SOU och Ds kan köpas från Fritzes kundtjänst. Beställningsadress: Fritzes kundtjänst, 106 47 Stockholm Ordertelefon: 08-598 191 90

E-post: order.fritzes@nj.se fritzes.se

För remissutsändningar av SOU och Ds svarