. 920-2012.

119

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

patienter. Resultatet pekade på brister i driftsäkerheten beroende på kvalitetsproblem i systemutvecklingen, bristande kontinuitetsplaner samt bristande styrning av informationssäkerhetsarbetet. 14

Samtliga kommuner och landsting samt sjukvårdsregioner i landet blev 2010–2012 granskade i Socialstyrelsens nationella tillsyn av vård och omsorg om äldre. Resultatet av denna granskning presenteras i en slutrapport från Inspektionens för vård och omsorg 2013.15 I rapporten konstateras att äldre personer med stora, sammansatta behov av vård och omsorg är ofta omgivna av en mängd olika aktörer och personal. Tillsynen visade att det var ovanligt att mottagande verksamheter i öppenvården och inom äldreomsorgen fick uppgifter om läkemedel eller annan viktig information om den äldre senast samma dag som han eller hon skrivs ut från sjukhuset. Det visade sig även att det fanns risker för brister i informationsöverföring och patientsäkerhet vid utskriv- ning inför kvällar eller helger.

I rapporten konstateras att det ställs stora krav på personalen att informera och samordna insatserna när det finns flera aktörer med olika ansvar och uppdrag runt den äldre, särskilt i de delar av landet som har många privata utförare av vård och omsorg. Socialstyrelsen konstaterar att det som krävs för att säkerställa kvaliteten på de insatser som den äldre behöver, och för att förebygga att äldre drabbas av vårdskador i hälso- och sjukvården, är fungerande system för informationsöverföring och vårdplanering där olika yrkesgrupper i kommunen, öppenvården och den slutna vården samverkar i samråd med den äldre själv.

Dessa olika exempel från tillsynsmyndigheterna visar enligt utredningens bedömning att vårdgivarna måste ta ett större ansvar för informationshanteringen. Konsekvensen av de brister som Datainspektionen och Inspektionen för vård och omsorg iakttagit (och tidigare Socialstyrelsen) är patientsäkerhetsrisker. För att kunna erbjuda en god och säker vård behöver hanteringen av personuppgifter och informationssystemens ändamålsenlighet vara införlivat i det kontinuerliga och systematiska arbetet med att förbättra kvaliteten i vården. Mot den bakgrunden finns det enligt utredningens bedömning ett behov av en ökad ledning och styrning från vårdgivares sida i dessa frågor. Det finns därför skäl att överväga om lagstiftningen på ett tydligare sätt än i dag behöver

14Tillsynsrapport 2012, Socialstyrelsen.

15Äldre efterfråga kontinuitet, Nationell tillsyn av vård och omsorg av äldre, Slutrapport 2013.

120

SOU 2014:23

En ändamålsenlig informationshantering – iakttagelser och reflektioner

uttrycka det ansvar vårdgivarna har för en säker och ändamålsenlig hantering av personuppgifter inom hälso- och sjukvården.

6.6Kunskap, kompetens, ledning och styrning

Utredningen uppfattar att det, på motsvarande sätt som är fallet för socialtjänsten, finns ett behov av ökad kunskap och kompetens- utveckling inom hälso- och sjukvården när det gäller förutsätt- ningarna för att hantera och utbyta information. Det kan handla om allt ifrån en osäkerhet på vad som är tillåtet i ett enskilt fall till en mer utbredd okunskap om vilka tekniska lösningar för att t.ex. utbyta information mellan olika aktörer som står till buds och är tillåtna enligt lagstiftningen.

Mycket av detta handlar ytterst, som vi ser det, om en mer aktiv och målmedveten ledning och styrning i frågorna. Vi bedömer därför att behovet av kompetensutveckling och kunskapsstyrning på detta område finns såväl på den mer verksamhetsnära nivån som på de olika ledningsnivåerna i hälso- och sjukvården. Många gånger handlar det om att i organisationen bygga upp en struktur som på olika sätt stödjer ett ändamålsenligt arbetssätt vad gäller dokumen- tation och informationshantering. Inte minst behöver det stödet finnas i samband med framtagandet och utvecklingen av de verksamhetssystem som ska användas i vården.

Samtidigt som vi ser ett behov av ökad kunskap och en mer aktiv ledning och styrning kan vi även konstatera att det pågår en önskvärd utveckling på olika områden. Det är viktigt att denna utveckling fortsätter.

Det finns heller ingen anledning att ifrågasätta att det i hälso- och sjukvården finns respekt för och insikt om att de person- uppgifter som hanteras många gånger är integritetskänsliga och behöver hanteras varsamt och i enlighet med regler om sekretess och tystnadsplikt. Vi bedömer att detta medvetande är högt och att det är en självklar och naturlig del av verksamhetskulturen att värna den enskildes intressen. Kunskapsbehovet finns snarare i den mer aktiva och verksamhetsnära tillämpningen av lagstiftningen. Inte minst för att verksamheten ska kunna införa ändamålsenliga it-stöd behövs en ökad kunskap om hur uppgifter om enskilda får hanteras i en verksamhet och utbytas med andra verksamheter.

121

En ändamålsenlig informationshantering – iakttagelser och reflektioner

SOU 2014:23

6.7Sammanfattande reflektioner

Utredningen bedömer att de problem och utmaningar som lyfts fram i det föregående är mångfacetterade och kan behöva lösas genom flera olika insatser. Även om det finns mycket som fungerar bra kan utredningen därför konstatera att det finns ett antal faktorer som har stor betydelse för målsättningen att skapa en ännu mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården.

De faktorer vi sammanfattningsvis vill lyfta fram är följande.

•Behovet av att införa ett nationellt fackspråk och en informations- struktur som stödjer ett evidensbaserat arbete.

•Behovet av att reducera de negativa konsekvenserna av regel- verkets organisatoriska fokus.

•Behovet av att de rättsliga förutsättningarna för samverkan kring enskilda patienter ligger i linje med de krav på samverkan som finns i lagstiftningen och de behov som finns för patienten.

•Behovet av att de rättsliga förutsättningarna för att säkra och utveckla hälso- och sjukvårdens kvalitet ligger i linje med de krav som finns i lagstiftningen.

•Behovet av en mer pedagogisk lagstiftning, dvs. som är lättare att tillämpa.

•Behovet av en lagstiftning som tydligare uttrycker de bakom- liggande intentionerna och inte bara förhindrar det oönskade, utan även stimulerar det önskade.

•Behovet av ökad kunskap, ledning och styrning ifråga om möjligheterna att hantera och utbyta information.

•Behovet av att det finns rättsliga och andra förutsättningar för att göra patienter informerade och delaktiga i sin hälsa och sin hälso- och sjukvård.

122

7En ny lag: hälso- och sjukvårdsdatalag

7.1Bakgrund

Den nuvarande regleringen av personuppgiftsbehandlingen inom hälso- och sjukvården finns framför allt i patientdatalagen (2008:355), förkortad PDL. Dessutom gäller i vissa delar även bestämmelserna i personuppgiftslagen (1998:204), förkortad PUL. Utöver det finns närmare bestämmelser om hälso- och sjukvårdens personuppgiftsbehandling i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården.

Genom patientdatalagens ikraftträdande den 1 juli 2008 upp- hävdes den tidigare patientjournallagen (1985:562) och vård- registerlagen (1998:544). Patientdatareformen innebar bland annat att materiella bestämmelser om journalföring samlades tillsammans med bestämmelser om personuppgiftbehandling och åtkomst till personuppgifter i elektroniska journalsystem m.m. Medan bestäm- melserna om journalföringen i allt väsentligt fördes över oförändrade från 1985-års patientjournallag utformades till stora delar helt nya bestämmelser om behandlingen av personuppgifter. Den kanske största nyheten som infördes var dock möjligheten för olika vårdgivare att utbyta patientuppgifter med varandra genom direktåtkomst, s.k. sammanhållen journalföring och det särskilda regelverket om nationella och regionala kvalitetsregister. Dessutom infördes ett antal grundläggande integritetsskyddsbestämmelser som tydliggör vad som gäller ifråga om inre sekretess, behörighets- styrning och åtkomstkontroll. Tillsammans med nya möjligheter för vårdgivare tydliggjordes därmed vilka krav som generellt bör gälla vid behandling av sådan integritetskänslig information som det är fråga om inom hälso- och sjukvården.

123

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

7.1.1Kort om våra utgångspunkter för denna typ av lagstiftning

I de regelverk som styr hur personuppgifter får användas och utbytas finns ett antal olika intressen som behöver balanseras och så långt möjligt tillgodoses. Vår generella utgångspunkt är att regelverkets övergripande målsättning bör vara att bidra till ännu bättre resultat för patienter i hälso- och sjukvården. Det handlar om att informationshanteringen ska medverka till ökad kvalitet och patientsäkerhet och till bättre resultat samt till att invånarna får en mer jämlik hälso- och sjukvård.

Både för individens del och för verksamheten är det nödvändigt att personuppgifter används och i övrigt hanteras på ett sådant sätt att behovet av personlig integritet tillgodoses. Det handlar om självklara krav som t.ex. att uppgifter skyddas och inte kan kommas åt av obehöriga, att det bara är den personal som behöver använda uppgifterna i sitt arbete som tar del av dem, att det finns ett systematiskt arbetssätt för att upptäcka och beivra obehörig åtkomst, att uppgifter om enskilda inte kan användas på ett otillbörligt sätt och att uppgifter inte kan hanteras på omotiverat sätt med hänsyn till den risk för integritetsintrång och den nytta som den aktuella hanteringen för med sig. En grundläggande utgångspunkt är därför att en lagstiftning av detta slag ska ge uttryck för en balans och en proportionalitetsbedömning där risken vid personuppgiftsbehandlingen alltid vägs mot nyttan med densamma.

Generellt bedömer vi att den enskildes intresse av en god och säker vård och ett välfungerande integritetsskydd inte står i någon motsats till de intressen för kvalitet, tillgänglighet, förtroende och effektivitet m.m. som kan finnas i verksamheten och i samhället i övrigt. På en övergripande nivå anser vi därför att ett starkt integritetsskydd är en förutsättning för en ändamålsenlig informationshantering inom hälso- och sjukvården. Det skulle på många sätt vara en farlig utveckling om den enskilde kände en sådan otrygghet i hur uppgifter hanterades att han eller hon skulle välja att hålla inne med information som kunde vara viktig för möjligheterna att tillgodose den enskildes behov på bästa sätt. Med det sagt vill vi understryka att utredningen inte uppfattat några signaler om att det skulle finnas något tillitsproblem när det gäller hälso- och sjukvårdens informationshantering. Tvärtom har våra kontakter med både enskilda, patientorganisationer och verksam-

124

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

heterna själva stärkt bilden av att förtroendet för hälso- och sjukvården och det sätt information hanteras på är högt.

För att återkoppla till inledningen i detta avsnitt vill vi betona att vår utgångspunkt är att lagstiftningen inom detta område ska stödja en informationshantering som främjar god kvalitet, effektivitet och ett starkt integritetsskydd. Det ställer inte endast krav på hur intentionerna bakom lagstiftningen motiveras, utan även hur enskilda paragrafer utformas och formuleras. Vid utredningens kontakter med företrädare för hälso- och sjukvården har det tydligt framkommit att yrkesutövare på olika nivåer har svårt att läsa lagens bestämmelser och förstå den avvägning mellan olika intressen som ligger bakom bestämmelsen. Vi har försökt dra lärdom av detta när vi utformat våra förslag om förändrad lagstiftning.

Samtidigt är det viktigt att understryka att en registerlagstift- ning, som detta är fråga om, delvis behöver anpassas och förhålla sig till vad som gäller enligt andra författningar. Inte minst person- uppgiftslagen och dess definitioner och terminologi kommer att vara styrande för hur motsvarande begrepp används och formuleras i lagen. Det innebär att språket i vissa delar kan bli mer byråkratiskt och svårtillgängligt än vad som egentligen är önskvärt i en lagstift- ning som i stor utsträckning ska tillämpas av de som primärt inte är skolade i personuppgiftslagstiftningen. Utredningen bedömer att det bland annat av det skälet är viktigt att denna typ av lagstiftning åtföljs av ett mer konkret och verksamhetsnära tillämpningsstöd.

7.1.2Vårt uppdrag m.m.

I utredningens uppdrag ingår bland annat att identifiera nödvändiga förutsättningar för en mer ändamålsenlig och sammanhållen informationshantering inom hälso- och sjukvården. Av direktiven framgår även att utredaren har möjlighet att ta upp frågor som inte nämns i direktiven men som enligt utredaren behöver analyseras eller regleras för att uppdraget ska utföras på ett tillfredsställande sätt.

De snart sex år som förflutit sedan patientdatalagen trädde ikraft har bland annat kännetecknats av brister i implementeringen av lagstiftningen och en osäkerhet om lagens tillämpning i olika delar. Tillsynsmyndigheternas beslut har satt ljuset på brister i frågor om exempelvis fullgörandet av informationsplikter gentemot patienter, behörighetsstyrning och patientens spärrmöjligheter

125

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

m.m. Även regelverkets avsaknad av särskilda bestämmelser för vad som ska gälla för personer som saknar förmåga att själv ta ställning till frågor om informationsutbyten och behandling av person- uppgifter, har varit i fokus de senaste åren. Från vårdgivare och hälso- och sjukvårdspersonal har framhållits att lagen i vissa delar är svårtillgänglig och det finns en osäkerhet och otrygghet i hur lagen närmare är tänkt att tillämpas. Det har bland annat framkommit att det finns en osäkerhet i frågor om när personal får ta del av uppgifter om patienter antingen för att de på något sätt är delaktiga i patientens vård eller för att de har ett behov av att följa upp och kvalitetssäkra genomförda insatser.

Vidare har den strukturomvandling som ägt rum i hälso- och sjukvården sedan patientdatalagens ikraftträdande medfört nya krav på informationshanteringen i hälso- och sjukvården. Det kan därmed även ur detta perspektiv finnas anledning att analysera om den nuvarande lagstiftningen är ändamålsenligt utformad för att möta den komplexa verksamhet som hälso- och sjukvården utgör och där den organisatoriska kartan är ständigt föränderlig.

Mot bakgrund av utredningens uppdrag lämnas i detta betänkande ett större antal förslag som i allt väsentligt syftar till att öka förutsättningarna för en mer ändamålsenlig och sammanhållen informationshantering inom och mellan hälso- och sjukvården och socialtjänsten. Det handlar bland annat om förslag som syftar till att minska tillämpningsproblemen, reducera de negativa konsekvenserna av regelverkets organisatoriska fokus, stärka integritetsskyddet och tydliggöra ansvaret för att rätt information finns på rätt plats i rätt tid. De många förslagen medförde att det blev nödvändigt för utredningen att analysera om våra samlade förslag till lagstiftningsförändringar kunde införlivas i patientdatalagen eller om det måste bedömas som nödvändigt med en helt ny lagstiftning för personuppgifts- behandlingen på hälso- och sjukvårdens område.

7.2Våra överväganden och förslag

7.2.1En ny lag ersätter patientdatalagen

Vårt förslag: Patientdatalagen ska upphävas och ersättas av en ny lag; hälso- och sjukvårdsdatalagen. Bestämmelser i patient- datalagen som inte påverkas av utredningens förslag ska över- föras till den nya lagen.

126

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Följdändringar måste göras i flera andra lagar med anledning av att patientdatalagen upphävs och ersätts av den nya lagen.

Utredningens förslag i sin helhet kommer att ha en omfattande påverkan på innehållet i den nu gällande patientdatalagen. Under arbetets gång har det blivit mer och mer uppenbart att våra förslag kommer att medföra så många förändringar att det skulle inverka på den befintliga strukturen i patientdatalagen och göra den svår- överskådlig. Även om utredningen inte till en början haft för avsikt att föreslå en ny reglering för personuppgiftsbehandlingen i hälso- och sjukvården har det således i takt med arbetets framskridande kommit att bli allt tydligare att det behövs. Vi bedömer därför att patientdatalagen, framför allt på grund av konsekvenserna av utredningens samlade förslag, bör upphävas i stället för att omarbetas. Det är inte här möjligt att närmare redogöra för de förslag som utredningen lämnar och som bedöms medföra ett behov av en ny lagstiftning, utan vi får hänvisa till vad som redo- visas längre fram i detta betänkande.

Lämpligheten i att föreslå en ny lag i ett skede när patient- datalagen fortfarande kan betraktas som förhållandevis ny kan naturligtvis ifrågasättas. Mot bakgrund av den kritik som patient- datalagen utsatts för genom åren gör utredningen dock bedömningen att en ny lagstiftning kan medföra positiva effekter på en ändamålsenlig och integritetsskyddande personuppgift- behandling. Det kan dessutom konstateras att hälso- och sjuk- vården har varit föremål för sådana omfattande strukturella och organisatoriska förändringar sedan patientdatalagen trädde ikraft 1 juli 2008 att även denna omständighet utgör ett skäl för att se över lagstiftningens ändamålsenlighet. Det primära skälet är dock att de förslag utredningen lämnar svårligen kan sorteras in i patientdatalagen.

Vi föreslår därför en ny lag för vårdgivares behandling av personuppgifter i hälso- och sjukvården; hälso- och sjukvårds- datalag. I sammanhanget kan nämnas att utredningen även föreslår en ny lag för personuppgiftsbehandlingen på socialtjänstens område; socialtjänstdatalag. Vi anser att det är en fördel om de lagar som reglerar behandlingen av personuppgifter i hälso- och sjukvården respektive socialtjänsten liknar varandra så mycket som möjligt avseende struktur och innehåll. Det underlättar tillämp-

127

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

ningen och förståelsen för lagstiftningens bakomliggande ändamål, både för de registrerade och de som har att tillämpa lagstiftningen.

Utredningen lämnar också förslag för att underlätta informationsutbytet mellan hälso- och sjukvård och socialtjänst. Förutsättningarna att harmonisera regleringen av personuppgifts- behandlingen inom och mellan hälso- och sjukvården och social- tjänsten förbättras av att vi lämnar förslag till en ny lagstiftning för båda områdena samtidigt. Vi föreslår att bestämmelser om informationshantering vid vård av personer med sammansatta behov av hälso- och sjukvård och socialtjänst ska regleras i ett eget kapitel i den nya lagen.

Vidare innebär utredningens förslag att många bestämmelser bör överföras materiellt oförändrade från patientdatalagen till hälso- och sjukvårdsdatalagen. Samtidigt ger detta ett tillfälle att överväga och vid behov föreslå förenklad utformning och språkliga justeringar i paragraferna.

Utredningen föreslår att den nya lagen ska ha namnet hälso- och sjukvårdsdatalagen. Vi anser att det namnet beskriver lagens tillämp- ningsområde på ett tydligt sätt samtidigt som det är jämförligt med namnet på den lag som reglerar personuppgiftshanteringen inom socialtjänsten; socialtjänstdatalagen.

7.2.2Lagens innehåll, tillämpningsområde och förhållande till personuppgiftslagen

Vårt förslag: Hälso- och sjukvårdsdatalagen ska inledas med en bestämmelse som översiktligt beskriver vilka områden som lagen reglerar och en innehållsförteckning. Lagens tillämpnings- område ska regleras i en egen bestämmelse. I lagen ska finnas en bestämmelse som reglerar förhållandet till personuppgiftslagen. Bestämmelserna om tillämpningsområdet och förhållandet till personuppgiftslagen överförs i princip oförändrade från patientdatalagen. I hälso- och sjukvårdsdatalagen ska dock uttryckligen anges att lagen i tillämpliga delar även gäller för en huvudmans behandling av personuppgifter i hälso- och sjuk- vården.

128

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Lagens innehåll

Förslaget till hälso- och sjukvårdsdatalag omfattar bestämmelser om olika aspekter av personuppgiftsbehandling inom hälso- och sjukvården. Det innebär att det finns bestämmelser om person- uppgiftsansvar, olika typer av direktåtkomst, åtkomstkontroll, journalföring, nationella kvalitetsregister och rättigheter för den enskilde m.m. I vårt förslag är lagen indelad i 13 kapitel. För att göra lagen mer överskådlig och lättare att använda bör den inledas med en översiktlig beskrivning av innehållet. Av den anledningen föreslår vi att det i lagens inledning tas in en innehållsförteckning.

Beskrivningen av lagens innehåll är av allmän karaktär och ska läsas som en enkel anvisning om vilka områden som lagen omfattar. Det kan vara informativt för t.ex. yrkesutövare att redan i inledningen få veta att det i denna lag finns bestämmelser om patientjournaler och nationella kvalitetsregister.

Lagens tillämpningsområde

Vidare föreslår utredningen att det juridiska tillämpningsområdet regleras i en egen bestämmelse efter de inledande bestämmelserna om innehållet. Hälso- och sjukvårdsdatalagen ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjuk- vården.

Utredningen avser inte att ändra tillämpningsområdet för den föreslagna lagen jämfört med patientdatalagen1 förutom att vi föreslår att det uttryckligen ska anges att lagen i tillämpliga delar även ska gälla för en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Med huvudman i hälso- och sjuk- vårdsdatalagen avses den som enligt hälso- och sjukvårdslagen ansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner. Kommuner och landsting omfattas i egenskap av huvudmän i dag av patient- datalagen genom lagens definition av begreppet vårdgivare. Av 1 kap. 3 § patientdatalagen följer bl.a. att landsting och kommun är vårdgivare i fråga om sådan hälso- och sjukvård som landstinget eller kommunen har ansvar för. Samtidigt avses med vårdgivare, enligt samma bestämmelse, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård.

1 Prop. 2007/08:126 s. 49 f. och 222.

129

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Vi anser att det underlättar tillämpningen av hälso- och sjuk- vårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän för hälso- och sjukvården och deras ansvar som vårdgivare när de faktiskt bedriver hälso- och sjukvård. Eftersom det inte finns några formella hinder för landsting eller kommuner att överlåta all drift av den individ- inriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre bedriver hälso- och sjukvård. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt upp- drag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdata- lagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården.

Det innebär exempelvis att lagens grundläggande ändamåls- bestämmelser och bestämmelserna om vilka personuppgifter som får behandlas samt om sökbegrepp även gäller vid en huvudmans behandling av personuppgifter inom hälso- och sjukvården. Vidare gäller bestämmelserna i lagens 4 kap. om inre sekretess, behörig- hetsstyrning och åtkomstkontroll i samma utsträckning också för en huvudman. Se vidare avsnitt 7.2.4 angående utredningens överväganden kring begreppet huvudman.

Vårt förslag innebär att bestämmelsen om det juridiska tillämpningsområdet renodlas jämfört med gällande bestämmelse i patientdatalagen. Den nuvarande 1 kap. 1 § patientdatalagen är i själva verket både en bestämmelse om tillämpningsområdet och en beskrivning av innehållet. Vårt förslag innebär att vi delar upp bestämmelsen så att den befintliga upplysningen om att lagen innehåller bestämmelser om journalföring i stället tas med i den inledande bestämmelsen som beskriver innehållet.

Förhållandet till personuppgiftslagen

Utredningen föreslår att den nuvarande bestämmelsen i patientdata- lagen, om den lagens förhållande till personuppgiftslagen överförs oförändrad till hälso- och sjukvårdsdatalagen.

Personuppgiftslagen är generellt tillämplig på behandling av personuppgifter. Det är dock möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för person-

130

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

uppgiftslagens bestämmelser. En grundläggande förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmel- serna i dataskyddsdirektivet.

Utredningen föreslår att hälso- och sjukvårdsdatalagen ska innehålla vissa sådana avvikande särbestämmelser som det bedöms föreligga behov av när det gäller behandling av personuppgifter inom hälso- och sjukvården. Särregleringen i hälso- och sjukvårds- datalagen föreslås enbart komplettera personuppgiftslagen. Hälso- och sjukvårdsdatalagen kommer då att gälla utöver personuppgifts- lagen. Detta innebär att när reglering saknas i hälso- och sjukvårdsdatalagen är personuppgiftslagens bestämmelser tillämp- liga. Motsvarande förhållande gäller mellan patientdatalagen och personuppgiftslagen.2

7.2.3Lagens syfte

Vårt förslag: I hälso- och sjukvårdsdatalagen ska det finnas bestämmelser som uttrycker lagens syfte. Lagen syftar till att främja en informationshantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet. Lagen ska särskilt främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete och att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Den nu gällande syftesbestämmelsen i 1 kap. 2 § PDL är, enligt utredningens bedömning, inte utformad som en syftesbestämmelse i egentlig mening. Den anger snarare hur informationshanteringen ska vara organiserad och hur personuppgifter ska utformas och hanteras. Bestämmelsen talar också om hur dokumenterade upp- gifter ska hanteras och förvaras. Den nuvarande paragrafen är därför mer av materiella bestämmelser än en portalparagraf om vad lagen ska åstadkomma. Särskilt bestämmelsen i sista stycket, om att personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem, är en viktig materiell bestämmelse som vi vill ta hand om på ett annat sätt än som en formulering i en syftes- bestämmelse.

2 Prop. 2007/08:126 s. 52.

131

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Utredningen anser att det tydligt ska framgå av syftes- bestämmelsen att lagen ska leda till att vården blir säkrare och av högre kvalitet. En säker vård värnar patientens personliga integritet och skyddar patienten mot fysiska och psykiska vårdskador. Det ska framgå att lagen är en tillgänglighetsreform som ska se till att rätt uppgifter finns på rätt plats i rätt tid för rätt personer. Av syftesbestämmelsen ska det framgå att såväl rätt tillgång till rätt uppgifter som skydd för den personliga integriteten är grundläggande förutsättningar för att lagens intentioner ska kunna uppnås.

Enligt utredningens förslag ska lagen syfta till en informations- hantering som tillgodoser god kvalitet, patientsäkerhet och kostnadseffektivitet i hälso- och sjukvården. Vårdgivarens behandling av personuppgifter inom hälso- och sjukvården ska således tillgodose samma krav som gäller för all hälso- och sjukvårdsverksamhet.3 Utredningens förslag innebär endast en viss omformulering av det krav som i dag finns uttryckt i 1 kap. 2 § PDL.

Därutöver anser utredningen att syftesbestämmelsen ska betona att lagen särskilt ska främja att den som arbetar hos en vårdgivare säkert, snabbt och enkelt får tillgång till de personuppgifter som han eller hon behöver för att kunna utföra sitt arbete. Vi anser att det är en viktig signal att uttryckligen nämna detta syfte för att tydliggöra att lagens bestämmelser syftar till att möjliggöra en ändamålsenlig informationshantering. Det är inget nytt motiv för denna lagstiftning, men denna aspekt går ofta förlorad i den kritik mot lagen som kommer från de som är verksamma inom hälso- och sjukvården.4

Det brukar hävdas att patientdatalagen gjort det svårare att arbeta på ett ändamålsenligt sätt med informationshanteringen i hälso- och sjukvården. Patientdatalagen reglerar dock egentligen inga begränsningar i förhållande till vad som gällde innan lagen trädde ikraft. I stället har den erbjudit nya möjligheter till informationsutbyte. Trots det har lagen kommit att av många uppfattas som en hämsko i arbetet. Det finns förstås också viss kritik från det andra perspektivet; att lagen har öppnat för alltför stora möjligheter att utbyta patientuppgifter. Men den kritiken har inte varit lika omfattande. För att det ska bli en tydligare balans mellan patientsäkerhets- och integritetsperspektivet anser vi att tillgänglighetsaspekten bör bli mer uttryckligt beskriven i lagen.

3Regeringens proposition Förstärkt tillsyn över hälso- och sjukvården, prop. 1995/96:176 s. 54 ff.

4Prop. 2007/08:126 s. 34.

132

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Det redan i dag gällande kravet på att personuppgifter utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras, ska naturligtvis också komma till uttryck i den nya lagen.

7.2.4Viktiga definitioner

Vårt förslag: I hälso- och sjukvårdsdatalagen ska det införas definitioner av begreppen huvudman, informationssystem, nationella och regionala kvalitetsregister, patientjournal samt vårddokumentation. Begreppet vårdgivare förtydligas och begreppet sammanhållen journalföring får en definition som stämmer överens med det tillämpningsområde som föreslås. Övriga begrepp som definieras i patientdatalagen förs över oförändrade till hälso- och sjukvårdsdatalagen.

I patientdatalagens inledande kapitel återfinns en rad definitioner av centrala uttryck som används i lagen. Utredningen bedömer att även hälso- och sjukvårdsdatalagen ska innehålla en paragraf som samlat definierar de viktiga begreppen. Förutom att vi föreslår att vissa begrepp som definieras i patientdatalagen förs över oför- ändrade eller med endast någon språklig justering, föreslår vi att det i hälso- och sjukvårdsdatalagen ska tas in en rad nya begrepp som definieras. Vilka dessa begrepp är och hur de bör definieras redo- visas i det följande.

Huvudman

Det finns i dag inte någon entydig och mer precis legaldefinition av huvudmannabegreppet i hälso- och sjukvården. Vid införandet av hälso- och sjukvårdslagen (1982:763), förkortad HSL, konsta- terades att den som har ett författningsreglerat ansvar för att vård meddelas är huvudman. Någon övrig vägledning för frågan om huvudmannaskapets innebörd, omfattning gavs inte och inte heller lämnades någon ytterligare definition av begreppet.5

Samtidigt finns det genom regleringen i hälso- och sjuk- vårdslagen åtminstone en indirekt definition av begreppet huvud-

5 Prop. 1981/82:97 Om hälso- och sjukvårdslag m.m., s. 33.

133

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

man, dvs. den som har ett författningsreglerat ansvar för att vård meddelas. Med huvudman enligt hälso- och sjukvårdslagen får därmed avses den som enligt lagen ansvarar för att erbjuda hälso- och sjukvård.

Mot den bakgrunden och med det som förebild föreslår utredningen att begreppet huvudman ska definieras i hälso- och sjukvårdsdatalagen. Utredningens förslag till definition utgår alltså från huvudmännens ansvar, som det är reglerat i nu gällande hälso- och sjukvårdslag. Med huvudman i hälso- och sjukvårdsdatalagen avses således den som enligt hälso- och sjukvårdslagen ansvarar för att erbjuda hälso- och sjukvård. Det innebär i praktiken att det handlar om landsting och kommuner.

I hälso- och sjukvårdslagen regleras för närvarande endast huvudmannaskapet för landsting och kommuner. Den hälso- och sjukvård som enligt lag ska tillhandahållas av andra huvudmän än landsting och kommun är dock av mer begränsad karaktär och har även delvis andra syften än det huvudmannaansvar som följer av hälso- och sjukvårdslagen. Utredningen bedömer därför att det i hälso- och sjukvårdsdatalagen är tillräckligt att hänvisa till det huvudmannaansvar som landsting och kommuner har enligt hälso- och sjukvårdslagen.

Huvudmannen har det yttersta ansvaret för att säkerställa att vård erbjuds till i hälso- och sjukvårdslagen angiven personkrets. Vården kan utföras i egen regi, men huvudmannaansvaret innebär ingen skyldighet för huvudmannen att själv bedriva verksamheten, utan driften kan ligga på en fristående vårdgivare. Inom en huvud- mans geografiska ansvarsområde kan därmed en eller flera vård- givare bedriva verksamhet.

Såväl Utredningen om en kommunallag för framtiden6 som Patientmaktsutredningen7 har föreslagit att huvudmannens ansvar bör uttryckas tydligare i lagstiftningen. Utredningen om en kommunallag för framtiden har föreslagit att det uttryckligen ska regleras i kommunallagen (1991:900) att kommunen respektive landstinget behåller sitt huvudmannaskap när vården av en kommunal angelägen- het överlämnats till en annan utförare och att huvudmannaskapet innefattar en skyldighet att följa upp och kontrollera privata utförare.

Vi anser att det underlättar tillämpningen av hälso- och sjukvårdslagstiftningen i allmänhet att skilja mellan landstingens och kommunernas ansvar i egenskap av huvudmän och deras ansvar i egenskap av vårdgivare. Eftersom det inte finns några formella

6SOU 2013:53; Privata utförare – kontroll och insyn.

7SOU 2013:44; Ansvarfull hälso- och sjukvård.

134

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

hinder för landsting eller kommuner att överlåta all drift av den individinriktade hälso- och sjukvårdsverksamheten på en eller flera enskilda vårdgivare, kan det i framtiden uppkomma en situation när landstinget eller kommunen inte längre är att betrakta som vård- givare. Eftersom landsting och kommuner i ett sådant läge alltjämt har ett huvudmannaansvar för hälso- och sjukvården och ett behov av att behandla personuppgifter för att fullgöra sitt uppdrag och ta sitt ansvar, bedömer vi att hälso- och sjukvårdsdatalagen behöver omfatta huvudmäns behandling av personuppgifter inom hälso- och sjukvården. Det är därför relevant att definiera begreppet i den lag som föreslås.

Längre fram i betänkandet föreslår utredningen även förbättrade möjligheter till informationsutbyte mellan vårdgivare som bedriver hälso- och sjukvårdsverksamhet inom en huvudmans ansvars- område. Även för att kunna utforma de förslagen är begreppet huvudman nödvändigt att definiera.

Informationssystem

Utredningen föreslår att begreppet informationssystem definieras i lagen. Vårdgivaren är ansvarig för hur personuppgifter hanteras i verksamheten. Ett informationssystem är ett verktyg för hantering av personuppgifter. Det är ett system som insamlar, bearbetar, lagrar eller distribuerar och presenterar information. Vi föreslår i betänkandet att vårdgivarens ansvar för att informationssystemen är ändamålsenliga ska uttryckas i hälso- och sjukvårdsdatalagen. Det medför att begreppet behöver definieras i lagen.

Sammanhållen journalföring

Utredningens förslag om möjlighet till direktåtkomst mellan vård- givare inom en huvudmans ansvarsområde innebär att tillämpnings- området för sammanhållen journalföring minskar och innebär också att den definition av begreppet som finns i patientdatalagen blir felaktig. Vi föreslår därför en ändrad definition. Med samman- hållen journalföring avses enligt utredningens förslag en möjlighet för vårdgivare, som bedriver hälso- och sjukvård som olika huvud- män ansvarar för eller som är privat finansierad, att ha direkt- åtkomst till varandras vårddokumentation.

135

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Vårddokumentation

Patientjournaler och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall kallas i förarbetena till patientdatalagen för vårddokumentation.8 Ändamålen för vilka sådan dokumentation ska behövas motsvarar de första två punkterna i bestämmelsen om för vilka ändamål personuppgifter får behandlas inom hälso- och sjukvården.

Sådan dokumentation har en särställning i patientdatalagen eftersom vissa bestämmelser hänvisar till ändamålet vårddokumen- tation – även om själva begreppet inte används i bestämmelserna. I stället hänvisas i lagen till ändamålsbestämmelsens två första punkter (2 kap. 4 § 1 och 2 PDL). Det gäller t.ex. bestämmelsen om vad en patientjournal maximalt får innehålla (3 kap. 5 § PDL), bestämmelsen om vilka personuppgifter som en patient får spärra inom en vårdgivares verksamhet (4 kap. 4 § PDL), bestämmelsen om vilka uppgifter som en vårdgivare får ta del av genom samman- hållen journalföring (6 kap. 1 § PDL) och bestämmelsen om utlämnande genom direktåtkomst till enskilda (5 kap. 5 § PDL)

Utredningen anser att det kan vara en fördel att ett begrepp med en definition som stämmer överens med den som används i förarbeten till patientdatalagen finns med i en ny hälso- och sjukvårdsdatalag. Ett begrepp som definieras i lagens inledning kan sedan användas i bestämmelserna utan ytterligare förklaring. Definitionen knyter an till bestämmelsen om tillåtna ändamål för behandling av personuppgifter, som förs över från patientdata- lagen. De bestämmelser i lagen som ska hänvisa till begreppet blir enklare att formulera och att läsa om begreppet kan användas utan hänvisning till ändamålsbestämmelsen.

Med vårddokumentation ska således avses dokumentation som innehåller personuppgifter som behandlas för

•att fullgöra de skyldigheter som anges i 3 kap. HSL och upprätta annan dokumentation som behövs i och för vården av patienter, och

•administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.

8 Prop. 2007/08:126 s. 57.

136

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

Vårdgivare

Utredningen har valt att utgå ifrån den befintliga definitionen i patientdatalagen men föreslår en något ändrad formulering. Ändringen är påkallad av utredningens förslag att definiera begreppet huvudman.

Med vårdgivare avses enligt utredningens förslag ”statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjuk- vårdsverksamhet som myndigheten, landstinget eller kommunen bedriver samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.”

Uttrycket har ansvar för som finns i den nu gällande definitionen i patientdatalagen kan tolkas på flera olika sätt, och är därför olämpligt i definitionen av vårdgivare. Vårdgivare har ansvar för den vård som denne bedriver. Landsting och kommun har som huvudman också visst ansvar, naturligtvis för de egna vårdgivarnas verksamhet, men även för sådan hälso- och sjukvårdsverksamhet som de som huvudmän överlåtit på annan. Huvudmannen ansvarar alltid primärt för att vårdbehoven tillgodoses inom dennes ansvars- område. Ett visst kontrollansvar kvarstår av denna anledning hos huvudmannen. Huvudmannen har således också visst ansvar för vård som vårdgivaren bedriver. För att kunna skilja på det ansvar som de offentliga aktörerna har i sin egenskap av huvudmän respektive i sin egenskap av vårdgivare har utredningen därför anslutit sig till Patientmaktsutredningens9 förslag till definition. I denna tydliggörs att vårdgivare är den som bedriver viss hälso- och sjukvårdsverksamhet. Utredningens förslag till definition ska där- med läsas i ljuset av att utredningen även föreslår en definition av huvudmannabegreppet.

Begreppet hälso- och sjukvårdsverksamhet har använts i stället för hälso- och sjukvård, för att undvika en konflikt med definitionen av begreppet hälso- och sjukvård. I uttrycket ”bedriver hälso- och sjukvårdsverksamhet” ligger att åtgärderna är av regelbundet åter- kommande karaktär. En näringsidkare som inom ramen för en verksamhet som i sig inte utgör hälso- och sjukvård med viss regel- bundenhet utför hälso- och sjukvårdande åtgärder kan anses vara vårdgivare beträffande dessa åtgärder.10

9SOU 2013:44 s. 99.

10SOU 2013:44 s. 99.

137

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

Definitionen omfattar samtliga vårdgivare, både vårdgivare underställda en offentlig huvudman, och vårdgivare med en privat huvudman (med eller utan offentlig finansiering).

För den hälso- och sjukvård som ett landsting eller en kommun själv bedriver är således den juridiska personen landstinget eller kommunen vårdgivare. Sådana bolag, föreningar och stiftelser där kommuner och landsting utövar ett rättsligt bestämmande inflytande, t.ex. äger mer än 50 procent, är egna juridiska personer och utgör därför självständiga vårdgivare om de bedriver hälso- och sjukvård. Som exempel på sådana vårdgivare kan nämnas Södersjukhuset och Danderyds sjukhus.

Juridiska personer, t.ex. bolag eller stiftelser, som bedriver hälso- och sjukvård med privat eller offentlig finansiering är också själv- ständiga vårdgivare. Som exempel kan nämnas bolag som Capio, Aleris, Praktiktertjänst och ett mycket stort antal andra privata vårdgivare.

En fysisk person som bedriver hälso- och sjukvårdsverksamhet i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande är också en självständig vårdgivare. Som exempel kan nämnas tandläkare med egen mottagning eller en fysisk person som etablerat en mottagning med stöd av lagen om läkarvårdsersättning (1993:1651), den s.k. nationella taxan.

Statliga myndigheter som Statens institutionsstyrelse, Kriminal- vården eller Totalförsvarets pliktverk är självständiga vårdgivare om de bedriver hälso- och sjukvårdsverksamhet.

Mot bakgrund av ovanstående kan konstateras att enskilda läkare som exempelvis är anställda på ett sjukhus eller en vård- central inte är att betrakta som vårdgivare i hälso- och sjukvårds- datalagens mening. En vårdgivare är alltid en organisation och ska därmed inte förväxlas med den person som kanske rent faktiskt utför åtgärderna.

Nationella och regionala kvalitetsregister

Eftersom regelverket för personuppgiftsbehandling i nationella och regionala kvalitetsregister förs över från patientdatalagen till den nya lagen bör begreppet nationella kvalitetsregister finnas med i listan över definitioner.

Med kvalitetsregister avses en automatiserad och strukturerad samling personuppgifter som inrättats särskilt för ändamålet att

138

SOU 2014:23

En ny lag: hälso- och sjukvårdsdatalag

systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Med ett nationellt eller regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjuk- vården på nationell eller regional nivå.

Definitioner som överförs oförändrade

Utredningens bedömning är att samtliga begrepp som definieras i patientdatalagen även ska definieras i hälso- och sjukvårdsdata- lagen. Det innebär att det, utöver vad som redovisats ovan, finns ett antal begreppsdefinitioner som ska föras över oförändrade till den nya lagen. Dessa begrepp är journalhandling och patientjournal.

Med patientjournal ska således avses en eller flera journal- handlingar som rör samma patient.

Med journalhandling ska avses framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt upp- fattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga för- hållanden eller om vidtagna eller planerade vårdåtgärder.

7.2.5Övriga bestämmelser som förs över från patientdatalagen

Vårt förslag: Bestämmelserna om rättigheter för den enskilde i 8 kap. patientdatalagen ska föras över till hälso- och sjukvårds- datalagen med någon mindre justering. Bestämmelser om bevarande av journalhandlingar och om omhändertagande och återlämnande av journalhandlingar i 3, 6 och 9 kap. ska föras över från patientdatalagen. Bestämmelserna om skadestånd och överklagande i 10 kap. patientdatalagen ska också föras över.

I 8 kap. patientdatalagen finns bestämmelser om patientens rättig- heter som inte berörs av utredningens förslag i övrigt och som enligt vår mening ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen om rätten till journalförstöring ändras på så sätt att den även ska tillämpas med avseende på uppgifter i en gemensam vård- och omsorgsjournal, se avsnitt 32.3.10.

139

En ny lag: hälso- och sjukvårdsdatalag

SOU 2014:23

I vårt förslag till hälso- och sjukvårdsdatalag vill vi samla bestämmelserna om överlämnande, omhändertagande och bevarande av journalarkiv i ett eget kapitel. Motsvarande bestämmelser i 3,6 och 9 kap. PDL ska därför föras över till detta kapitel i den nya lagen. När det gäller bestämmelsen om bevarande om gallring i 6 kap. PDL ska den överföras och utvidgas till att gälla för bevarande och gallring av handlingar som är tillgängliga vid alla former av direktåtkomst som regleras i den nya lagen. När det gäller ansvaret för omhändertagna journaler som i dag regleras i 9 kap. 3 § PDL har ett nytt stycke införts om patientjournaler i verksamheter som bedrivits med en kommun som huvudman eller i elevhälsan, se avsnitt 13.4.6. I övrigt ska paragrafen överföras med oförändrad innebörd.

Bestämmelserna om skadestånd och överklagande berörs inte heller av våra förslag och ska därför föras över oförändrade till den nya lagen.

140

8Grundläggande bestämmelser om behandling av personuppgifter

8.1Bakgrund

Utredningens utgångspunkt är, som anförts i det föregående, att en lagstiftning på detta område bör utformas på ett sätt som bidrar till att stödja utvecklingen mot en ändamålsenlig informationshantering i hälso- och sjukvården. Både för patienter och för personal och ledning inom hälso- och sjukvården behöver de grundläggande förutsätt- ningarna för informationshantering och personuppgiftsbehandling vara tydliga. Det innebär bland annat att hälso- och sjukvårdsdatalagen ska kunna ge svar på vilka personuppgifter som får dokumenteras och vad de får användas till. I en sådan komplex verksamhet som hälso- och sjukvården är det dock inte möjligt att i detalj förutse och reglera varje form av personuppgiftsbehandling. Däremot finns goda förutsättningar att utforma hälso- och sjukvårdsdatalagen på ett motsvarande sätt som patientdatalagen (2008:355), förkortad PDL, d.v.s. som en ramlagstiftning där den yttersta ramen för det tillåtna när det gäller behandling av personuppgifter inom hälso- och sjukvården anges.

I detta avsnitt redogörs för ett antal av dessa mer grundläggande och övergripande frågeställningar som avses gälla generellt inom hälso- och sjukvårdsdatalagens tillämpningsområde. Till över- vägande del handlar det om att överföra befintliga bestämmelser från patientdatalagen.

141

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

8.2Våra överväganden och förslag

8.2.1Vissa grundläggande bestämmelser förs över oförändrade från patientdatalagen

Vårt förslag: Vissa av de grundläggande bestämmelserna om behandling av personuppgifter som finns i 2 kap. patientdatalagen ska föras över i sak oförändrade till hälso- och sjukvårdsdatalagen. Det rör bestämmelser om kapitlets tillämpningsområde, den enskildes inställning till personuppgiftsbehandlingen och vilka personuppgifter som får behandlas.

Utredningen föreslår ett antal grundläggande bestämmelser om behandling av personuppgifter i 2 kap. hälso- och sjukvårdsdatalagen. Kapitlet föreslås innehålla bestämmelser om personuppgiftsansvar, tillåtna ändamål för behandling av personuppgifter, vilka person- uppgifter som får behandlas, vilken betydelse patientens inställning till personuppgiftsbehandling har och vilka sökbegrepp som får användas i verksamheten.

Till övervägande del handlar det om att överföra motsvarande bestämmelser i patientdatalagen oförändrade till den nya lagen. De bestämmelser utredningen föreslår ska föras över oförändrade i sak anges i det följande. Det innebär även att bestämmelserna avses ha samma innebörd som framgår av vad regeringen anförde i förarbetena till patientdatalagen.1

I bestämmelserna kan dock följdändringar med anledning av utredningens förslag i andra delar aktualiseras.

Kapitlets tillämpningsområde

Utredningen föreslår att bestämmelserna i det aktuella kapitlet, precis som idag, ska gälla för sådan automatiserad behandling av personuppgifter som avses i personuppgiftslagen (1998:204), förkortad PUL. Bestämmelsen i 2 kap. 1 § PDL ska föras över oförändrad till hälso- och sjukvårdsdatalagen.

1 Prop. 2007/08:126 s. 55-77

142

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Den enskildes inställning till personuppgiftsbehandlingen

Utredningen föreslår att bestämmelserna om den enskildes inställning till personuppgiftsbehandlingen i 2 kap. 2 och 3 §§ PDL ska föras över oförändrade till hälso- och sjukvårdsdatalagen.

Det innebär bl.a. att behandling av personuppgifter som är tillåten enligt lagen, får utföras även om den enskilde motsätter sig den. Detta gäller om inte annat framgår av lag eller förordning. I hälso- och sjukvårdsdatalagen hänvisas till några sådana situationer där personuppgiftsbehandling inte får utföras om den enskilde motsätter sig den, exempelvis att lämna ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring.

Vidare innebär utredningens förslag, som idag, att sådan person- uppgiftsbehandling som inte är tillåten enligt hälso- och sjukvårds- datalagen ändå för utföras om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i hälso- och sjuk- vårdsdatalagen eller annan lag eller förordning. I hälso- och sjukvårdsdatalagen regleras ett sådant undantag, nämligen person- uppgiftsbehandling vid sammanhållen journalföring.

Därutöver innebär utredningens förslag att regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt hälso- och sjukvårdsdatalagen inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen. Regeringen har således en generell befogenhet att närmare föreskriva ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandlingen.

Personuppgifter som får behandlas

Från integritetssynpunkt är det väsentligt att inte andra person- uppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. Utredningen föreslår därför att bestämmelserna om vilka personuppgifter som får behandlas i 2 kap. 8 § PDL förs över oförändrade till hälso- och sjukvårdsdatalagen. Det innebär att en vårdgivare får behandla endast sådana personuppgifter som behövs för de i lagen uppräknade tillåtna ändamålen för personuppgiftsbehandling i hälso- och sjukvården. Vidare klargörs att uppgifter om lagöver- trädelser m.m. som avses i 21 § PUL endast får behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en privat vård-

143

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

givare får under dessa förutsättningar behandla personuppgifter om lagöverträdelser.

I sammanhanget ska förtydligas att personuppgiftslagens grund- läggande krav på att personuppgifter ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella gäller även vid behandling av personuppgifter enligt hälso- och sjukvårds- datalagen. Vårdgivare behöver därför bland annat göra en bedömning av vilka personuppgifter som behövs för olika ändamål.

8.2.2Personuppgiftsansvar

Vårt förslag: Den nuvarande paragrafen om personuppgiftsansvar i 2 kap. 6 § PDL ska föras över till hälso- och sjukvårdsdatalagen. Bestämmelsen ska kompletteras i fråga om personuppgifts- ansvarets placering hos en huvudman. I lagen ska därmed anges att det hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763), förkortad HSL, som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.

Ur ett integritetsskyddsperspektiv är det lämpligt att i en register- lagstiftning precisera vem som är personuppgiftsansvarig för sådan behandling av personuppgifter som utförs enligt lagen. Genom patientdatareformen har det tydliggjorts att en vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som vårdgivaren utför. Vidare har personuppgiftsansvaret i den offentliga hälso- och sjukvården preciserats ytterligare genom att det i lagen anges att i ”landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför”. Vidare anges i den nuvarande paragrafen att vårdgivarens personuppgifts- ansvar även omfattar sådan behandling av personuppgifter som vårdgivaren, eller myndigheten, utför när vårdgivaren eller myndig- heten genom direktåtkomst i ett enskilt fall bereder sig tillgång till

144

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.

Utredningen föreslår att den nuvarande bestämmelsen förs över oförändrad till hälso- och sjukvårdsdatalagen. Därutöver föreslår vi att bestämmelserna kompletteras med ett förtydligande vad gäller personuppgiftsansvarets placering hos en sjukvårdshuvudman. Vi bedömer att denna komplettering är nödvändig med hänsyn till vårt förslag om att hälso- och sjukvårdsdatalagen i tillämpliga delar även ska gälla för en huvudman. Dessutom kan konstateras att det i den nuvarande bestämmelsen endast pekas ut att de myndigheter i landsting och kommuner som bedriver hälso- och sjukvård är personuppgiftsansvarig för sin behandling av personuppgifter. Det kan därmed ifrågasättas om den nuvarande lydelsen formellt omfattar en kommunal eller landstingskommunal myndighet som inte bedriver någon egentlig hälso- och sjukvård, men samtidigt har ett huvudmannaansvar för verksamheten och i den egenskapen har ett behov av att behandla personuppgifter.

I syfte att tydliggöra personuppgiftsansvarets placering hos sjukvårdshuvudmännen föreslår vi således att det i bestämmelsen ska anges att hos en huvudman är den myndighet som ansvarar för att erbjuda hälso- och sjukvård enligt hälso- och sjukvårdslagen, personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt hälso- och sjukvårdsdatalagen.

8.2.3Sökbegrepp

Vårt förslag: Den nuvarande paragrafen om sökbegrepp i patientdatalagen ska omarbetas språkligt. Paragrafen ska i sak föras över oförändrad, dock med undantaget att det inte längre ska vara otillåtet att som sökbegrepp använda uppgift om någon har fått bistånd eller varit föremål för andra insatser inom socialtjänsten.

Vår bedömning: De krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten, samt utredningens förslag om förbättrade möjligheter för sådan samverkan innebär att vårdgivare kan ha ett behov av att använda uppgift om att någon har eller har fått bistånd inom socialtjänsten som sökbegrepp.

145

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Inledning

Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna från integritetssynpunkt. Utredningen föreslår att bestämmelserna om sökbegrepp i 2 kap. 8 § PDL förs över i princip oförändrade till hälso- och sjukvårdsdatalagen, men att en språklig omarbetning görs. Den nuvarande bestämmelsen börjar med att, genom en hänvisning till bestämmelser i personuppgiftslagen, tala om vad som är otillåtet för att sedan ange undantag till detta. Utredningens bedömning är att bestämmelsen blir tydligare om hänvisningen till personuppgiftslagen till viss del tas bort och istället ersätts med konkreta formuleringar om vilka sökbegrepp som är otillåtna. Istället för att ange att personuppgifter som avses i 13 § PUL inte får användas som sökbegrepp och sedan föreskriva att undantag från det förbudet vad gäller att använda uppgifter om hälsa som sökbegrepp, bedömer utredningen således att paragrafen uttryckligen ska ange att som sökbegrepp får inte användas uppgifter som avslöjar: ras, etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller sexualliv. Inte heller ska uppgifter om att någon varit föremål för åtgärder enligt utlännings- lagen (2005:716) få användas som sökbegrepp.

Det innebär exempelvis att det, precis som idag, ska vara tillåtet att använda uppgifter om hälsa som sökbegrepp.

Uppgifter om lagöverträdelser m.m. som avses i 21 § PUL ska inte heller få användas som sökbegrepp. Detta följer redan av den nuvarande bestämmelsen. Vidare ska även fortsättningsvis ett undantag från det förbudet göras vad gäller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Utredningen förslag innebär även att regeringen som idag kan meddela föreskrifter om att vårdgivare, trots sökbegränsningarna, får använda personuppgifter om etnicitet, uppgifter om betydelse för smittskyddet samt uppgifter om insatser enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

146

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Uppgift om bistånd och insatser inom socialtjänsten

I den nuvarande bestämmelsen om sökbegrepp i 2 kap. 8 § PDL anges att som sökbegrepp inte får användas uppgift om att någon fått bistånd eller varit föremål för andra insatser inom social- tjänsten. I samband med patientdatalagens tillkomst fördes detta förbud över till den lagen från den då gällande vårdregisterlagen. I förarbetena till vårdregisterlagen motiverades sökbegränsningarna i fråga om insatser inom socialtjänsten emellertid endast med att det överensstämde med den vid den tidpunkten gällande datalagen.2 I datalagen angavs visserligen inga sökbegränsningar rörande uppgifter om insatser enligt socialtjänsten, men i dess 4 § räknades emellertid uppgift om att någon fått ”ekonomisk hjälp eller vård inom socialtjänsten” upp som en särskilt känslig uppgift.

Enligt utredningens bedömning finns det mot bakgrund av den nära samverkan som behöver ske mellan hälso- och sjukvården och socialtjänsten skäl att ifrågasätta den nu gällande sökbegränsningen. Kommuner och landsting har under årens lopp ålagts fler och fler skyldigheter att samverka rörande individer med sammansatta behov av både hälso- och sjukvård och socialtjänst. Som exempel kan nämnas det krav på samordnad vårdplanering som finns rörande enskilda som vid utskrivning från slutenvården har behov av insatser från den kommunala hälso- och sjukvården och socialtjänsten. Vidare ska landstinget enligt 8 a och b §§ HSL ingå en överenskommelse med kommunen om ett samarbete i fråga om personer med psykisk funktionsnedsättning och om personer som missbrukar alkohol, narkotika, andra beroendeframkallande medel, läkemedel eller dopningsmedel. När den enskilde har behov av insatser både från hälso- och sjukvården och från socialtjänsten ska landstinget, enligt 3 f § HSL, tillsammans med kommunen upprätta en individuell plan. Av planen ska framgå vilka insatser som behövs, vilka insatser respektive huvudman ska svara för, vilka åtgärder som vidtas av någon annan än landstinget eller kommunen, och vem av huvudmännen som ska ha det övergripande ansvaret för planen.

Därutöver har landstinget ansvaret för de läkarresurser som behövs för att enskilda ska kunna erbjudas god hälso- och sjukvård i särskilt boende och i hemsjukvården.

Sammantaget kan konstateras att de krav på nära samverkan som föreligger mellan landsting och kommuner i fråga om hälso- och sjukvård och socialtjänst medför att det i hälso- och sjukvården

2 Prop. 1997/98:108 s. 75

147

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

behöver dokumenteras en rad uppgifter om de insatser som enskilda får tillgodosedda av socialtjänsten. All vårdplanering som görs i fråga om patienter som skrivs ut från slutenvården och som har behov av insatser från socialtjänsten ska exempelvis dokumenteras i patientjournalen.3 Även för att leva upp till själva grundkravet i 3 kap. 6 § PDL på att patientjournalen ska innehålla de uppgifter som behövs för en god och säker vård av patienten kan vårdgivare behöva dokumentera uppgifter som har anknytning till socialtjänstens verksamhet. Det kan exempelvis handla om att den enskilde får bistånd i form av särskilt boende eller att den enskilde är beviljad hemtjänst och hemsjukvård.

Utredningens bedömning är att de krav på samverkan som finns mellan hälso- och sjukvården och socialtjänsten samt utredningens förslag om förbättrade möjligheter för sådan samverkan medför att vårdgivare kan behöva använda uppgifter om att någon har insatser inom socialtjänsten som sökbegrepp. Det kan exempelvis behövas för att få fram en uppgift om hur många invånare som omfattas av landstinget ansvar för läkarresurser i särskilt boende eller i hem- sjukvården. Det kan även behövas för att kunna göra samman- ställningar kring arbetet med de olika individuella vårdplanerna som ska tas fram i samverkan med kommunen. Utredningens förslag om möjligheter för hälso- och sjukvården och socialtjänsten att – under vissa förutsättningar – ha direktåtkomst till varandras personuppgifter medför även att det för vårdgivares del måste vara möjligt att göra sökningar för att administrera eller göra samman- ställningar kring informationsutbytet genom direktåtkomst.

Vidare anser utredningen att det redan idag, genom att det är tillåtet att söka på uppgift om hälsa, kan hävdas att sökning på uppgifter om insatser inom socialtjänsten är tillåtet så länge det handlar om en uppgift som rör hälsa. Eftersom begreppet hälsa ska ges en vidsträckt tolkning enligt personuppgiftslagen kan då konstateras att mycket av det som görs inom socialtjänsten torde kunna falla inom ramen för vad som är att betrakta som en uppgift om hälsa. Det blir då osäkert vilket reellt tillämpningsområde den nu gällande sökbegränsningen ska anses ha. Samtidigt bedömde patientdatautredningen att en uppgift om att en äldre eller en funktionshindrad får insatser inom socialtjänsten i form av särskilt boende inte får användas som sökbegrepp, vare sig för att söka

3 3 kap. 6 § Socialstyrelsens föreskrifter (SOSFS 2005:27) om samverkan vid in- och utskrivning av patienter i sluten vård

148

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

fram en enskild uppgift eller för att kunna göra sammanställningar rörande fler patienter.

Sammanfattningsvis bedömer utredningen att det bör finnas ett tydligt stöd för vårdgivare att, vid behov, söka på uppgift om att någon har insatser inom socialtjänsten. Vi har ovan redogjort för den nära samverkan som ska ske mellan hälso- och sjukvården och social- tjänsten samt lämnat några exempel på när landstinget kan behöva söka på uppgifter relaterade till socialtjänstens verksamhet. Därutöver finns det, enligt vår bedömning, naturligtvis ett grundläggande och berättigat behov för vårdgivare inom den kommunala hälso- och sjukvården att kunna söka på uppgifter om insatser i socialtjänsten. Inte minst med tanke på att den kommunala hälso- och sjukvården bedrivs i det närmaste integrerat med socialtjänstens verksamhet ter sig en sökbegränsning omotiverad. En kommunal vårdgivare kan exempelvis behöva söka på socialtjänstrelaterade uppgifter för att kunna planera sin verksamhet i hemsjukvården och för att kunna samverka med de utförare av socialtjänst som den enskilde har.

Sammantaget anser vi att det finns övervägande skäl som talar för att den nuvarande sökbegränsningen bör tas bort. Vi bedömer att detta kan göras på ett sätt som inte medför otillbörliga intrång i de enskildas personliga integritet. Det handlar uteslutande om verksamheter som har dokumenterat uppgifter relaterade till social- tjänstens verksamhet för att uppgifterna bedöms vara viktiga för patientens vård och behandling samt för möjligheterna att planera och i övrigt bedriva en verksamhet av hög kvalitet. I praktiken har även många personer, inte minst bland de äldre, så sammansatta behov av vård och omsorg att det gör att det i praktiken inte alltid är enkelt att avgöra vad som är att hänföra till hälso- och sjukvård och vad som är att hänföra till socialtjänst.

Samtidigt vill vi erinra om att uppgifter relaterade till social- tjänsten, precis som uppgifter relaterade till hälso- och sjukvården, är av ömtålig art ur integritetssynpunkt. Vårdgivare behöver därför alltid vid personuppgiftsbehandling göra en bedömning av vilka uppgifter som är nödvändiga att behandla med hänsyn till ändamålet. De grundläggande kraven enligt personuppgiftslagen gäller naturligtvis även vid personuppgiftsbehandling som innebär användning av olika sökbegrepp. Det innebär att den person- uppgiftsbehandling som utförs i samband med sökning och fram- tagning av sammanställningar alltid måste bottna i ett berättigat behov och att endast de personuppgifter som behövs med hänsyn till detta behov behandlas.

149

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

8.2.4Tillåtna ändamål för behandling av personuppgifter m.m.

Vårt förslag: De nuvarande bestämmelserna i 2 kap. 4 och 5 §§ PDL om tillåtna ändamål för personuppgiftsbehandling ska över- föras till hälso- och sjukvårdsdatalagen. I ändamålskatalogen ska vidare anges att personuppgifter får behandlas för att förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Inledning

Det är av integritetsskäl viktigt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav. En vårdgivare eller en huvudman får därför endast behandla sådana uppgifter som behövs för de ändamål som i lagen räknas upp som tillåtna. En ändamåls- bestämmelse styr därmed över vilka personuppgifter som får samlas in och fortsättningsvis behandlas i verksamheten.

Att i lagen närmare specificera vilka personuppgifter som får behandlas i verksamheten skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av it inom hälso- och sjukvården. Även om det av personuppgiftslagen följer ett krav på att ändamålen ska vara särskilda, behöver ändamålsbestämmelsen utformas tämligen generellt när det, som i detta fall, gäller en registerlag som reglerar flera olika slags vårdgivares behandling av personuppgifter i en sådan komplex verksamhet som hälso- och sjukvården. En alltför detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar på området är inte möjlig att göra och skulle även, som anförs ovan, riskera att hämma utvecklingen av hälso- och sjukvårdens informations- hantering.

Genom patientdatalagen infördes en i princip uttömmande ändamålskatalog för personuppgiftsbehandlingen i hälso- och sjuk- vården. Regleringen är fakultativ i den bemärkelsen att den anger vad vårdgivaren får göra. Det är således en yttersta ram för när person- uppgifter får samlas in och fortsättningsvis behandlas. Inom denna ram behöver vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål för olika delar av personuppgiftsbehandlingen. Det följer av 9 § första stycket c PUL om att ändamålen ska vara särskilda.

150

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Utredningen föreslår således att den nuvarande ändamåls- uppräkningen i 2 kap. 4 och 5 §§ PDL förs över till hälso- och sjuk- vårdsdatalagen. Med utgångspunkt från förarbetena till patientdata- lagen utvecklas innebörden av de tillåtna ändamålen nedan.4 I det följande redogör utredningen även för förslaget om att tillföra två ytterligare ändamål till hälso- och sjukvårdsdatalagen.

Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (vårddokumentation)

Det tillåtna ändamålet är knutet till den behandling av person- uppgifter som behövs för att fullgöra skyldigheten att föra patient- journal men också för att upprätta annan dokumentation som kan behövas i och för vården av en patient. Den individinriktade patientverksamheten kräver en omfattande hantering av person- uppgifter för att fungera ändamålsenligt så att en hög patient- säkerhet, god kvalitet och effektivitet i verksamheten kan upprätt- hållas. Det är därför en självklarhet att lagens ändamålsbestämning måste omfatta detta behov.

Grunden för informationshanteringen är många gånger ett direkt dokumentationskrav från lagstiftarens sida i form av en skyldighet för särskilda yrkeskategorier att föra patientjournal. Men att hänvisa till denna dokumentationsskyldighet är långt ifrån tillräckligt för att täcka in behoven av personuppgiftsbehandling i den individinriktade verksamheten. Det beror bl.a. på svårigheterna att formellt sett dra upp gränsen för vilken dokumentation som är respektive inte är en del av patientjournalen. En hel del person- uppgifter kan behandlas helt separat från den ordinära journal- föringen, t.ex. vid medicinska serviceenheter, på sätt som kan leda till tveksamheter om de utgör journalhandlingar eller inte. Även sådan dokumentation som faller vid sidan av skyldigheten att föra journal kan omfattas av ett ändamål som rör den individinriktade patientverksamheten.

Med patient avses den enskilde i hans kontakt med hälso- och sjukvården. Denna innebörd är hämtad från förarbeten till patient- journallagen (1985:562).5 Det innebär t.ex. att en blodgivare är patient.

4Prop. 2007/08:126 s. 55-60

5Prop. 1984/85:189 s. 36

151

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Den individinriktade verksamheten kan avse såväl sjukdomsföre- byggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Det saknar betydelse vem som tagit initiativ till vården. Eftersom även undersökning utan egentligt vård- eller behandlings- syfte ingår i vårdbegreppet, omfattas även personuppgiftsbehandling t.ex. i samband med hälsoundersökning av personer som söker körkortstillstånd eller vid blodprovstagning på polisens begäran vid misstänkt rattonykterhet av lagens tillämpningsområde.

All patientrelaterad administration, oavsett om den avser ekonomiska förhållanden eller andra förhållanden omfattas av ändamålet administration som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall.

Man kan sammanfattningsvis säga att personuppgifts- behandlingen i den individinriktade verksamheten utförs för det samlade ändamålet vårddokumentation.

Utförande av annan dokumentation som följer av lag, förordning eller annan författning

Det finns en rad olika författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. Det kan dock vara nödvändigt med en särskild personuppgiftsbehandling när dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras, t.ex. när det gäller uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Det behövs därför ett särskilt ändamål som uttryck- ligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten.

Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (kvalitetssäkring)

I 31 § HSL föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns även i 16 § tandvårdslagen (1985:125). Genom dessa bestämmelser finns det alltså ett författningsreglerat krav på

152

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

vårdgivare inom hälso- och sjukvården och tandvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling.

Genom användning av modern informationsteknik förbättras möjligheterna att bedriva kvalitetssäkringsarbete avsevärt. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring. Men det förekommer också person- uppgiftsbehandling särskilt för kvalitetssäkringsändamål, dvs. som inte innebär en ”återanvändning” av vårddokumentation utan handlar om personuppgifter som på olika sätt hämtas in och analyseras för det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen. Det är dock inte något problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling görs. Ett särskilt ändamål som tillåter denna behandling uttrycks därför som ett ändamål i lagen.

Inom ramen för vårdgivarens systematiska kvalitetsarbete kan patientuppgifter användas på många olika sätt. Det kan handla såväl om att enskilda yrkesutövare kontinuerligt följer upp resultaten av sina bedömningar och åtgärder som att vårdgivaren initierar särskilt inriktade kvalitetsarbeten med fokus på avgränsade delar av verksamheten t.ex. en viss process. Genom att vårdgivaren formulerar närmare riktlinjer för hur kvalitetsarbetet ska gå till kan en tydlig systematik uppnås. I den delredovisning som utredningen överlämnade till regeringen den 31 december 2013 behandlas möjligheterna att behandla uppgifter för ändamålet kvalitetssäkring ytterligare, se bilaga 4.

Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten

Den individinriktade kärnverksamheten föranleder administration och planering på ett mer övergripande plan än vid dokumentation för individinriktad hälso- och sjukvård. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även

153

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet.

I personuppgiftsbehandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person. Likväl är det fråga om personuppgiftsbehandling.

Ett ytterligare område som alltmer kommit i fokus är kravet på att hälso- och sjukvården ska förbättra verksamhetsuppföljningen. Med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verk- samhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna.

Ett annat område som innefattar personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården är det knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter.

Framställning av statistik rörande hälso- och sjukvård

I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppfölj- ning. Men landstingen framställer också statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik anges därför som ett särskilt ändamål i lagen.

154

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Att förebygga, utreda eller behandla sjukdomar och skador hos patienter

Under utredningens arbete har framkommit att det finns en osäkerhet kring tillämpningen av den nu gällande ändamålsbestämmelsen. Det har framför allt handlat om vilken ändamålsbestämmelse som anger att det är tillåtet för den som arbetar hos en vårdgivare att ta del av uppgifter om en patient för att exempelvis fatta beslut om patientens vård och behandling.

Eftersom begreppet behandling av personuppgifter även omfattar att ta del av och använda personuppgifter som redan är dokumenterade behöver således ändamålsbestämmelsen omfatta en senare användning av redan dokumenterade uppgifter. I samman- hanget kan emellertid noteras att personuppgiftsbehandlingen för ändamålet vårddokumentation är formulerat på ett sådant sätt att det är avgränsat till sådan personuppgiftsbehandlingen som handlar om att fullgöra journalföringsplikten, upprätta annan dokumentation som behövs, eller för sådan administration som har med patientens vård att göra. Många gånger behöver hälso- och sjukvårdspersonal emellertid behandla personuppgifter om en patient utan att det för den skull handlar om att fullgöra journalföringsplikten eller att upprätta annan dokumentation. Det kan exempelvis handla om att använda redan dokumenterade uppgifter för att fatta ytterligare beslut om patientens vård eller för att förbereda sig inför en undersökning av patienten etc.

Visserligen anförde regeringen i förarbetena att det med ändamålet vårddokumentation inte endast avses själva insamlingen och registreringen av uppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patient- vården eller patientadministrationen.6 Samtidigt har utredningen förståelse för att hälso- och sjukvårdspersonal som tar del av den nuvarande ändamålsbestämmelsen känner tveksamhet inför vad som gäller. Bestämmelsen uttrycker över huvud taget ingenting om senare användning av redan dokumenterade uppgifter.

Sammantaget bedömer utredningen att det finns skäl att i ändamålsbestämmelsen tydliggöra att personuppgiftsbehandling är tillåten även om det inte handlar om att fullgöra journalföringsplikt eller liknande, utan om att använda uppgifter i och för vården av en patient. Inte minst mot bakgrund av den osäkerhet och otrygghet kring patientdatalagens tillämpning som finns bland hälso- och

6 Prop. 2007/08:126 s. 57

155

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

sjukvårdspersonal kan ett sådant tydliggörande ha stor betydelse. Mot denna bakgrund föreslår vi att det i hälso- och sjukvårdsdatalagen ska anges att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienter. Utredningens förslag innebär ingen förändring eller utvidgning jämfört med vad som anses gälla redan idag, utan ska i allt väsentligt betraktas som ett förtydligande.

Uppgiftsutlämnande och finalitetsprincipen

Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Om utlämnandet görs för syften som gäller den för utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av något av de tillåtna ändamålen. Inte sällan görs utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.

För den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan göras utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs också att sekretessen inte hindrar ett utlämnande.

Beträffande den allmänna hälso- och sjukvården följer vidare av 6 kap. 5 § OSL att en myndighet på begäran av annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223).

Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan att sekretessen hindrar det. I 10 kap. OSL

156

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

finns exempelvis bestämmelser som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall.

Gemensamt för allt detta uppgiftslämnande är att det görs med stöd av författningar som påbjuder eller tillåter utlämnande. När sådana bestämmelser har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i hälso- och sjukvårdsdatalagen förhindra att person- uppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informations- teknik i stället för som tidigare på papper.

Ändamålsbestämmelsen, som förs över från patientdatalagen, medger alltså att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som görs i överens- stämmelse med lag eller förordning.

Vidare föreslår utredningen personuppgiftslagens finalitets- princip, som idag, ska gälla även vid personuppgiftsbehandling enligt hälso- och sjukvårdsdatalagen. Finalitetsprincipen innebär att personuppgifter som har samlats in i syfte att behandlas för särskilda, uttryckligt angivna ändamål (jfr 9 § första stycket c PUL) får behandlas även för andra, nya ändamål, om dessa inte är oförenliga med de ursprungliga ändamålen (9 § första stycket d samma lag). Principen hindrar inte att insamlade personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen (9 § andra stycket PUL). Eftersom ändamålsbestämmelserna i lagen är uttömmande ska hälso- och sjukvårdsdatalagen uttrycklig hänvisa till dessa bestämmelser i personuppgiftslagen.

157

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

8.2.5Att antalsberäkna och identifiera personer för forskning inom hälso- och sjukvården

Vårt förslag: Av hälso- och sjukvårdsdatalagens ändamåls- bestämmelse ska följa att det är tillåtet att behandla person- uppgifter för att antalsberäkna möjliga deltagare för forskning inom hälso- och sjukvården. Vidare ska det vara tillåtet att behandla personuppgifter för att identifiera möjliga deltagare som kan erbjudas medverkan i sådan forskning, om den aktuella studien är godkänd av regional eller central etikprövnings- nämnd. Som en ytterligare förutsättning krävs att vårdgivaren har tagit fram och implementerat riktlinjer för hur person- uppgiftsbehandlingen för dessa ändamål ska utföras.

Vår bedömning: Förslaget innebär ett krav på vårdgivare att ta fram närmare riktlinjer som beskriver hur den här aktuella personuppgiftsbehandlingen ska gå till. Att antalsberäkna och identifiera personer för forskningsstudier bör dessutom vara en uppgift endast för ett fåtal personer i vårdgivarens verksamhet. Vidare bedömer utredningen att det av det särskilda regelverket om nationella och regionala kvalitetsregister med tillräcklig tydlighet redan följer att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården är tillåtet.

Inledning

För att en klinisk prövning i hälso- och sjukvården ska kunna bedrivas krävs att det finns ett antal deltagare (patienter) som, efter att ha fått information om studien och erbjudande om deltagande, väljer att medverka i prövningen. Även för annan forskning inom hälso- och sjukvården, exempelvis registerstudier, är det naturligtvis nödvändigt att kunna inkludera personuppgifter om patienter för att kunna bedriva studien. Eftersom samtycke till sådan forskning inte alltid inhämtas, ser dock själva rekryteringen till viss del annorlunda ut.

För att kunna rekrytera personer till kliniska prövningar används en rad olika arbetssätt, som exempelvis annonsering i tidningar och på internet eller genom direkta kontakter mellan hälso- och sjukvårdspersonal och patienter. Generellt kan inte alla

158

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

personer som vill erbjudas deltagande i en klinisk prövning utan ofta är prövningen inriktad på vissa specifika förhållanden, vilket gör att deltagarna behöver motsvara de villkor som har ställts upp för studien. Det kan handla om att deltagarna ska ha en viss sjukdom, ta vissa läkemedel, ha varit föremål för en viss hälso- och sjukvårdsåtgärd eller kunna uppvisa andra karaktäristika som har betydelse för prövningen.

Innan en rekrytering till en klinisk prövning startar kan det även finnas behov av att bilda sig en uppfattning om hur stort det potentiella underlaget av deltagare är, bland annat för att avgöra om en tänkt prövning kan tänkas gå att genomföra eller inte. Det har under utredningens arbete framkommit att det i hälso- och sjukvården finns behov av att behandla personuppgifter just i syfte att beräkna det potentiella underlaget och i vissa fall sedan kunna identifiera vilka personer som kan erbjudas medverkan i kliniska prövningar. Detta moment benämns ofta pre-screening.

Motsvarande behov finns även för annan forskning inom hälso- och sjukvården, t.ex. registerstudier. Eftersom sådan forskning sällan utförs genom en öppen rekrytering av forskningspersoner, är en grundläggande förutsättning att det finns ett register som innehåller de för forskningen relevanta uppgifterna eller att sådana uppgifter går att söka fram i ett bredare register eller databas. Även för registerstudier finns därmed ett behov av att kunna antals- beräkna det potentiella underlaget för studien.

Kort om kliniska prövningar

En klinisk prövning kan beskrivas som en undersökning för att studera effekten av ett läkemedel eller en behandlingsmetod. Förutom sådant som har med läkemedel att göra, exempelvis att utvärdera olika substansers lämplighet och att analysera olika effekter av läkemedel, kan kliniska prövningar även handla om att utvärdera kirurgiska metoder som används i vården, dieter, medicintekniska produkter m.m. Kliniska prövningar är därför ett viktigt verktyg för att kunna garantera och utveckla en hög kvalitet och säkerhet i hälso- och sjukvården. Det innebär också en kontroll av nya produkter och behandlingar samt ett stöd vid tidigt införande av nya behandlingar i vården.

När det gäller kliniska läkemedelsprövningar bedrivs de oftast i samarbete mellan det företag (sponsor) som utvecklat läkemedlet

159

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

och hälso- och sjukvårdspersonal hos en vårdgivare (prövare). Rent praktiskt innebär det bland annat att kliniska prövningar normalt sett äger rum i hälso- och sjukvården, t.ex. på ett sjukhus, och under ledning och uppsikt av vårdgivarens hälso- och sjukvårds- personal. Det är således vårdgivaren i egenskap av prövare som har kontakten med deltagarna (patienterna) och utför själva pröv- ningen. Närmare förutsättningar om hur kliniska läkemedels- prövningar får genomföras m.m. finns bland annat i läkemedels- lagen (1992:859) och Läkemedelsverkets föreskrifter (LVFS 2011:19) om kliniska läkemedelsprövningar på människor.

En del kliniska prövningar kan även bedrivas helt utan en sponsors eller annan extern aktörs inblandning. Det kan exempelvis handla om att vårdgivaren själv initierar en klinisk prövning för att t.ex. utvärdera de metoder i vården som vårdgivaren använder.

Att antalsberäkna och identifiera möjliga deltagare (pre-screening)

Inför en klinisk prövning preciseras vilka inklusions- och exklusionskriterier som ska gälla för studien, d.v.s. vilka villkor som måste vara uppfyllda för att en person ska kunna ingå i studien. Det är således endast de patienter som lever upp till villkoren som kan erbjudas deltagande i en klinisk prövning. Detta innebär bland annat att antalsberäkningen och identifieringen av möjliga deltagare samt rekrytering av dessa är grundförutsättningar för att en klinisk prövning över huvud taget ska kunna genomföras.

Att antalsberäkna och identifiera möjliga deltagare i en klinisk prövning görs ofta olika skeden av ett forskningsprojekt. Medan identifieringen av potentiella deltagare görs efter det att den aktuella studien har blivit godkänd av en regional etikprövnings- nämnd, kan antalsberäkningen behöva äga rum i ett tidigare skede, t.ex. för att undersöka om det över huvud taget finns ett tillräckligt stort patientunderlag för att genomföra studien hos en viss vårdgivare eller till och med i Sverige. Den som överväger att initiera och bedriva en klinisk prövning, oavsett om det är vårdgivaren själv eller en sponsor, kan med andra ord tidigt i processen behöva få en indikation på om det är möjligt att genomföra studien på det sätt det är tänkt. Pre-screening kan därmed vara en användbar metod för att bedöma möjligheterna till genomförande av en planerad studie samt för utformning av den slutliga studiedesignen. Att snabbt få ett besked som bekräftar om

160

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

det finns ett tillräckligt stort patientunderlag som kan tillfrågas är värdefullt för den aktör som sedan ska fatta beslut om var studien ska genomföras.

Ett sätt att inleda arbetet är därför att jämföra uppgifter i patientjournaler med studiens villkor för deltagande. Om det endast handlar om att beräkna det potentiella patientunderlaget kan exempelvis en sökning i journalsystemet ge svar på frågeställ- ningen. Vid ett sådant arbetssätt kan det relativt snabbt och enkelt vara möjligt att beräkna antalet personer som motsvarar villkoren i studien. Uppgifter om antalet potentiella deltagare kan även lämnas till en eventuell sponsor, men några närmare uppgifter om de enskilda får inte lämnas ut. Utredningen har vid kontakter med vårdgivare fått information om att den sökning som görs i samband med en antalsberäkning av det potentiella patientunderlaget idag kan göras utan att några direkt utpekande personuppgifter exponeras. Det är likväl en personuppgiftsbehandling i person- uppgiftslagens mening, men ur ett integritetsperspektiv är det naturligtvis positivt att inte fler personuppgifter än vad som är nödvändigt exponeras för hälso- och sjukvårdspersonalen.

Om det efter en antalsberäkning finns behov av att gå vidare för att kunna vända sig till enskilda personer och erbjuda dem medverkan i en etikgodkänd studie, behöver vårdgivaren naturligtvis ta del av person- uppgifter som namn och personnummer. Det kan exempelvis handla om att särskilt utpekad hälso- och sjukvårdspersonal, exempelvis en forskningssjuksköterska går igenom patientunderlaget för att närmare granska vilka som passar in i studien efter de uppställda inklusions- och exklusionskriterierna. Vårdgivaren kan sedan informera de patienter som identifieras och erbjuda dem deltagande i studien.

Vidare kan konstateras att pre-screeningen, oavsett om det handlar om att endast beräkna antalet potentiella deltagare eller att identifiera möjliga deltagare, uteslutande görs inom ramen för vårdgivarens verksamhet. Det är hälso- och sjukvårdspersonal hos vårdgivaren som genomför arbetet och inga personuppgifter röjs för en eventuell sponsor av den kliniska prövningen i detta skede. Även själva rekryteringen, d.v.s. när individen får information om studien och erbjuds deltagande, görs inom vårdgivarens verk- samhet. Om det är aktuellt att röja personuppgifter utanför vård- givarens verksamhet, t.ex. till en eventuell sponsor, görs det endast efter det att den enskilde deltagaren samtyckt till deltagande i studien och till den personuppgiftsbehandling som ska utföras i studien samt till att personuppgifter lämnas ut till sponsorn.

161

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Därutöver kan konstateras att själva personuppgiftsbehandlingen som vårdgivaren utför i samband med att antalsberäkna och/eller identifiera potentiella deltagare är densamma oavsett om den kliniska prövningen är initierad av vårdgivaren själv eller om vårdgivaren planerar att bedriva studien på uppdrag av en sponsor.

Att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården bör uttryckligen omfattas av de tillåtna ändamålen

Patientdatalagens nuvarande ändamålsbestämmelser är relativt generellt utformade och utgör den yttersta ramen för en tillåten personuppgiftsbehandling. Inom ramen för detta måste vårdgivare sedan precisera ändamålen vid olika slags personuppgiftsbehandlingar.

Något ändamål som uttryckligen tar sikte på personuppgifts- behandling för att antalsberäkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården finns inte i patientdatalagen. Närmast till hands torde vara att tillämpa bestämmelserna i 2 kap. 5 § PDL. Enligt dessa bestämmelser är det tillåtet att behandla person- uppgifter för sådant utlämnande som görs i enlighet med lag eller förordning. Vidare är det tillåtet att behandla personuppgifter för något annat ändamål än det för vilket personuppgifterna samlades in, så länge det nya ändamålet inte är oförenligt med det ursprungliga. Personuppgiftslagens finalitetsprincip gäller således vid behandling av personuppgifter enligt patientdatalagen. Av den ovan nämnda bestämmelsen framgår även, genom en hänvisning till personuppgifts- lagen, att en behandling för historiska, statistiska eller vetenskapliga ändamål aldrig ska anses som oförenliga med de ursprungliga ändamålen. När det gäller personuppgiftsbehandling för antals- beräkning finns även stora likheter med olika former av statistikframställning som vårdgivare utför.

Patientdatautredningen anförde i samband med utformningen av ändamålsbestämmelsen att personuppgiftsbehandlingen i hälso- och sjukvården är så komplex, omfattande och mångskiftande att det var nödvändigt att formulera ändamålsbestämmelserna tämligen generellt. En detaljerad uppräkning av alla tänkbara personuppgiftsbehandlingar ansågs inte vara möjligt och bedömdes även riskera att hämma utvecklingen av hälso- och sjukvårdens informationsförsörjning. Vidare uttalade patientdatautredningen att ändamålen i praktiken flyter in i varandra och att gränsdragningarna inte alltid är skarpa. En

162

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

och samma behandling av personuppgifter ansågs kunna ske för mer än ett ändamål.7

Utredningen delar patientdatautredningens uppfattning och anser att den personuppgiftsbehandling som görs i samband med pre- screening, så som det beskrivits ovan, är ett tydligt exempel på när en personuppgiftsbehandling kan anses ske för flera närliggande och sammanhängande ändamål. Ibland kan personuppgiftsbehandlingen anses ske uteslutande för vårdgivarens egna ändamål, d.v.s. för egeninitierade prövningar. Andra gånger har vårdgivaren i egenskap av prövare och t.ex. läkemedelsbolaget i egenskap av sponsor i det närmaste ett gemensamt ändamål med den behandling av person- uppgifter som antalsberäkningen och en eventuell identifiering av möjliga deltagare innebär.

Vidare kan den initiala personuppgiftsbehandlingen i vissa fall komma att resultera i att personuppgifter lämnas ut, t.ex. till en sponsor efter den enskildes samtycke. Andra gånger medför motsvarande personuppgiftsbehandling emellertid inget utlämnande, t.ex. när det är en vårdgivarinitierad studie. Vidare innebär person- uppgiftsbehandlingen rörande de personer som visserligen söks fram initialt men sedan bedöms sakna någon av förutsättningarna för medverkan i studien, att personuppgifter varken kommer att lämnas ut eller behandlas för ett kommande forskningsändamål. Detsamma gäller för personer som blir tillfrågade om medverkan i studien, men som väljer att avstå.

Sammantaget finner utredningen att den nuvarande ändamåls- bestämmelsen är svår att tillämpa på den personuppgiftsbehandling som här är aktuell. Vid en bedömning av den legala grunden för personuppgiftsbehandlingen framträder flera alternativa synsätt, där såväl finalitetsprincipen som personuppgiftsbehandling som ett led i ett lagligt utlämnande kan behöva analyseras. Att grunda en personuppgiftsbehandling på finalitetsprincipen innebär dessutom ett mått av osäkerhet. I dagsläget saknas vägledande avgöranden om hur finalitetsprincipen ska tillämpas vid vårdgivares behandling av personuppgifter i hälso- och sjukvården. Av den anledningen kan det finnas ett behov av praxis i denna fråga.

Sett mot bakgrund av vad som anförts bedömer utredningen att det finns övervägande skäl som talar för att det ur ett integritets- skyddsperspektiv tydligt bör framgå att personuppgiftsbehandling för att antalsberäkna och identifiera möjliga deltagare i kliniska prövningar

7 SOU 2006:82 s. 178

163

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

och annan forskning inom hälso- och sjukvården ska omfattas av en egen, särskild, ändamålsbestämmelse. Vi bedömer inte att det är en helt tillfredsställande lösning att en sådan omfattande person- uppgiftsbehandling som det torde vara frågan om, inte minst för universitetssjukhusens del, ska baseras på bedömningar av finalitets- principens tillämpning eller tillämpning av bestämmelsen om utlämnande som tillåtet ändamål.

Samtidigt kan naturligtvis ifrågasättas om den aktuella person- uppgiftsbehandlingen bör vara något som ska anses ingå i vårdgivares primära ändamål. Här bör emellertid hälso- och sjukvårdens betydelse för den kliniska forskningen uppmärksammas. Kommuner och landsting har exempelvis genom 26 b § HSL en skyldighet att medverka vid finansiering, planering och genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälso- vetenskapligt arbete. Vidare har staten och vissa landsting träffat så kallade ALF-avtal om samarbete kring och ersättning för utbildning och medicinsk forskning. Att forskningsverksamhet är nära förknippat med hälso- och sjukvårdsverksamheten och huvud- männens ansvar är oomtvistat. Ett sätt för hälso- och sjukvården att bidra och medverka till forskning på hälso- och sjukvårdsområdet är att kunna svara på vilket potentiellt forskningsunderlag som finns hos olika vårdgivare.

Utredningens bedömning är därför att den här aktuella person- uppgiftsbehandlingen är av sådan betydelse och karaktär att det får anses som en naturlig uppgift för hälso- och sjukvårdens aktörer. Det handlar i stor utsträckning om att behandla personuppgifter som ett led i ett (eventuellt) utlämnande av uppgifter för forskningsändamål. Om det i rättslig mening är att tala om en utlämnandesituation är beroende på om forskningen bedrivs av någon annan än vårdgivaren som forskningshuvudman eller om forskningen bedrivs av en, i förhållande till vårdgivarens hälso- och sjukvårdsverksamhet, själv- ständig verksamhetsgren. Relationen mellan en vårdgivares hälso- och sjukvårdsverksamhet och forskningsverksamhet kan bedömas olika i sekretesshänseende beroende på vilken typ av forskning som bedrivs. Hälso- och sjukvårdsverksamhet inklusive forskning som utförs som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom en offentlig vårdgivares verksamhet å andra sidan, har ansetts utgöra självständiga verksamhetsgrenar i

164

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

förhållande till varandra.8 I sådana fall rör det sig således om en utlämnandesituation.

Alldeles oavsett om en klinisk prövning är vårdgivarinitierad och utförs i samma sekretessområde som vårdgivarens hälso- och sjuk- vårdsverksamhet eller om prövningen bedrivs i ett annat sekretess- område anser utredningen att den personuppgiftsbehandling som det är fråga om här, d.v.s. att antalsberäkna och identifiera möjliga deltagare, ska omfattas av regleringen i hälso- och sjukvårdsdatalagen. Därmed uppställs en likhet mellan denna personuppgiftsbehandling och den personuppgiftsbehandling som vårdgivaren utför som ett led i andra utlämnandesituationer. Personuppgiftsbehandling får redan idag utföras med stöd av 2 kap. 5 PDL för att lämna ut personuppgifter, oavsett om utlämnandet görs för syften i den utlämnande vårdgivarens verksamhet eller om det görs för mottagarens räkning. Mot bakgrund av den skyldighet som vårdgivare har, enligt hälso- och sjukvårdslagen, att medverka vid planering och genomförande av kliniskt forsknings- arbete kan även hävdas att pre-screening i allt väsentligt görs för vårdgivarens egna syften. Den personuppgiftsbehandling som aktualiseras därefter, t.ex. efter att en enskild samtyckt till att delta i studien, ska emellertid som idag primärt regleras av personuppgifts- lagen.

Sammanfattningsvis bedömer utredningen att personuppgifts- behandlingen ska regleras av hälso- och sjukvårdsdatalagen.

Särskilda villkor för att personuppgiftsbehandlingen ska vara tillåten

Utredningen anser att den här aktuella personuppgiftsbehandlingen egentligen är en behandling av personuppgifter för två olika ändamål, där det ena ändamålet är att antalsberäkna det potentiella deltagar- underlaget och det andra ändamålet är att identifiera vilka enskilda individer som motsvarar de kriterier som är uppställda för studien och som kan erbjudas deltagande. Vi bedömer även att personuppgifts- behandlingen för de båda ändamålen skiljer sig åt ur ett integritets- perspektiv. I antalsberäkningen torde det egentligen vara ointressant vem den enskilde individen är. Med hänsyn till ändamålet med antalsberäkningen, som kan betraktas som en sammanställning, bedömer vi även att det saknas anledning att exponera några direkt utpekande personuppgifter. Av den information som utredningen tagit del av är det dessutom möjligt att utforma it-stöden på ett sådant

8 Jfr prop. 1979/80:2 Del A s. 463 f och 494

165

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

sätt att det är möjligt att beräkna det potentiella deltagarantalet utan att de enskilda deltagarnas identitet framgår. Mot den bakgrunden föreslår utredningen att personuppgiftsbehandling för att antals- beräkna det potentiella deltagarantalet för forskning inom hälso- och sjukvården ska anges som ett tillåtet ändamål i hälso- och sjukvårds- datalagen.

Personuppgiftsbehandling som utförs för att identifiera enskilda individer som kan erbjudas medverkan i en forskningsstudie väcker dock enligt utredningens bedömning andra frågor. Här är det fråga om en mer ingående personuppgiftsbehandling där direkt utpekande uppgifter behöver användas på ett helt annat sätt än vad som gäller vid antalsberäkningen. Vi anser därför att den personuppgifts- behandlingen, för att den ska vara tillåten, måste förenas med vissa integritetsskyddande villkor.

För det första föreslår vi att det ska krävas att den aktuella studien har godkänts av den regionala eller centrala etikprövnings- nämnden. Att identifiera möjliga deltagare till studier som inte har varit föremål för etikprövningsnämndens ställningstagande och där godkänts, ska därmed inte vara tillåtet. Vi bedömer att det är påkallat med hänsyn till behovet av skydd för patienternas personliga integritet och att det ska gälla alldeles oavsett om det rör sig om en vårdgivarinitierad studie eller om en klinisk läkemedels- prövning där läkemedelsbolaget är sponsor. För att tydliggöra kravet på etikprövning bör det särskilt uttryckas i hälso- och sjukvårdsdatalagen.

Vidare anser vi att vårdgivare behöver ta fram rutiner och riktlinjer för hur personuppgiftsbehandlingen, både vid antals- beräkningen och vid identifieringen, ska gå till. Även om det enligt de grundläggande kraven i personuppgiftslagen och vad som i övrigt följer av bestämmelser om inre sekretess m.m. får anses otillåtet för hälso- och sjukvårdspersonal att på eget initiativ behandla personuppgifter för att antalsberäkna och/eller identifiera möjliga deltagare i forskningsstudier, anser vi att detta bör förtydligas genom riktlinjer från vårdgivarens sida. Vi föreslår därför att det i paragrafen uppställs ett krav på vårdgivare att ta fram riktlinjer för hur personuppgiftsbehandlingen för de här aktuella ändamålen ska utföras för att skydda de registrerades personliga integritet. Personuppgiftsbehandlingen för att antals- beräkna och identifiera möjliga deltagare för forskning inom hälso- och sjukvården får således endast göras under förutsättning att riktlinjer har tagits fram och implementerats i verksamheten. Det

166

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

följer redan av hälso- och sjukvårdsdatalagens övergripande krav på vårdgivaren att utforma informationshanteringen och person- uppgiftsbehandlingen med utgångspunkt bl.a. i behovet av skydd för den personliga integriteten att vårdgivaren måste ha riktlinjer och instruktioner till personalen. Detta förslag innebär en särskild påminnelse om detta ansvar för den aktuella personuppgifts- behandlingen.

Generellt bedömer vi att det endast bör vara fråga om ett fåtal personer i en vårdgivares verksamhet som bör ha i uppdrag att utföra den aktuella personuppgiftsbehandlingen. Det kan exempelvis inte anses tillåtet för t.ex. den enskilde läkare som överväger att initiera eller föreslå en forskningsstudie att själv och på eget bevåg ta del av personuppgifter i journalsystemet för att bilda sig en uppfattning om hur en studie skulle kunna designas eller hur många eller vilka patienter som skulle kunna erbjudas deltagande. Av hänsyn till behovet av skydd för patienternas personliga integritet bör vårdgivare därför ta fram närmare riktlinjer om vad som ska gälla. Det är inte möjligt för utredningen att reglera i detalj vad sådana riktlinjer ska innehålla, men vi anser att riktlinjerna åtminstone kan behöva uttrycka följande.

•Att personuppgiftsbehandling för att identifiera möjliga deltagare endast får ske om forskningsstudien har godkänts av etikprövningsnämnden.

•Vem eller vilka som har kompetens för arbetsuppgiften och bör kunna utföra den aktuella personuppgiftsbehandlingen.

•Hur uppdraget till personer som får utföra personuppgifts- behandlingen ska utformas.

•Hur åtkomst till uppgifter vid personuppgiftsbehandlingen ska loggas och i efterhand följas upp.

•Om någon form av internt ansöknings- eller anmälnings- förfarande ska vara påkallat, t.ex. för att godkänna och registrera att det i enskilda fall är tillåtet att behandla personuppgifter för att identifiera möjliga deltagare.

167

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Information till patienter

För att patienter ska ha kännedom och kunna ha en överblick över de ändamål för vilka personuppgifter behandlas i hälso- och sjukvården är information en grundläggande förutsättning. Utredningen vill därför som en generell rekommendation uppmana vårdgivare att, för det fall det inte redan görs, i sina allmänna informationsinsatser riktade mot patienter inkludera information om vårdgivarens roll i samband med forskning inom hälso- och sjukvården. Sådan information kan lämpligen ges tillsammans med övrig information om personuppgifts- behandlingen som vårdgivaren ska tillhandahålla patienter enligt den grundläggande bestämmelsen om informationsskyldighet i nuvarande 8 kap. 6 § PDL.

Att vända sig till patienter med erbjudande om deltagande i en forskningsstudie

Även om det kan sägas ligga utanför utredningens uppdrag vill vi även sätta ljuset på den, enligt vår mening, viktiga frågan om hur vårdgivaren på lämpligt sätt ska närma sig patienter med erbjudande om deltagande i kliniska prövningar och annan forskning på hälso- och sjukvårdens område. Enligt vår bedömning ställer detta moment stora krav på etiska överväganden, bland annat relaterat till individers personliga integritet, och varsamt tillvägagångssätt. För vårdgivarens del handlar det således inte enbart om att behandla personuppgifter och att ha rutiner för det, utan även om hur mötet med patienten arrangeras på ett sätt som värnar patientens behov av integritetsskydd och upprätthåller förtroendet för hälso- och sjukvården.

Nationella och regionala kvalitetsregister

Nationella kvalitetsregister är en naturlig kunskapskälla för forskning och av nuvarande bestämmelser i 7 kap. 5 § PDL framgår att uppgifter som behandlas i ett nationellt kvalitetsregister även får behandlas bland annat för forskning inom hälso- och sjukvården och för att framställa statistik. Vidare framgår av samma paragraf att det är tillåtet att lämna ut uppgifter till den som ska använda uppgifterna för sådan forskning.

168

SOU 2014:23

Grundläggande bestämmelser om behandling av personuppgifter

Till skillnad från en vårdgivares journalsystem, som innehåller vitt skilda uppgifter om en stor mängd olika patienter, är nationella kvalitetsregister koncentrerade i förhållande till ändamålet med registret. Ett kvalitetsregister innehåller därmed endast de person- uppgifter som har bedömts behövas för registrets specifika ändamål. På motsvarande sätt som en forskningsstudie har kvalitetsregister därmed även vissa inklusionskriterier. Kännedom om vilka variabler som registreras i ett nationellt kvalitetsregister och hur stor täckningsgraden är kan därmed i sig utgöra tillräcklig information för en forskare som står i begrepp att initiera en forskningsstudie. I ett sådant fall ger således den allmänna informationen om kvalitets- registret tillräckligt underlag för att beräkna det möjliga forsknings- underlaget.

Ibland kan uppgifter emellertid behöva utsökas på en mer detaljerad nivå än så, beroende på den aktuella studiens inriktning. Precis som vid den statistikframställning som får göras i nationella kvalitetsregister kan en personuppgiftsbehandling för forsknings- ändamål eller för ändamålet utlämnande därför ofta innebära att ett visst urval ur den totala mängden personuppgifter görs. Det är inte alltid så att samtliga personuppgifter i kvalitetsregistret eller personuppgifter rörande samtliga patienter är relevanta för dessa ändamål. På motsvarande sätt som beskrivits i det föregående vad gäller pre-screening i t.ex. vårdgivarnas journalsystem, kan person- uppgifter i nationella kvalitetsregister också behöva behandlas för att antalsberäkna eller identifiera möjliga deltagare i forsknings- studier.

Enligt utredningens erfarenhet görs sådan personuppgifts- behandling idag, t.ex. sådan behandling som innebär att den myndighet som ansvarar för ett nationellt kvalitetsregister kan svara på hur ett möjligt forskningsunderlag ser ut. Jämfört med motsvarande personuppgiftsbehandling i ett journalsystem torde personuppgiftsbehandlingen i ett nationellt kvalitetsregister, bl.a. beroende på registrets begränsade informationsmängder och strukturerade dokumentation, snabbare kunna ge svar på hur stort det potentiella forskningsunderlaget är. Myndigheten som har det centrala ansvaret för ett kvalitetsregister behöver även utföra sådan personuppgiftsbehandling för att kunna ta ställning till och eventuellt administrera begäran om utlämnande av uppgifter till den som ska utföra en forskningsstudie. Att antalsberäkna eller identifiera möjliga deltagare i forskningsstudier är därmed en nödvändig del av myndighetens arbete.

169

Grundläggande bestämmelser om behandling av personuppgifter

SOU 2014:23

Utredningen bedömer att det redan av nuvarande regelverk med tillräcklig tydlighet följer att personuppgiftsbehandling för att antalsberäkna och/eller identifiera personer för forskning inom hälso- och sjukvården, är tillåtet i nationella och regionala kvalitetsregister. Detta eftersom det i regelverket för nationella kvalitetsregister uttryckligen framgår att personuppgifter som behandlas för kvalitets- säkring även får behandlas för forskning inom hälso- och sjukvården och för utlämnande till någon som ska bedriva sådan forskning. Något förtydligande härom i hälso- och sjukvårdsdatalagen anser vi därför inte behövs.

170

9Säker och ändamålsenlig hantering av personuppgifter

9.1Bakgrund

Dokumentationen i hälso- och sjukvården är utan tvekan av mer integritetskänslig karaktär än vad information i många andra sammanhang är. Det handlar i princip uteslutande om uppgifter om människors hälsa och livssituation. Av hänsyn till behovet av skydd för den personliga integriteten är det därför nödvändigt att de uppgifter om enskilda som dokumenteras i hälso- och sjukvården hanteras på ett säkert och ändamålsenligt sätt. Det handlar även om att inte äventyra enskildas förtroende för hälso- och sjukvårdens informationshantering. Samtidigt behöver uppgifter kunna användas på ett ändamålsenligt sätt i hälso- och sjukvården, så att enskilda patienter får en god och säker vård och så att kvaliteten och säkerheten i verksamheten fortlöpande kan utvecklas. Dokumen- terade personuppgifter behöver därför sammantaget hanteras på ett sätt som gör att behovet av integritetsskydd kan tillgodoses samtidigt som verksamheten ges förutsättningar att skapa bästa möjliga resultat för patienterna.

Grundläggande förutsättningar för en ändamålsenlig informa- tionshantering är bland annat att uppgifter finns tillgängliga när de behövs i och för vården av en patient. En annan förutsättning är att de uppgifter som dokumenteras om patienter förvaras och hanteras på ett sådant sätt att obehöriga inte kan komma åt dem, att uppgifter inte sprids utanför verksamheten, att de informations- system som används i verksamheten är utformade på ett sådant sätt att integritetsskyddet tillgodoses, att en användares behörighet till uppgifter anpassas och begränsas till de behov som användaren har samt att åtkomsten till uppgifterna loggas och kontrolleras.

Det är vårdgivaren som har det yttersta ansvaret för informa- tionssäkerheten i verksamheten. Det ansvaret är i dag främst

171

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

reglerat i patientdatalagen (2008:355), förkortad PDL, och i Social- styrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Vårdgivarens över- gripande ansvar för kvaliteten i vården regleras i hälso- och sjuk- vårdslagen (1982:763), förkortad HSL, patientsäkerhetslagen (2010:659), förkortad PSL, och Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete.

Utredningens utgångspunkt är att en lagstiftning om person- uppgiftsbehandling i hälso- och sjukvården så långt möjligt bör ge ett samlat uttryck för de ändamål som ligger bakom ovan nämnda författningar.

9.2Våra överväganden och förslag

Vår bedömning: Hälso- och sjukvårdsdatalagen bör innehålla ett kapitel om en säker och ändamålsenlig hantering av person- uppgifter där bestämmelser om inre sekretess samlas med bestämmelser om ansvaret för att uppgifter finns tillgängliga när det behövs för att arbetet i hälso- och sjukvården ska kunna utföras på ett sätt som tillgodoser enskildas behov av god och säker vård m.m.

Förtroendet för integritetsskyddet i informationshanteringen har relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter inom hälso- och sjukvården. Det är även viktigt att det inom en vårdgivares verksamhet finns ett integritetsskydd avseende hanteringen av uppgifter om patienter, dvs. som har med den så kallade inre sekretessen att göra. Utredningen bedömer att de nuvarande bestämmelserna om inre sekretess m.m. bör föras över till den nya lagen endast med några mindre förändringar. Med regler om inre sekretess, behörighetsstyrning och åtkomstkontroll tydliggörs att det aldrig kan vara fråga om ett okontrollerat och fritt flöde av uppgifter inom hälso- och sjukvården.

Vårdgivaren har, som ovan nämnts, det övergripande ansvaret för informationssäkerheten i verksamheten. Informationssäker- heten handlar i detta avseende även om betydelsen av att de system som innehåller personuppgifter är lätta att använda och i övrigt

172

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

ändamålsenliga samt att systemen utformas på ett sätt som tillgodoser patienternas behov av integritetsskydd. Tillgång till personuppgifter i hälso- och sjukvården vid rätt tillfälle är en förutsättning för att enskilda patienter ska få en god och säker vård. Mot den bakgrunden anser vi att hälso- och sjukvårds- datalagen även ska uttrycka vårdgivarens övergripande skyldighet att ta ansvar för att personalen har tillgång till de uppgifter som behövs för att utföra sina arbetsuppgifter på ett för verksamheten och för patienterna, tillfredsställande sätt. Balansen mellan behovet av uppgifter och den enskildes intresse av en integritetsskyddande hantering kan sammanfattas i devisen ”rätt information på rätt plats i rätt tid”. I ett kapitel om en säker och ändamålsenlig hantering bör dessa intressen förenas och tillsammans stödja en utveckling mot en ändamålsenlig informationshantering i hälso- och sjuk- vården.

Vi anser att bestämmelser som reglerar det övergripande ansvaret för en säker och ändamålsenligt hantering av person- uppgifter i hälso- och sjukvården bör samlas i ett särskilt kapitel i lagen. Syftet med att välja ut några särskilt viktiga bestämmelser i detta avseende och lyfta dessa i ett eget avsnitt är att betona vårdgivarens och yrkesutövarnas ansvar för att uppfylla lagens syfte. Kapitlet bör omfatta några nya bestämmelser och några bestämmelser som överförs något omformulerade från patient- datalagen.

9.2.1Ansvar för den som arbetar hos en vårdgivare – inre sekretess

Vårt förslag: Den nuvarande bestämmelsen i patientdatalagen om inre sekretess ska överföras, med mindre justeringar, till hälso- och sjukvårdsdatalagen. I lagen ska anges att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de i lagen tillåtna ändamålen för behandling av personuppgifter.

173

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Det personliga yrkesansvaret och tystnadsplikten

Utöver vårdgivarens yttersta ansvar för informationshanteringen har hälso- och sjukvårdspersonalen ett personligt yrkesansvar som innefattar ett ansvar för hantering av personuppgifterna. I det personliga yrkesansvaret ingår att utföra arbetet i enlighet med vetenskap och beprövad erfarenhet. En patient ska ges sakkunnig och omsorgsfull hälso- och sjukvård som uppfyller dessa krav. Vården ska så långt som möjligt utformas och genomföras i samråd med patienten och patienten ska visas omtanke och respekt (6 kap. 1 § PSL).

En grundläggande princip som gäller för hälso- och sjukvårds- personalen är principen om tystnadsplikt. Den är juridiskt reglerad genom bestämmelserna i offentlighets- och sekretesslagen (2009:400), förkortad OSL, patientsäkerhetslagen och genom bestämmelser om inre sekretess. Utöver dessa tvingande regler är principen om tystnadsplikt inom hälso- och sjukvården även en grundläggande etisk princip som fanns uttryckt redan i den Hippokratiska eden.

Vad jag under min yrkesutövning än hör och ser bland människor av den beskaffenhet att det måhända icke bör spridas, ska jag förtiga och betrakta som osagt.

Tystnadsplikten finns också uttryckt i de yrkesetiska regler som yrkesutövare inom hälso- och sjukvården förbinder sig till. Läkarförbundet anför om sina yrkesetiska regler att den som valt att bli läkare har åtagit sig en svår och ansvarsfull uppgift, som kräver goda kunskaper och vilja att följa de etiska krav som läkaren genom årtusenden erkänt vara normgivande. I de etiska reglerna stadgas angående tystnadsplikten att läkaren ska iakttaga tystlåtenhet om all information rörande enskild patient, såvida det inte äventyrar patientens väl.1 Den etiska koden för sjuksköterskor har motsva- rande formuleringar. Det är nödvändigt med en förtroendefull relation mellan en patient och en yrkesutövare inom hälso- och sjukvården för att en god och säker vård ska kunna erbjudas.

Tystnadsplikten innebär ett förbud mot att röja uppgift, vare sig det görs muntligen, skriftligen eller på annat sätt. Inom vården handlar det inte enbart om dokumenterade uppgifter, utan även om alla andra typer av uppgifter som är av personlig art.

1 http://www.slf.se/Etikochansvar/Etik/Lakarforbundets-etiska-regler/

174

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Inre sekretess

Reglerna om inre sekretess avser att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt inom ett sekretess- område. Även om uppgifterna finns tillgängliga inom ett sekretessområde så innebär det inte att uppgifterna får användas eller spridas obefogat inom detta område. Den som arbetar i hälso- och sjukvården ska bara ta del av de uppgifter som han eller hon behöver för att utföra sina arbetsuppgifter. Den inre sekretessen avseende dokumenterade uppgifter är i dag reglerad i patient- datalagen. Ett ytterligare skydd för uppgifter inom ett sekretess- område är patientens möjlighet att spärra uppgifterna för åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess. Dessa viktiga bestämmelser och principer bärs upp både av vårdgivare och yrkesutövare och säkerställer ett grund- läggande skydd för patientens integritet. Detta skydd är helt nödvändigt för allmänhetens förtroende för hälso- och sjukvården.

Lagens kapitel om säker och ändamålsenlig hantering av person- uppgifter bör enligt vår bedömning inledas med en bestämmelse som riktar sig till den som arbetar hos en vårdgivare och som reglerar ansvaret för den inre sekretessen. Bestämmelsen är inte ny utan är en omformulering av den bestämmelse om inre sekretess som gäller i dag. Denna bestämmelse är förmodligen den som ställt till med mest tillämpningsproblem i gällande patientdatalag. Vi har därför velat förtydliga den och sätta den i ett sammanhang som generellt handlar om ansvar för en säker hantering av uppgifter i vården.

Enligt vårt förslag får den som arbetar hos en vårdgivare endast ta del av dokumenterade uppgifter om en patient om han eller hon behöver uppgifterna för sitt arbete inom hälso- och sjukvården och uppgifterna ska användas för något av de ändamål som är tillåtna enligt lagen. Vi anser således att man kan ta bort det första ledet ”om han eller hon deltar i vården av patienten” som finns i dagens bestämmelse och gå direkt på kravet att uppgifterna ska behövas i arbetet i hälso- och sjukvården. Den som deltar i vården av en patient behöver ju uppgifterna för sitt arbete inom hälso- och sjukvården. Vi anser därför att det räcker med att koppla kravet till behovet av uppgifterna i arbetet. Vi hoppas att det ska leda till mindre missförstånd eftersom många läsare stannar vid första ledet ”deltar i vården” och därför tolkar bestämmelsen mer restriktivt än nödvändigt.

175

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

För att göra bestämmelsen mer komplett bör de enligt vår bedömning hänvisa till den grundläggande ändamålsbestämmelsen i hälso- och sjukvårdsdatalagen. Ändamålsbestämmelsen beskriver för vilka syften det är tillåtet att behandla personuppgifter i hälso- och sjukvården. För att den som arbetar åt vårdgivaren ska få behandla personuppgifter måste uppgifterna behövas i arbetet hos vårdgivaren för ett av de tillåtna ändamålen. Detta gäller visserligen redan i dag, men vi gör bedömningen att det kan underlätta tillämpningen om hänvisningen till vilka ändamål som är tillåtna finns uttryckligt med i bestämmelsen. Eftersom vi även tydliggjort själva ändamåls- bestämmelsen på ett sådant sätt att personuppgifter får behandlas om det behövs för att förebygga, utreda eller behandla sjukdomar och skador hos patienten bedömer vi att vägledningen för yrkesutövarna nu blir bättre än tidigare.

Genom hänvisningen till ändamålsbestämmelsen blir det därför tydligt att den som arbetar hos en vårdgivare får ta del av uppgifter om en patient om det behövs exempelvis för

•patientens vård och behandling,

•att föra journal,

•att upprätta administration som rör patientens vård,

•planering, uppföljning, utvärdering och tillsyn av verksamheten,

•att framställa statistik om hälso- och sjukvården, eller

•att kunna administrera utlämnanden av patientuppgifter.

Ett annat exempel på ett tillåtet ändamål för behandling av person- uppgifter är att ”systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten”. Detta syfte knyter an till vårdgivarens grundläggande skyldighet enligt hälso- och sjukvårdslagen att vara aktiv när det gäller att utveckla verksamhetens kvalitet. Den som arbetar hos en vårdgivare kan därmed, med stöd av vårdgivarens uppdrag, ta del av uppgifter om en patient för sitt arbete med att kvalitetssäkra sina insatser och bedömningar m.m.2

Situationen då den som arbetar år en vårdgivare överväger att ta del av uppgifter som finns tillgängliga inom den egna verksamheten liknar den då yrkesutövaren ska ta ställning till om han eller hon har rätt att ta del av uppgifter som har gjorts tillgängliga genom

2 Läs mer om att använda personuppgifter för att utveckla kvaliteten i verksamheten i vår delredovisning enligt direktiv 2013:43, bilaga 4

176

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

direktåtkomst av en annan vårdgivare. Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon behöver uppgifterna för sitt arbete åt vårdgivaren. Den grundförutsättningen gäller både vid samman- hållen journalföring och när man tar del av uppgifter i den egna verksamheten. Den föreslagna bestämmelsen om inre sekretess ska tillämpas oavsett om uppgifterna finns inom verksamheten eller har gjorts tillgängliga av en annan vårdgivare. I sammanhanget ska dock förtydligas att de tillåtna ändamålen för åtkomst till uppgifter hos andra vårdgivare i system för sammanhållen journalföring är begränsade.

Det ligger ett ansvar på vårdgivare att utveckla goda rutiner och adekvata metoder för att uppfylla de krav på säker och ändamåls- enlig hantering som måste ställas. Det innebär ett ansvar för att genom utbildning och på annat sätt se till att personalen känner till vad som gäller avseende hantering av personuppgifter. I detta ansvar ingår att följa upp att utarbetade rutiner och andra interna regler verkligen tillämpas av personalen i det vardagliga arbetet.3

9.2.2Ansvar för att uppgifter är tillgängliga när de behövs

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård- givaren ska se till att dokumenterade personuppgifter är till- gängliga för den som arbetar hos en vårdgivare när uppgifterna behövs i och för vården av en patient.

Vårdgivaren är ytterst ansvarig för informationshanteringen och för verksamheten som helhet och ska se till att uppgifterna hanteras på ett sådant sätt att de är tillgängliga för de som behöver uppgifterna i sitt arbete inom hälso- och sjukvården och så att de skyddas från obehöriga. Även om det inte föreligger någon tveksamhet om vårdgivarens ansvar kan det var ett bra stöd vid tillämpningen av lagen att också konkret uttrycka vad detta ansvar innefattar. Själva syftet med att föra patientjournal går förlorad om uppgifterna inte finns tillgängliga där de behövs. Därför måste vårdgivaren vara medveten om detta ansvar och arbeta systematiskt med att säkerställa att personuppgifterna finns tillgängliga i verksamheten. Det behöver t.ex. finnas väl utarbetade skydd mot

3 SOU 2008:82 s. 365

177

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

avbrott i systemen, reservplaner och robusta rutiner för tilldelning av behörigheter m.m.

Att ha tillgång till korrekta och relevanta uppgifter om en patient är en förutsättning för att hälso- och sjukvårdspersonalen ska kunna leva upp till kraven på god och säker vård. Utredningen gör bedömningen att det av tydlighetsskäl är nödvändigt att inte enbart uttrycka kraven på integritetsskyddande åtgärder i lagen. Det är viktigt att betona även tillgänglighetsaspekten.

9.2.3Ansvar för att skydda uppgifterna vid överföring via internet m.m.

Vårt förslag: I hälso- och sjukvårdsdatalagen ska tas in bestäm- melser om att vårdgivare ska se till att dokumenterade person- uppgifter hanteras och förvaras så att obehöriga inte får tillgång till dem. Om internet eller andra jämförliga nät används för att överföra personuppgifter som behandlas enligt hälso- och sjuk- vårdsdatalagen, ska vårdgivaren se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna.

Bestämmelsen i 4 kap. 6 § PDL om landstingets ansvar för att skydda patientens identitet i vissa fall ska överföras till den nya lagen.

Kravet att vårdgivaren ska se till att obehöriga inte kan ta del av dokumenterade personuppgifter är en omformulering av sista stycket i nu gällande syftesbestämmelse i 1 kap. 2 § PDL. Vi anser att denna bestämmelse istället ska utformas som en materiell bestämmelse om ansvar för vårdgivaren. Vårdgivaren som har det yttersta ansvaret för att verksamheten bedrivs säkert ur alla aspekter ansvarar också för att se till att dokumenterade person- uppgifter hanteras och förvaras så att obehöriga inte kan ta del av dem. Detta gäller redan i dag men är inte lika tydligt reglerat på den övergripande nivån.

Ansvaret innebär bl.a. att vårdgivaren måste se till att de informationssystem som används i verksamheten är skyddade mot obehörig åtkomst och att det finns bra system för tilldelning av behörighet och för åtkomstkontroll. Bestämmelsen syftar till att skydda uppgifterna från otillåten spridning såväl inom som utom verksamheten.

178

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Överföring av personuppgifter över internet eller andra jämförliga nät

I dag kommuniceras personuppgifter allt mer över internet eller andra jämförliga nät. Det kan handla både om sådan mer intern informationsöverföring som görs mellan olika delar av en vård- givares verksamhet och om sådan överföring som görs till mot- tagare utanför den egna vårdgivarens organisation. Som exempel på det senare kan nämnas sådant informationsutbyte som görs med stöd av de regler om direktåtkomst som föreslås längre fram. Ett annat exempel kan vara överföring av uppgifter om den enskilde till den enskilde själv.

Internet är ett exempel på vad som i allmänhet brukar betraktas som ett öppet nät. Som ett annat sådant exempel anges ofta även Sjunet, vilket är ett nät med många anslutna kunder som exempelvis samtliga landsting, ett antal kommuner, ett antal privata vårdgivare samt Skatteverket, Apoteket och ett antal leverantörer. Av utredningens förslag följer särskilda krav på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jäm- förliga nät. Med andra jämförliga nät avser utredningen sådana öppna nät som kan jämföras med internet. Det finns emellertid ingen legaldefinition av öppet nät. Datainspektionen har dock i ett ärende uttalat följande av intresse i sammanhanget.4

Avgörande för frågan om ett intranät är ett öppet nät är hur det är konfigurerat, vilka och hur många som trafikerar nätet och kan ta del av resurser anslutna till nätet samt hur god säkerheten i övrigt är för nätverket. Ett öppet nät kan sägas karaktäriseras av att fler än den personuppgiftsansvarige kan ta del av uppgifter som kommuniceras i nätet eller nå resurser som är tillgängliga via det.

Det är enligt vår bedömning inte möjligt att hälso- och sjuk- vårdsdatalagen definiera öppna nät eller närmare precisera vad som avses med andra jämförliga nät. Vi bedömer dock att vägledning för tillämpningen kan hämtas ur Datainspektionens uttalande ovan. Vårdgivare i hälso- och sjukvården behöver därför göra en bedöm- ning av om de nät, utöver internet, som används för överföring av personuppgifter är sådana som, exempelvis beroende på hur de är konfigurerade och om flera personuppgiftsansvariga kan ta del av uppgifter som kommuniceras i nätet, är att betrakta som sådana andra jämförliga nät som avses i den föreslagna bestämmelsen.

4 Datainspektionen, dnr. 1409-2012

179

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

I jämförelse med helt verksamhetsintern informationshantering, t.ex. på interna nätverk som inte är exponerade mot internet och där inga andra personuppgiftsansvariga använder samma nät, kan särskilda risker uppstå när uppgifter överförs över internet. Av den anledningen är det nödvändigt att vidta särskilda säkerhetsåtgärder för att skydda uppgifterna och minska risken för att obehöriga personer kan få tillgång till informationen. Vid en bedömning av vilka åtgärder som bör vidtas och karaktären på dessa ska bland annat hänsyn tas till hur pass känsliga personuppgifter det rör sig om. Enligt personuppgiftslagen (1998:204), förkortad PUL, gäller särskilda begränsningar för behandling av s.k. känsliga person- uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv. Om sådana person- uppgifter överförs via internet eller andra jämförliga nät måste den personuppgiftsansvarige vidta särskilda åtgärder för att skydda uppgifterna.

Även andra personuppgifter, som i och för sig inte omfattas av uppräkningen av de s.k. känsliga personuppgifterna i 13 § PUL, kan naturligtvis också vara så integritetskänsliga att även de kräver mer omfattande säkerhetsåtgärder, till exempel uppgifter om lagöver- trädelser enligt 21 § PUL. Omständigheter som kan peka på att uppgifterna är mer integritetskänsliga är exempelvis om upp- gifterna omfattas av tystnadsplikt eller sekretess, om behandlingen omfattas av en särskild registerlagstiftning eller om uppgifterna rör enskildas personliga förhållanden.

Mot bakgrund av ovanstående kan konstateras att uppgifter inom hälso- och sjukvården i det närmaste uteslutande är att betrakta som känsliga enligt 13 § PUL, eftersom uppgifterna rör enskildas hälsa. Uppgifterna ska därmed skyddas på ett särskilt sätt vid överföring över t.ex. internet.

När det gäller de närmare kraven på säkerhetsåtgärder har Datainspektionen i sin tillämpning av 31 § PUL sedan länge slagit fast att känsliga personuppgifter får lämnas ut via öppna nät (t.ex. internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (t.ex. e-legitimation), engångslösenord eller motsvarande. I praxis har även termen stark autentisering använts för att beskriva detta. Dessutom ska, enligt samma praxis, känsliga personuppgifter vara krypterade vid överföring.

180

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

För hälso- och sjukvårdens del uttrycks detta, i princip, genom bestämmelser i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informationshantering och journalföring i hälso- och sjukvården. Av 2 kap. 5 § nämnda föreskrifter följer att vårdgivare som använder öppna nät för att hantera patientuppgifter ska ansvara för att det i ledningssystemet finns rutiner som säkerställer att över- föringen av patientuppgifter görs på ett sådant sätt att ingen obehörig kan ta del av uppgifterna och att åtkomst till patient- uppgifter föregås av stark autentisering.

Några bestämmelser härom finns emellertid inte i patient- datalagen. Utredningen bedömer att detta är en inte helt tillfreds- ställande lösning med avseende på den omfattande behandling av känsliga personuppgifter som görs inom hälso- och sjukvården. Vidare är utredningens utgångspunkt att hälso- och sjukvårds- datalagen ska vara så uttömmande som möjligt ifråga om de integritetsskyddsbestämmelser som det bedöms finnas särskilt behov av för hälso- och sjukvårdens del. Därför anser vi att det i den föreslagna lagen bör tas in en grundläggande bestämmelse som tydliggör kravet på särskilda säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät.

Sammantaget föreslår utredningen således att det i hälso- och sjukvårdsdatalagen ska tas in en bestämmelse som tydliggör kraven på säkerhetsåtgärder vid överföring av personuppgifter över internet eller andra jämförliga nät. Om vårdgivare använder internet eller andra jämförliga nät för att överföra personuppgifter som behandlas enligt hälso- och sjukvårdsdatalagen, ska denne se till att överföringen görs så att ingen obehörig kan ta del av uppgifterna. Det innebär i praktiken att uppgifterna måste över- föras genom en krypterad förbindelse eller genom att uppgifterna i sig krypteras.

9.2.4Ansvar för informationssystemens utformning

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att vård- givare ska se till att de informationssystem som innehåller personuppgifter är lätta att använda, stödjer det kliniska arbetet, underlättar arbetet med kvalitetsutveckling, underlättar sam- verkan och utbyte av uppgifter samt är utformade på sådant sätt att patienternas integritetsskydd tillgodoses.

181

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Vårdgivaren har ett yttersta ansvar för informationshanteringen och för verksamheten som helhet. Av hälso- och sjukvårdslagen följer att hälso- och sjukvården ska vara av god kvalitet och att det ska finnas den personal, de lokaler och den utrustning som behövs för att god vård ska kunna ges. Vidare är vårdgivaren skyldig att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitets- arbete finns bestämmelser om hur detta kvalitetsarbete ska bedrivas. Tanken är att vårdgivaren med hjälp av processer och rutiner samt ett systematiskt förbättringsarbete ska uppnå kvalitet i verksamheten. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser.

Svensk sjukvård har sedan länge en hög datoriseringsgrad. Till exempel har i princip alla landsting it-stöd för all vårddokumen- tation. Trots detta anser professionernas företrädare att huvud- delen av systemen inte ger det stöd i arbetet som behövs för att bedriva en effektiv och säker verksamhet.5 Ett informationssystem bör stödja yrkesutövaren i arbetssituationen. Systemet bör t ex att underlätta att göra rätt och förhindra att göra fel både i systemet och vid utförandet av vårdinsatserna. Ett användarvänligt informa- tionssystem kan öka vård- och omsorgskvaliteten för vårdtagare och personal samt minska kostnaderna för vårdgivaren.

Vi föreslår en bestämmelse som konkretiserar några av de grund- läggande krav som måste ställas på ett informationssystem som innehåller personuppgifter och som ska användas i och för vården av en patient. Vårdgivaren är ytterst ansvarig för att en god och säker vård ges och för hanteringen av personuppgifter i verksamheten. I detta ligger även ett ansvar för att kravställa och upphandla informationssystem som är ändamålsenliga, säkra och kan användas som stöd i arbetet.

Vi föreslår att bestämmelsen ställer ett uttryckligt krav på vård- givaren att se till att de informationssystem som innehåller person- uppgifter är lätta att använda och stödjer det kliniska arbetet. Detta krav finns även uttryckt som ett av målen för Nationell eHälsa6:

5Störande eller stödjande? Om eHälsosystemens användbarhet 2013

6Nationell eHälsa 2010 – strategin för tillgänglig och säker information inom vård och omsorg

182

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Vård- och omsorgspersonal ska ha tillgång till välfungerande och samverkande elektroniska beslutsstöd som säkerställer en hög kvalitet och säkerhet samtidigt som det underlättar deras dagliga arbete. Nöd- vändig och strukturerad information ska finnas tillgänglig som under- lag för beslut om insatser och behandlingar.

Vi föreslår också att bestämmelsen ska omfatta krav på vårdgivaren att se till att informationssystemen underlättar kvalitetsarbetet. Vårdgivare fullgör sitt ansvar för att systematiskt och fortlöpande säkra och utveckla kvaliteten i verksamheten genom en antal olika aktiviteter, som alla tillsammans bidrar till en övergripande systematik och en struktur för ledning av kvalitetsarbetet. Att ta del av personuppgifter för att säkra och följa upp vårdens resultat är endast en av många saker som görs inom ramen för det systematiska kvalitetsarbetet. Informationssystemen måste vara uppbyggda så att det är möjligt att använda personuppgifter för att fortlöpande och systematiskt utveckla och säkra kvaliteten i verk- samheten. Vi vill i sammanhanget även poängtera vikten av att informationssystemen utformas på ett sådant sätt att den enskildes behov av integritetsskydd tas tillvara vid kvalitetsarbetet. Bland annat måste vårdgivare verka för att inte fler personuppgifter än vad som är nödvändigt med hänsyn till ändamålet används vid kvalitetsarbetet. Informationssystemen kan därför, bland annat, behöva utformas så att användaren inte exponeras för fler person- uppgifter än vad som är nödvändigt och att sammanställningar och andra underlag som tas fram vid kvalitetsarbetet inte innehåller personuppgifter som är direkt hänförliga till enskilda individer.

Vi föreslår även att vårdgivarens ansvar för att systemen ska möjliggöra samverkan med andra enheter, verksamheter och vårdgivare och utbyte av uppgifter uttrycks i bestämmelsen. För att lyckas med detta måste vårdgivaren arbeta med informations- systemens struktur och innehåll. Vårdgivaren kan i detta arbete exempelvis få stöd av Socialstyrelsens arbete med en nationell informationsstruktur och ett nationellt fackspråk.

Vidare innebär det övergripande ansvaret för de informations- system som innehåller personuppgifter, enligt utredningens förslag, ett krav på att utforma systemen på ett sådant sätt att integritets- skyddet tillgodoses. Att direkt i verksamhetssystemen bygga in integritetsskyddande funktioner som för personalen gör det lätt att göra rätt och svårt att göra fel, har stora fördelar. Att implementera integritetsskydd i teknik ger ökade förutsättningar för ett starkt integritetsskydd. Bestämmelsen uttrycker ett samlat ansvar för

183

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

vårdgivaren för flera aspekter av informationssäkerhet vid hante- ringen av personuppgifter i hälso- och sjukvården. Det är alltså ett ansvar för att lagens intentioner kan genomföras.

9.2.5Ansvar för behörighetstilldelning

Vårt förslag: Den nuvarande paragrafen om tilldelning av behörighet för elektronisk åtkomst ska föras över från patient- datalagen något förändrad. Vi föreslår att ordet anpassas införs i paragrafen. Behörigheten ska anpassas och begränsas till vad som behövs för att den som arbetar hos en vårdgivare ska kunna fullgöra sina arbetsuppgifter. Vidare ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter.

Inledning

Regler om behörighetsstyrning är enligt utredningens bedömning alldeles nödvändiga för att tillgodose enskildas behov av integritets- skydd inom hälso- och sjukvården. Bestämmelser om behörighets- styrning syftar till att upprätthålla integritetsskyddet och allmänhetens förtroende för hälso- och sjukvårdens informationshantering, men även till att främja en mer ändamålsenlig informationshantering sett ur ett patientsäkerhets- och effektivitetsperspektiv. Förutom att skydda den personliga integriteten kan en bra behörighetsstyrning medföra att hälso- och sjukvårdspersonalens åtkomst till uppgifter blir mer anpassade efter de enskilda användarnas behov. Genom en effektiv behörighetsstyrning kan exempelvis journalsystemens gränssnitt utformas så att de i större utsträckning än tidigare anpassas efter enskilda användares behov av uppgifter för att kunna utföra sitt arbete. I stället för att användaren ska exponeras för sådana uppgifter som är oväsentliga i sammanhanget eller behöva leta efter de relevanta uppgifterna kan behörighetsstyrningen bidra till att användaren snabbare får tillgång till just den information som behövs. En välutvecklad behörighetsstyrning kan därför ha positiva effekter inte bara på integritetsskyddet och på patientsäkerheten och effektiviteten i hälso- och sjukvården, utan även på informationssystemens användbarhet.

184

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

Utredningen föreslår att de nuvarande bestämmelserna i 4 kap. 2 § PDL om vårdgivarens ansvar för tilldelning av behörighet för åtkomst förs över från patientdatalagen. Även fortsättningsvis ska regeringen eller den myndighet regeringen bestämmer få meddela föreskrifter om tilldelning av behörigheter. Utredningen delar även regeringens bedömning att utgångspunkten ska vara att behörig- heten begränsas till vad enskilda yrkesutövare behöver för att kunna utföra sitt arbete. 7 Mot bakgrund av vad vi anför ovan anser vi samtidigt att bestämmelsen, bland annat för att tydliggöra behörighetsstyrningens koppling till patientsäkerhet, effektivitet och användbarhet, kan behöva justeras något. I sak avser vi inte att förändra innebörden av bestämmelsen. Vi vill däremot tydliggöra att behörighetsstyrningen inte endast handlar om åtgärder som begränsar utan även om åtgärder som anpassar informations- tillgången efter användarens behov.

Vi anser därför att det i bestämmelsen inte bara ska uttryckas att behörigheterna ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter utan också att behörigheterna ska anpassas till vad som behövs för arbetsuppgifterna. Vi anser att det kan ha ett positivt signalvärde att konkret uttrycka att utformningen av behörigheten för åtkomst inte enbart avser att skydda den registrerades integritet utan också – i linje med lagens syfte – ska säkerställa yrkesutövarens tillgång till de uppgifter som behövs för att kunna erbjuda patienten en god och säker vård.

En väl fungerande behörighetsstyrning kan även bidra till att öka kvaliteten, säkerheten och effektiviteten i vården. Med en mer strukturerad vårddokumentation och en väl fungerande behörig- hetsstyrning ökar förutsättningarna för att anpassa gränssnitten för personalens tillgång till uppgifter i ett journalsystem efter varje användares behov. Vid våra kontakter med hälso- och sjukvårds- personal framkommer ofta kritik mot journalsystemens utform- ning och bristande anpassning efter olika yrkesutövares behov. Inte sällan påtalas att yrkesutövare behöver sålla bland ostrukturerad och för dem i situationen irrelevant information. För att kunna skräddarsy användargränssnitten behöver sannolikt ett omfattande arbete göras med att strukturera och klassificera informationen i hälso- och sjukvården. I ett sådant arbete bör organisatoriska och tekniska åtgärder för en mer ändamålsenlig behörighetsstyrning ha en naturlig plats.

7 Prop. 2007/08:126 s. 148 f. och 239 f.

185

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Närmare om behörighet och behörighetsstyrning

Behörighet för åtkomst är en användares faktiska möjligheter att ta del av uppgifter exempelvis i journalsystem. Behörighetsstyrningen är de organisatoriska, administrativa och tekniska åtgärder som vidtas för att anpassa och begränsa behörigheten efter användarens behov för att kunna utföra sitt arbete.

Den som arbetar hos en vårdgivare ska tilldelas en individuell behörighet för åtkomst till uppgifter om patienter. Behörigheten för åtkomst till uppgifter ska vara anpassad efter den anställdes behov av uppgifter för att kunna utföra sitt arbete. Det innebär exempelvis att olika personalkategorier m.m. behöver ha olika behörigheter för elektronisk åtkomst till uppgifter om enskilda. Sådana uppgifter som en anställd över huvud taget inte har behov av att ta del av för att kunna utföra sitt arbete ska i normala fall därmed inte vara elektroniskt tillgängliga för den anställde. Behörigheten handlar därmed om den tekniska möjlighet en anställd har att ta del av uppgifter. Bestämmelser om behörighetsstyrning kompletterar därför bestämmelsen om inre sekretess som nämnts ovan.

I verksamheter som hanterar en stor mängd mycket integritets- känsliga uppgifter, som hälso- och sjukvården, ställs stora krav på en ändamålsenlig behörighetsstyrning. Även om det vid behörig- hetsstyrning kan vara svårt att vid varje givet tillfälle uppnå ett exakt förhållande mellan en användares behov och en användares tekniska möjligheter att ta del av uppgifter, måste ambitionen hos den som bedriver verksamheten att komma så nära som möjligt. En del av utmaningen ligger i att det i vissa verksamheter är svårt att förutse vilka individer som en användare kommer att möta i sitt yrke. I vissa delar av hälso- och sjukvården är den osäkerheten ett naturligt inslag som måste vägas in i styrningen av behörigheterna. Det är viktigt att behörigheten inte blir för snäv utan att den är anpassad till de tänkbara behov som finns, så att inte kvaliteten och säkerheten i vården av patienterna riskeras. Dessa svårigheter utgör dock inget skäl för att låta bli att göra de begränsningar av behörigheterna som är motiverade. Sådana uppgifter som en användare inte alls har något behov av ska inte heller vara tekniskt åtkomliga för användaren, dvs. inte ligga inom användarens behörighet.

Det är inte endast användarens behörighet för åtkomst till uppgifter som avgör vad som är tillåtet i enskilda fall. Behörigheten anger generellt, som nämnts ovan, endast vad användaren kan göra,

186

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

dvs. vilka tekniska möjligheter användaren har att ta del av uppgifter. För att en användare ska få ta del av uppgifter krävs dessutom att han eller hon har behov av de aktuella uppgifterna för att kunna utföra sitt arbete. Ju vidare användarnas behörigheter är, desto större kan utrymmet sägas bli mellan vad användarna kan göra och vad de får göra. En sådan situation ställer även stora krav på olika former av integritetsskyddande åtgärder som verkar både preventivt och reaktivt. Det handlar exempelvis om kontinuerlig information till användarna om vilka förväntningar ledningen har på hur uppgifter ska användas i verksamheten, om vad som är tillåtet och inte m.m. Ytterligare en viktig åtgärd är självklart systematiska och fortlöpande kontroller av användarnas åtkomst till uppgifter om enskilda.

9.2.6Ansvar för kontroll av elektronisk åtkomst

Vårt förslag: Bestämmelserna om åtkomstkontroll i 4 kap. 3 § patientdatalagen ska föras över oförändrade till hälso- och sjukvårdsdatalagen.

En vårdgivare ska enligt nuvarande bestämmelser i 4 kap. 3 § patientdatalagen se till att åtkomst till uppgifter om patienter dokumenteras och att systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter görs. Vidare har regeringen eller den myndighet som regeringen bestämmer en möjlighet att meddela föreskrifter om dokumentation av åtkomst och åtkomstkontroll. Sådana närmare bestämmelser finns i dag i Socialstyrelsens föreskrifter (SOSFS 2008:14) om informations- hantering och journalföring i hälso- och sjukvården.

Utredningen föreslår att paragrafen om åtkomstkontroll förs över oförändrad till hälso- och sjukvårdsdatalagen. Paragrafen behandlades av regeringen i prop. 2007/08:126 s. 149 f. och 240 f.

Dokumentation av åtkomsten (behandlingshistorik)

En förutsättning för att över huvud taget kunna kontrollera om någon obehörig har tagit del av uppgifter om enskilda är att den åtkomst som förekommer till uppgifter dokumenteras, dvs. loggas. Loggen bildar därmed den behandlingshistorik som behövs för att

187

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

kunna ta ställning till om en otillåten åtkomst har ägt rum. Av behandlingshistoriken måste det därför gå att utläsa den information som behövs för att historiken ska kunna ligga till grund för den systematiska och återkommande kontrollen av obehörig åtkomst.

Enligt vår uppfattning är det inte lämpligt att i lag slå fast exakt vad som ska loggas för att kontrollen ska kunna bedrivas på ett ändamålsenligt sätt. Normalt brukar anföras att en logg åtminstone ska kunna svara på vilken användare som tagit del av uppgifter, vilken individs uppgifter det rör, vilka åtgärder som vidtogs med uppgifterna samt vid vilken tidpunkt det gjordes. Utredningen bedömer dock att närmare föreskrifter om dokumentation av åtkomst och åtkomstkontroll, precis som i dag, med fördel meddelas på myndighetsnivå och det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen.

Åtkomstkontroll

Paragrafen innebär att vårdgivare, precis som i dag, ska genomföra systematiska och återkommande kontroller av om någon obehörigen kommit åt uppgifter om patienter. Det räcker därmed inte att göra kontroller vid särskilda fall när obehörig åtkomst misstänkts, utan kontrollerna ska göras systematiskt och återkommande.

För hälso- och sjukvårdens del har kraven på åtkomstkontroll delvis gett upphov till en osäkerhet kring vad en vårdgivare bör tänka på när denne utformar sina närmare riktlinjer för den systematiska logguppföljningen. Bland annat av den anledningen har Datainspektionen tagit fram en checklista som sammanfattar ett antal grundläggande principer som kan vara vägledande för den systematiska uppföljningen. Av checklistan framgår bland annat följande.8

•Informera personalen om att logguppföljning görs. Det har en preventiv effekt. Personalen behöver informeras om det egna ansvaret, det vill säga under vilka omständigheter de får ta del av uppgifter och om följderna av att olovligen ta del av uppgifter.

•Gå igenom de krav som ställs på loggarna och kontrollera att de tekniska förutsättningarna för åtkomstkontroll finns.

8 Datainspektionen, Checklista för hälso- och sjukvården, Systematisk logguppföljning

188

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

•Bestäm urval och omfattning och utforma en verkningsfull rutin.

•Följ rutinen och dokumentera resultatet av granskningen.

•Utvärdera och utveckla rutinen.

I checklistan förmedlar Datainspektionen även det viktiga bud- skapet att det inte endast är antalet loggkontroller som avgör hur verkningsfullt arbetet med åtkomstkontroll är. I linje med Data- inspektionens uttalande nedan anser utredningen att vårdgivare behöver analysera de närmare förutsättningarna för verksamheten och utforma en rutin för logguppföljning som bedöms verknings- full för den enskilda verksamheten. I dag finns även tekniska hjälpmedel i form av olika logganalysverktyg som kan underlätta åtkomstkontrollen.

Bestäm med vilken omfattning (antal och tidsintervall) loggupp- följningen ska ske. Eftersom det inte enbart är antalet loggposter vid logguppföljningen som avgör om kontrollen blir verkningsfull, finns det inget generellt svar på hur många loggposter som bör granskas vid varje tillfälle. Varje vårdgivare måste ta hänsyn till verksamhetens omfattning (antalet patienter och personal med behörighet) samt vilket urval och vilken systematik som används vid uppföljningen.

Utöver ovanstående bedömer utredningen att en patients tillgång till loggar, t.ex. via internet, om den åtkomst till uppgifter om patienten själv som har förekommit, kan vara ett komplement till vårdgivarens arbete med åtkomstkontroller. Sådan tillgång för patienten förändrar dock inte det rättsliga ansvar för åtkomst- kontrollen som följer av utredningens förslag.

9.2.7Tillsyn över en säker och ändamålsenlig hantering av personuppgifter

Hantering av information är en förutsättning för den faktiska verksamheten i hälso- och sjukvården. Informationen som gene- reras i verksamheten används för att skapa bästa möjliga resultat för patienten och måste samtidigt hanteras så att den personliga integriteten skyddas så långt det är möjligt.

Det är Inspektionen för vård och omsorg (IVO) och Data- inspektionen som har tillsynen över hur vårdgivaren uppfyller sitt ansvar för informationshanteringen i verksamheten.

189

Säker och ändamålsenlig hantering av personuppgifter

SOU 2014:23

Datainspektionen ska genom sin tillsynsverksamhet bidra till att behandlingen av personuppgifter inte leder till otillbörliga intrång i enskilda individers personliga integritet. Det innebär exempelvis att Datainspektionen kan kontrollera att vårdgivaren vidtar tillräckliga säkerhetsåtgärder för att skydda personuppgifterna, till exempel att vårdgivaren har rutiner för behörighetsstyrning och åtkomst- kontroll. Tillsynsmyndighetens tillsynsansvar omfattar även behandling av personuppgifter inom socialtjänsten.

Som har redovisats i tidigare avsnitt har Datainspektionen varit aktiv i sin tillsyn över personuppgiftsbehandlingen inom hälso- och sjukvården. Tillsynen har satt ljuset på en bristande efterlevnad av flera av de bestämmelser som särskilt syftar till att värna den personliga integriteten.

IVO har tillsynsansvaret för hälso- och sjukvården och dess personal samt socialtjänst och för verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade. Syftet med tillsynen är att granska att befolkningen får vård och omsorg som är säker, har god kvalitet och bedrivs i enlighet med lagar och andra föreskrifter. För att en säker verksamhet ska kunna bedrivas måste personuppgifter finnas tillgängliga där de behövs för att ge god vård och omsorg. Kvalitet inom hälso- och sjukvården förut- sätter också en säker hantering av personuppgifter så att obehöriga inte får del av dessa. Insatser av hög kvalitet kan inte ges utan tillit mellan de som erbjuder insatserna och individen. På det sättet ingår integritetsskyddet även i IVO:s tillsynsansvar.

I takt med att hälso- och sjukvården utvecklas och nya sätt att hantera information implementeras i vården måste, enligt utredningens mening, även tillsynen utvecklas. Det är liksom förut nödvändigt att en myndighet som IVO utövar tillsyn över att patientjournaler förs och att dokumentationen innehåller rätt uppgifter. Men ett journalsystem är inte bara bärare av information, det är också ett nödvändigt arbetsverktyg för yrkesutövare i den patientnära hälso- och sjukvårdsverksamheten. Detta verktyg måste kunna användas på ett säkert sätt. Det kräver såväl rätt kompetens hos användaren som rätt utformning av informations- systemet.

Informationssystem kan, om de inte är ändamålsenligt utformade, i sig innebära risker i vården. Det finns enligt utredningens bedömning anledning för vårdgivare att arbeta mer aktivt med kravställning och utveckling av de informationssystem som används i vården. Hur ska systemen vara utformade för att

190

SOU 2014:23

Säker och ändamålsenlig hantering av personuppgifter

vara användbara? Hur ska de vara utformade för att underlätta och stödja det patientnära arbetet? Hur ska de vara utformade för att säkerställa att viktig information inte missas i samband med ställ- ningstaganden kring patienternas behandling? Hur ser ett ändamålsenligt användargränssnitt ut i olika delar av hälso- och sjukvården? Har verksamheten ändamålsenliga rutiner för in- och utloggning m.m.?

Dessa verksamhetsnära frågor, som har betydelse för hur verk- samheten kan bedrivas på ett säkert och effektivt sätt ingår därför också i tillsynsmyndigheternas uppdrag. De informationssäkerhets- aspekter som aktualiseras i dessa frågeställningar har betydelse för patientens säkerhet och kvaliteten i den vård patienterna erbjuds. Patientens säkerhet handlar såväl om att skydda patienten mot kroppsliga skador och psykiskt lidande och mot dödsfall som hade kunnat undvikas. Men kraven måste, enligt utredningens mening, ställas högre; kvaliteten i hälso- och sjukvården måste utvecklas och ständigt bli bättre. Ändamålsenliga informationssystem som används på rätt sätt kan förbättra kvaliteten i hälso- och sjuk- vården. Det är därför nödvändigt med en aktiv tillsyn från båda tillsynsmyndigheterna i syfte att följa hur vårdgivarna tar sitt ansvar för en säker, ändamålsenlig och effektiv hantering av informationen och de system som hanteras den.

Utredningen anser att det kan finnas anledning för tillsyns- myndigheterna att fånga upp de signaler som yrkesutövare inom hälso- och sjukvården lyft i olika sammanhang vad gäller informa- tionssystemens användbarhet. Av t.ex. rapporten Störande eller stödjande framgår att tekniken många gånger upplevs som ett hinder för att kunna ge god vård på ett effektivt sätt.9

Utredningens förhoppning är, att den tydligare regleringen av ansvaret för en säker och ändamålsenlig hantering av information som vi föreslagit i det föregående, kan utgöra ett bra stöd för en ännu effektivare tillsyn av hur vårdgivarna uppfyller detta ansvar.

9 Störande eller stödjande? Om eHälsosystemens användbarhet 2013

191

10Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

10.1Bakgrund

Dagens utveckling med ökad mångfald av aktörer i hälso- och sjuk- vård och socialtjänst, ökade krav på samverkan och ökad patient- och brukarrörlighet har medfört nya behov av att samarbeta i frågor som innefattar behandling av personuppgifter. Vårdgivare i hälso- och sjukvården och utförare i socialtjänsten kan inte på samma sätt som tidigare arrangera sin personuppgiftsbehandling utan att reflektera över eventuella behov av samverkan för att kunna leverera en jämlik hälso- och sjukvård och socialtjänst m.m.

För hälso- och sjukvårdens del har utvecklingen bland annat medfört konkreta samarbeten och gemensamma utvecklingsprojekt på lokal, regional och nationell nivå. Inte sällan handlar det om att gemensamt använda system och tekniska lösningar som tagits fram tillsammans eller av en aktör, som sedan låter övriga använda den framtagna lösningen. Som exempel kan nämnas de system för sam- manhållen journalföring som finns såväl regionalt som nationellt. I den landstingsfinansierade delen av hälso- och sjukvården har det på regional nivå bland annat medfört att allt fler vårdgivare använder samma journalsystem och arrangerar det på ett sådant sätt att utbyte genom direktåtkomst blir möjligt. På nationell nivå samt för informationsutbytet mellan landstings- och kommunfinansi- erade vårdgivare har exempelvis den Nationella patientöversikten, NPÖ, utvecklats som en möjlighet till sammanhållen journalföring.

I sammanhanget kan även nämnas de gemensamma satsningarna som landstingen initierat vad gäller invånartjänster, t.ex. den pågå- ende utvecklingen för att ge patienter tillgång till patientjournaler på internet. Även Mina vårdkontakter kan nämnas som en slags

193

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

plattform för att gemensamt möta och tillgodose patienters behov av tillgänglighet, information och service och där personuppgifter behandlas i gemensamma lösningar.

Ytterligare ett exempel på gemensamt framtagna lösningar och regelverk utgörs av den nationella Tjänsteplattformen. Tjänste- plattformen förenklar, säkrar och effektiviserar integrationen mellan olika it-system inom vård och omsorg. Varje tjänst som vill ansluta sig till Tjänsteplattformen följer så kallade tjänstekontrakt som specificerar regelverket för hur informationsöverföringen ska gå till mellan de olika systemen och tjänsterna. När ett system försöker kontakta ett annat går denna kommunikation inte direkt mellan systemen utan istället genom tjänsteplattformen, som i sin tur dirigerar meddelandet vidare till rätt tjänst hos exempelvis en vårdgivare. Något förenklat kan plattformen sägas utgöra navet mellan olika tjänster och system och vara en förutsättning för att möta de skiftande behov av informationsöverföring som finns. Ett syfte med en tjänsteplattform är att förhindra den komplexitet och de kostnader som en s.k. punkt-till-punktintegration av system och tjänster ger upphov till.

På den nationella arenan finns flera olika aktörerer som på många olika sätt deltar i utvecklingsarbeten som inbegriper behandling av personuppgifter. Dessa aktörer kan vara vårdgivare, myndigheter, leverantörer, intresseorganisationer, samverkans- organ m.fl. Sammantaget utkristalliseras en komplex bild där det inte alltid är enkelt att bedöma vem som ansvarar för vad eller vem som har befogenhet eller faktiska möjligheter att vidta åtgärder i fråga om personuppgiftsbehandling. De samarbeten rörande informationshantering som i dag finns och kontinuerligt utvecklas inom ramen för nationell e-hälsa väcker därför nya frågor relaterat till ansvaret för behandlingen av de personuppgifter som hanteras i de gemensamma lösningarna. Genom att gemensamma lösningar skapas uppkommer ett behov av att identifiera ansvaret för funk- tioner och åtgärder som utgör själva basen för den gemensamma personuppgiftsbehandlingen och som alla inblandade är beroende av och behöver rätta sig efter. I utredningsdirektivet anges exempelvis följande med beröringspunkt på dessa frågor.

En viktig förutsättning för ett fullgott integritetsskydd är tydlighet i fråga om personuppgiftsansvaret, som bl.a. innebär ett skadestånds- ansvar gentemot individen. När det gäller exempelvis informations-, spärr- och samtyckesfrågor i förhållande till individer måste person- uppgiftsansvaret därför vara tydligt. Personuppgiftsansvaret måste

194

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

också vara tydligt med avseende på it-säkerhet inklusive organisa- toriska och tekniska åtgärder, såväl på nationell nivå som i enskilda verksamheter.

Frågor om hur personuppgiftsansvaret fördelas vid samverkan mellan olika aktörer är ingalunda ny, även om den har en helt annan aktualitet i dag jämfört med tidigare. Nu står vi för en utveckling där tusentals vårdgivare i hälso- och sjukvården kan komma att samverka kring gemensamma lösningar för att utbyta patient- information med varandra eller för att göra patientjournaler till- gängliga över internet för patienterna. Det kan inte heller uteslutas att en rad nya områden och utvecklingsarbeten initieras där frågor om personuppgiftsansvarets fördelning blir aktuella.

Förutom nya utmaningar vad gäller att fastställa omfattning och innebörd av personuppgiftsansvar i olika delar, uppstår vid många samarbeten även ett grundläggande behov av att gemensamt fast- ställa hur informationssäkerheten och skyddet för personuppgift- erna ska tillgodoses. Det kan handla om sådant som att komma överens om vilka säkerhetslösningar som ska användas för att obehöriga inte kan komma åt personuppgifter eller hur incidenter och avvikelser ska hanteras. Vidare uppstår ett behov av att fast- ställa krav och nivåer för grundläggande informationssäkerhets- aspekter som tillgänglighet, riktighet, konfidentialitet och spår- barhet. Ytterst handlar det om att vidta gemensamma åtgärder för att skydda personuppgifterna och försäkra sig om att rätt uppgifter finns på rätt plats i rätt tid.

10.1.1Vårt uppdrag

I utredningens uppdrag ingår att utreda hur personuppgiftsansvaret bör regleras i framtiden samt vid behov lämna förslag på sådan reglering.

Som tidigare redovisats föreslår vi att patientdatalagens (2008:355), förkortad PDL, bestämmelser om personuppgifts- ansvar förs över i huvudsak oförändrade till den hälso- och sjukvårdsdatalag som föreslås. Det kan därutöver finnas anledning att ytterligare överväga frågor om personuppgiftsansvar och skydd för personuppgifter i en ny tid när allt fler aktörer samverkar kring behandling av personuppgifter i hälso- och sjukvården.

Särskilda frågor om fördelning av personuppgiftsansvar m.m. vid kommunikation med medborgare, t.ex. vid journaler på internet

195

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

och personliga hälsokonton och motsvarande, behandlas även i avsnitt 33. De frågor utredningen har att hantera har även beröringspunkter med E-hälsokommitténs uppdrag att se över ansvarsfördelningen mellan de inblandade aktörerna på e-hälso- området. I dessa delar har vi därför samrått med den utredningen.

10.2Generellt om personuppgiftsansvar

Enligt 3 § personuppgiftslagen (1998:204), förkortad PUL, är den personuppgiftsansvarig som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Det innebär att personuppgiftsansvaret kan delas eller vara gemensamt för flera. I en del fall kan det vara svårt att bedöma vem eller vilka som är personuppgiftsansvariga för en viss behandling. Ytterst är det dock en fråga om faktiska omständig- heter. Olika överenskommelser eller avtalskonstruktioner kan beaktas vid bedömningen, men det är de faktiska omständigheterna som i slutändan är avgörande. Därmed är det den som faktiskt, med eller utan rätt, bestämmer beträffande behandlingen som är person- uppgiftsansvarig.1

Vidare kan i lag eller förordning bestämmas vem som är person- uppgiftsansvarig för en viss behandling. En sådan bestämmelse tar över den nämnda regleringen i personuppgiftslagen. I register- författningar är det vanligt att på ett tydligt sätt peka ut vem som är personuppgiftsansvarig för den behandling av personuppgifter som regleras i författningen. Som exempel på detta kan nämnas att Socialstyrelsen är personuppgiftsansvarig för hälsodataregistren och att eHälsomyndigheten är personuppgiftsansvarig för recept- registret och läkemedelsförteckningen.

Av personuppgiftslagen följer att det för en och samma person- uppgiftsbehandling kan finnas två eller flera personuppgiftsansvariga. För att någon ska anses som personuppgiftsansvarig räcker det nämligen att den tillsammans med andra kan bestämma ändamålen med och medlen för personuppgiftsbehandlingen. Det är något oklart vad som avses med att flera bestämmer tillsammans och vad som är en respektive flera behandlingar av personuppgifter. Det kan räcka att flera gemensamt och i samråd faktiskt har bestämt att genomföra en

1 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 78.

196

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

viss behandling, även om var och en rättsligt eller faktiskt haft möjlighet att ensam bestämma.2

Hälso- och sjukvården

När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet regleras personuppgiftsansvaret i dag av patient- datalagen. Av 2 kap. 6 § PDL följer att vårdgivare är personuppgifts- ansvarig för den behandling av personuppgifter som vårdgivaren utför. Vidare preciseras att i landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den person- uppgiftsbehandling som myndigheten utför.

Regleringen kan sägas ge uttryck för och vara en precisering av den grundläggande principen i personuppgiftslagen om att den som bestämmer ändamål och medel för behandlingen av personuppgifter är personuppgiftsansvarig.

I patientdatautredningen anfördes exempelvis följande i sammanhanget.3

När det gäller personuppgiftsbehandling inom hälso- och sjukvårdens kärnverksamhet finns dock ingen generell särbestämmelse om personuppgiftsansvar – varken i vårdregisterlagen eller i någon annan författning – som tar över personuppgiftslagens bestämmelser. Istället gäller den allmänna principen att det efter en bedömning av de faktiska omständigheterna i varje enskilt fall får avgöras vem eller vilka som har personuppgiftsansvaret för en viss behandling. Det torde därvid stå klart att det inom den enskilda hälso- och sjukvården är vårdgivaren, t.ex. ett aktiebolag eller en stiftelse som driver en hälso- och sjuk- vårdsverksamhet eller en företagare som bedriver hälso- och sjukvård i en enskild firma – som är personuppgiftsansvarig för den person- uppgiftsbehandling som sker hos vårdgivaren.

I allmän verksamhet anses det i praxis normalt vara en myndighet som är personuppgiftsansvarig för den personuppgiftsbehandlingen, förutsatt att organet är så självständigt att det är en förvaltnings- myndighet. ---

Vi menar att det är den mest lämpliga ordningen att person- uppgiftsansvaret inom den allmänna hälso- och sjukvården förläggs på myndighetsnivå.

Mot bakgrund av patientdatautredningens uttalanden kan konstateras att regleringen av personuppgiftsansvaret i patientdatalagen i allt

2Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 83.

3SOU 2006:82 s. 195 f.

197

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

väsentligt är en kodifiering och ett förtydligande av den praxis som har utvecklats vid tillämpningen av personuppgiftslagen.

Regleringen i patientdatalagen innebär dock i ett avseende ett avsteg från praxis. I 2 kap. 6 § andra stycket slås nämligen fast att personuppgiftsansvaret även omfattar sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett lands- ting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet. Vid tillämpningen av personuppgiftslagen har uppfattningen däremot varit att den som endast har tillgång till personuppgifter genom att t.ex. söka bland och läsa uppgifter som ingår i en uppgiftssamling utan att själv ha varken några rättsliga befogenheter eller faktiska möjligheter att ändra eller komplettera de uppgifter som ingår i samlingen, inte kan anses vara personuppgiftsansvarig för den behandling som sökningar och bearbetningar vid sådan tillgång innefattar.4

Patientdatalagens reglering innebär dock ett avsteg från denna uppfattning eftersom det av lagens bestämmelser förtydligas att en vårdgivare är personuppgiftsansvarig även vid sådan direktåtkomst där vårdgivaren tar del av andra vårdgivares uppgifter. För social- tjänstens del finns inte någon sådan reglering i dag, sannolikt eftersom motsvarande möjligheter till direktåtkomst inte heller finns i lagstiftningen om socialtjänstens personuppgiftsbehandling. I utredningens förslag till socialtjänstdatalag föreslås dock att en sådan bestämmelse tas in, dvs. som förtydligar att personuppgifts- ansvaret även omfattar sådan behandling av personuppgifter som görs när den som bedriver verksamhet inom socialtjänsten genom direktåtkomst lämnar ut eller tar del av personuppgifter.

10.3Personuppgiftsansvar vid samverkan mellan olika aktörer

När det gäller personuppgiftsansvarets fördelning vid olika typer av gemensam personuppgiftsbehandling, eller gemensam användning av system och lösningar för att vidta personuppgiftsbehandling, saknas egentlig praxis i form av vägledande domstolsavgöranden. Det finns dock ett antal vägledande uttalanden i förarbeten, varav

4 Öman, Lindblom, Personuppgiftslagen – en kommentar, tredje upplagan, s. 81.

198

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

följande rörande personuppgiftsbehandlingen i socialförsäkringens administration kan nämnas.5 Det rör ansvarsförhållandet mellan olika Försäkringskassor och dåvarande Riksförsäkringsverket för personuppgiftsbehandling i it-system som de olika myndigheterna gemensamt använde.

Har en uppgift lagrats i databasen är det den myndighet som i och för sin verksamhet utför lagringsåtgärden som är ansvarig för att den lagrade uppgiften är korrekt. Ansvaret för uppgiften bör rimligtvis sedan sträcka sig så långt som fram till den tidpunkt då gallring aktualiseras, dock inte längre än fram till den tidpunkt då den myndig- heten av olika skäl inte längre besitter möjligheter att förfoga över uppgiften genom rättning, blockering, borttagning etc. Om en person- uppgift lämnas ut av en annan myndighet än den som registrerade uppgiften svarar naturligtvis den utlämnande myndigheten för den behandling som utgörs av själva utlämnandet.

För den fortsatta behandlingen av uppgiften efter en registrering kan även andra myndigheter vara ansvariga, allt efter vilka faktiska behandlingar som utförs. Förslaget om fördelning av personuppgifts- ansvar förutsätter naturligtvis att det går att genom loggning spåra vilken myndighet som företagit en viss behandling.

I övergripande frågor, såsom ansvar för att tekniska och organisatoriska säkerhetsåtgärder vidtas, måste personuppgiftsansvaret fördelas efter vilka myndigheter som har befogenhet och skyldighet att utföra dessa åtgärder. I regel torde det följa av åläggandet för Riksförsäkringsverket i verksinstruktionen att vara ansvarig system- ägare för Riksförsäkringsverkets och försäkringskassornas gemen- samma it-system att det är verket som har personuppgiftsansvaret vad avser sådana frågor.

Regeringens uttalande i propositionen ger uttryck för den princip som även föreslås vara gällande i hälso- och sjukvårdsdatalagen och socialtjänstdatalagen, nämligen att personuppgiftsansvaret normalt ska vila på den som i och för sin verksamhet faktiskt utför en behandling av personuppgifter. Samtidigt uppmärksammade regeringen att även andra kan ha ett personuppgiftsansvar beroende på vilka behandlingar som faktiskt utförs och att personuppgiftsansvaret för övergripande säkerhetsåtgärder inte nödvändigtvis behöver vara gemensamt.

5 Prop. 2002/03:135 s. 52 f.

199

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

10.3.1Patientdatautredningens resonemang m.m.

Även patientdatautredningen uppmärksammade frågor om person- uppgiftsansvar vid samverkan mellan flera aktörer. Patientdata- utredningen reflekterade särskilt över vad som borde gälla när flera vårdgivare samverkar i system för sammanhållen journalföring. Även om utredningen konstaterade att det kan finnas skäl från integritetsskyddssynpunkt peka ut vem som ska vara person- uppgiftsansvarig, bedömdes det som olämpligt och omöjligt med hänsyn till de faktiska omständigheterna och de skiftande sam- arbetsformer m.m. som kan finnas. Mot den bakgrunden föreslog utredningen istället att regleringen skulle ta sin utgångspunkt i att det vid sammanhållen journalföring är den som faktiskt har möjlig- het att påverka om och hur en enskild personuppgiftsbehandling ska företas, som bör vara personuppgiftsansvarig för den behand- lingen. Vidare anförde utredningen följande.6

I praktiken innebär patientdatalagens allmänna bestämmelse om personuppgiftsansvar bl.a. att den vårdgivare som gör en person- uppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras, har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår således att se till att patienten i skede 1 ges sådan information om den sammanhållna journalföringen så att han eller hon kan ta ställning till en eventuell spärrning. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Bestämmelsen innebär vidare – till skillnad från vad som torde följa vid enbart en tillämpning av personuppgiftslagen – att den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddoku- mentation, blir personuppgiftsansvarig för den personuppgifts- behandling som detta innebär.

I likhet med utredningen om socialförsäkringens administration (se ovan), för även patientdatautredningen ett resonemang om vad som bör gälla för mer övergripande frågor och förhållanden som är relaterade till den gemensamma informationshanteringen. Den centrala frågan i sammanhanget är vem eller vilka som ansvarar för att personuppgifterna skyddas genom tekniska eller organisatoriska säkerhetsåtgärder. Denna fråga är sannolikt än mer aktuell i dag, eftersom det inte längre endast är fråga om vårdgivares samarbete vid sammanhållen journalföring utan generellt om en mängd olika

6 SOU 2006:82 s. 340.

200

SOU 2014:23 Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

aktörers samverkan i en rad olika frågor som alla innehåller moment av personuppgiftsbehandling.

Patientdatautredningen lämnar inget generellt och heltäckande svar på frågan om det övergripande ansvaret utan anför att det beror på hur man i rättstillämpningen bedömer de faktiska för- hållandena i det enskilda fallet. Samtidigt anser patientdata- utredningen att som huvudregel bör gälla att ansvaret för sådana övergripande frågor bör delas solidariskt mellan de samarbetande vårdgivarna eller myndigheterna, dvs. vara gemensamt för dem som tillgängliggör journaluppgifter i ett system för sammanhållen journalföring. Men utredningen anför vidare att det samtidigt inte går att utesluta att organisationerna eller samarbetsformerna kan komma att gestalta sig på väldigt skilda sätt, vilket kan få betydelse vid en bedömning av ansvaret för övergripande frågor.7

En aktör som personuppgiftsansvarig för övergripande frågor

Mot bakgrund av de olika typer av samarbetsformer och faktiska omständigheter som kan tänkas föreligga vid samverkan mellan vårdgivare uppmärksammade patientdatautredningen att de faktiska omständigheterna mycket väl skulle kunna peka på att endast en av de samverkande vårdgivarna är att betrakta som personuppgiftsansvarig för frågor om övergripande tekniska och organisatoriska säkerhets- åtgärder. Bland annat följande av intresse i sammanhanget anfördes.8

Det är tänkbart att sådana översikter lagras och behandlas i en gemen- sam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting. Om det landstinget i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet, kan det tala för att den aktuella myndigheten inom landstinget bör kunna anses ha ett person- uppgiftsansvar för övergripande frågor.

Exempelvis har vid Stockholms läns landstings presentation för utredningen av planerna på en för alla landstingets vårdgivare gemen- sam vårddokumentation, GVD, nämnts att det kan komma att från landstingets sida ställas som villkor vid ingående eller förlängning av entreprenadavtal med privata vårdgivare att de deltar i GVD. Vid sådana förhållanden är det enligt vår mening tveksamt om de privata vårdgivarna intar en sådan överordnad position i förhållande till lands- tinget som gör att landstinget kan anses behandla personuppgifter i enlighet med varje privat vårdgivares instruktioner (jämför 30 § personuppgiftslagen).

7SOU 2006:83 s. 341.

8SOU 2006:82 s. 341 ff

201

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom vi inte kan förutse i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Rimligen kan behov av en tydligare reglering uppkomma vid t.ex. etablerandet av en heltäckande nationell läkemedelsjournal eller om den nationella patientöversikten utvecklas och förverkligas på bred front i enlighet med de planer som nu finns. Även andra specifika samarbeten i form av sammanhållen journalföring kan visa sig vinna på en författnings- reglering av personuppgiftsansvaret, som utöver integritetsvinsterna för enskilda, ger en central aktör vissa möjligheter att samlat styra över och administrera verksamheten.

Patientdatatutredningen anförde således att vid olika typer av sam- arbeten mycket väl kan vara så att någon av de inblandade aktörerna har en sådan självständig och inflytelserik position i förhållande till de övriga att det kan konstituera ett personuppgiftsansvar för de övergripande frågorna. Däremot bedömdes det inte möjligt att i lag reglera personuppgiftsansvaret. Mot den bakgrunden föreslog utredningen istället en bestämmelse som ger regeringen möjlighet att vid behov närmare reglera personuppgiftsansvaret i sådana över- gripande frågor om säkerhetsåtgärder just i system för sammanhållen journalföring. Regeringen har dock fram till i dag inte fattat något sådant beslut eller gett någon myndighet rätt att meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande tekniska och organisatoriska säkerhetsåtgärder.

Även E-delegationen har i olika sammanhang berört frågan om ansvar för övergripande tekniska och organisatoriska säkerhets- åtgärder. Bland annat när det gäller frågan om personuppgiftsansvar i samband med att nya möjligheter utvecklas för myndigheter att kommunicera och inhämta information från enskilda, anför E- delegationen följande.9

De olika tjänster och kommunikationskanaler som införs för e-förvalt- ningen berör olika aktörer. Den som tillhandahåller ett eget utrymme åt en enskild blir normalt personuppgiftsansvarig för den drift- och säkerhetsrelaterade information som avser den enskildes eget utrymme och i övrigt för att de personuppgifter som behandlas i utrymmet är omgärdade av adekvata säkerhetsåtgärder. Tillhandahållaren blir emellertid inte ansvarig för den nyttoinformation som den enskilde själv för in i sitt utrymme.

9 E-delegationen, Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen (2013) s. 18.

202

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

E-delegationens uttalande har kanske framför allt beröringspunkter med den utveckling som i dag sker inom hälso- och sjukvården och socialtjänsten för att öka servicen och tillgängligheten m.m. gentemot invånarna. Det handlar exempelvis om utvecklingen inom Mina vårdkontakter och olika former av personliga hälsokonton m.m. För tydlighets skull vill utredningen dock påpeka att man är personuppgiftsansvarig för behandlingen av personuppgifter och inte, som E-delegationens uttalande ovan kan ge sken av, för informationen i sig.

10.3.2Några exempel från Datainspektionens tillsyn m.m.

Utredningen konstaterar att den tekniska utvecklingen och de nya samarbetsformerna har medfört att det kan vara betydligt svårare än tidigare att identifiera vilken aktör eller vilka aktörer som har faktiska möjligheter att påverka i frågor som rör efterlevnaden av integritetsskyddslagstiftningen. Även om ett personuppgiftsansvar i någon mening naturligtvis alltid ligger hos den som faktiskt har rådighet att rent praktiskt företa eller avstå från att företa en viss personuppgiftsbehandling, kan det ibland ifrågasättas om denna möjlighet motsvaras av en reell valsituation eller om sättet för per- sonuppgiftsbehandling närmast är en förutsättning för att kunna bedriva verksamhet på de villkor som satts upp av finansiären, exempelvis ett landsting eller en kommun.

Detta förhållande har i viss mån även bekräftats av tillsyns- myndighetens agerande för att försöka åstadkomma rättelse i enskilda fall. Datainspektionen har exempelvis vid tillsyn över vård- givares deltagande i system för sammanhållen journalföring funnit anledning att vid konstaterandet av brister, inleda en tillsyn mot den aktör som inspektionen bedömt har de reella möjligheterna att åtgärda bristerna. Ett exempel på detta är Datainspektionens tillsyn över en privat driven vårdcentral som använder samma system för sammanhållen journalföring som används av Stockholms läns landsting. I tillsynsbeslutet mot den privata vårdgivaren konstaterar Datainspektionen att vårdgivaren behandlar personuppgifter i strid med patientdatalagen och att inspektionen förutsätter att bristerna åtgärdas. Samtidigt anför inspektionen följande i beslutet.10

10 Datainspektionens beslut 2011-02-17, dnr 591-2010

203

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Datainspektionen anser att det är Stockholms läns landsting (Lands- tinget) som har reella möjligheter att åtgärda denna brist i journal- systemet. Datainspektionen kommer med anledning av detta att snarast inleda tillsyn mot Landstinget.

På motsvarande sätt konstaterade Datainspektionen i ett annat tillsynsärende att en privat vårdgivare, på grund av hur journal- systemet var utformat, inte levde upp till ett antal av de grund- läggande och integritetsskyddande kraven i patientdatalagen. Även om Datainspektionen i beslutet förvisso förutsätter att vårdgivaren åtgärdar bristerna, uttalar inspektionen följande.11

När det gäller bristerna beträffande de tekniska funktionerna i journal- systemet, anser Datainspektionen att det är Landstinget Sörmland (Landstinget) som har reella möjligheter att åtgärda ovanstående brister. Datainspektionen kommer med anledning av detta att snaras inleda tillsyn mot Landstinget.

Dessa tillsynsbeslut visar, enligt utredningens uppfattning, på att det kan finnas behov av att tydliggöra vem som har de faktiska möjligheterna att vidta åtgärder för att tillgodose enskildas behov av skydd för den personliga integriteten. Precis som patientdata- utredningen anförde kan det i dag finnas ett antal samarbeten där det vid en utredning om de faktiska förutsättningarna skulle visa sig att en aktör, eller möjligtvis ett fåtal aktörer, har dikterat villkoren för de övrigas medverkan och har de egentliga befogen- heterna att ansvara för och utföra åtgärder för att skydda person- uppgifterna och se till att de system som används gör det möjligt att behandla personuppgifter i enlighet med lagstiftningens krav. Detta behöver dock inte utesluta att var och en av de ingående aktörerna fortsatt har ett personuppgiftsansvar för den behandling av personuppgifter som man faktiskt utför.

Den rådande utvecklingen har kommit att innebära att ett antal olika aktörer ofta är inblandade i olika led och delar av en person- uppgiftsbehandling som på ett generellt plan görs för samma över- gripande ändamål. Det ändamålet kan exempelvis vara att lämna ut och ta del av personuppgifter genom direktåtkomst eller lämna ut personuppgifter elektroniskt till medborgare. Såvitt utredningen har funnit saknas i dag domstolsavgöranden som, på den detaljnivå det är fråga om här, har tagit ställning till olika aktörers person- uppgiftsansvar för vad som i allt väsentligt utgör en och samma

11 Datainspektionens beslut 2011-02-17, dnr 590-2010.

204

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

övergripande personuppgiftsbehandling. Frågan kan visserligen anses ha berörts närmast i förbigående av Högsta förvaltnings- domstolen i ett mål mot Försäkringskassan. Målet handlade något förenklat om Försäkringskassans eventuella ansvar för över- gripande frågor om tekniska och organisatoriska säkerhetsåtgärder i samband med att medborgare använder en av kassan framtagen självbetjäningstjänst för begäran om tillfällig föräldrapenning via sms. Högsta förvaltningsdomstolen uttalar bland annat följande (vår kursivering nedan).12

Den serie av åtgärder i fråga om personuppgifter som vidtas i de aktuella fallen kan betraktas som led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Det gäller trots att Försäkringskassan saknar möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga för kassan. Det gäller också oberoende av om någon eller några av åtgärderna skulle utgöra behandling av personuppgifter även hos någon annan.

Även om det nämns i förbigående tyder den kursiverade meningen på att domstolen inte utesluter att det vid sidan om Försäkringskassan kan finnas andra aktörer som i sammanhanget utför sådan personuppgiftsbehandling som konstituerar ett person- uppgiftsansvar även för någon annan. Datainspektionen har även i ett tillsynsärende mot företaget Wiky rörande en s.k. rejtingsajt på internet berört frågan om personuppgiftsansvaret och dess innehåll om flera aktörer är inblandade. Datainspektionen anför bland annat följande av intresse i sammanhanget.13

Wikys personuppgiftsbehandling omfattar såväl behandling av de upp- gifter som Wiky på egen hand lägger in i tjänsten (databasen med näringsidkare) som behandling av de personuppgifter som Wiky samlar in genom att användarna lägger in dem i tjänsten.

Att tjänsten är omodererad, dvs. att användarnas omdömen publiceras utan föregående granskning eller åtgärd av Wiky, innebär dock att personuppgiftsansvaret är begränsat i vissa delar eftersom företaget inte i alla avseenden besitter fullständiga rättsliga och faktiska möjligheter att förfoga över de aktuella uppgifterna.

Wikys personuppgiftsansvar för tjänsten utesluter inte att även den enskilde användaren har ett sådant ansvar för behandling av person- uppgifter i reco.se, dvs. för sådan behandling av personuppgifter som användaren utför.

12Högsta förvaltningsdomstolens dom 5 juni 2012, mål nr. 4453-10.

13Datainspektionens beslut 2010-01-11, dnr 1288-2009.

205

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

SOU 2014:23

Även om detta ärende rörde relationen mellan enskilda användare och den som tillhandahåller möjligheterna för personuppgifts- behandlingen, sätter tillsynsärendet delvis ljuset på den svårighet som kan finnas dels att identifiera personuppgiftsansvaret, dels att slå fast vad personuppgiftsansvaret i olika delar omfattar. Trots att tillsynsärendet inte rörde frågor om personuppgiftsansvar för över- gripande tekniska och organisatoriska säkerhetsåtgärder finns, enligt utredningens bedömning, flera paralleller till den utveckling som sker inom e-hälsa lokalt, regionalt och nationellt. Detta efter- som det även i dessa samarbeten ofta är nödvändigt att reflektera över de ingående aktörernas inbördes förhållanden och ansvars- fördelning för vad som många gånger kan betraktas som en serie av personuppgiftsbehandlingar för samma övergripande ändamål.

10.4Våra överväganden och förslag

10.4.1Krav på risk- och sårbarhetsanalys, överenskommelse och tydliggörande av personuppgiftsansvar

Vårt förslag: I hälso- och sjukvårdsdatalagen ska anges att en vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter, ska göra en risk- och sårbarhetsanalys och komma överens med de andra vårdgivarna om hur informations- säkerheten och skyddet för personuppgifterna ska tillgodoses. Detta ska göras innan samarbetet inleds. Av överenskommelsen ska även framgå hur personuppgiftsansvaret är fördelat med avseende på övergripande tekniska och organisatoriska säkerhets- åtgärder.

Vår bedömning: Bestämmelsen i 6 kap. 6 § PDL om att regeringen eller den myndighet regeringen bestämmer får med- dela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhets- åtgärder vid sammanhållen journalföring ska inte föras över till den föreslagna hälso- och sjukvårdsdatalagen.

206

SOU 2014:23

Skydd för personuppgifter vid samverkan mellan personuppgiftsansvariga

Krav på risk- och sårbarhetsanalys och överenskommelse avseende informationssäkerhet och skyddet för personuppgifterna

När flera personuppgiftsansvariga samverkar vid behandling av personuppgifter uppstår ett behov av att gemensamt komma överens om de närmare villkoren för samarbetet. Ett sådant behov finns inte minst med avseende på skyddet för personuppgifterna. Vårdgivare som exempelvis lämnar ut personuppgifter genom direktåtkomst i system för sammanhållen journalföring har ett självklart intresse av att skyddet för personuppgifterna garanteras och att övriga samverkande vårdgivare har förutsättningar för att behandla personuppgifter i överensstämmelse med integritets- skyddsbestämmelserna. För de samverkande aktörerna inom hälso- och sjukvården handlar det bland annat om att se till att informa- tionssäkerheten anpassas till legala krav i hälso- och sjukvårds- datalagen, men även till exempelvis offentlighets- och sekretess- lagen (2009:400), arkivlagen (1990:782) och patientsäkerhetslagen (2010:659). Den nuvarande lagstiftningen ställer inga uttryckliga krav på de samverkande personuppgiftsansvariga att genom avtal eller annan överenskommelse ange de närmare villkoren för sam- arbetet och hur de legala kraven ska tillgodoses.

Enligt vår bedömning riskerar avsaknaden av krav på överens- kommelse att medföra att personuppgiftsansvariga inte säkerställer hur samarbetet ska bedrivas för att informationssäkerheten och skyddet för personuppgifterna ska tillgodoses. Mot den bakgrunden föreslår vi att hälso- och sjukvårdsdatalagen ska innehålla uttryckliga krav på överenskommelser i dessa avseenden. En vårdgivare som medger andra vårdgivare direktåtkomst eller på annat sätt samarbetar med andra vårdgivare vid behandling av personuppgifter ska därför komma överens med de andra vårdgivarna hur informationssäkerheten och skyddet för personuppgifterna ska tillgodoses innan samarbetet inleds. Som exempel på andra situationer än direktåtkomst, där samarbetet kan sägas innebära ett gemensamt tillvägagångssätt för behandling av personuppgifter, avses exempelvis de utvecklings- arbeten som bedrivs inom nationell e-hälsa. I det föregående har exempelvis nämnts sådan personuppgiftsbehandling som görs inom ramen för Mina vårdkontakter, journaler på nätet eller grundläggande funktioner som den nationella tjänsteplattformen.

Överenskommelsen mellan vårdgivare ska, enligt utredningens förslag, föregås av en risk- och sårbarhetsanalys rörande de sam- verkande vårdgivarnas organisatoriska och tekniska förutsättningar

207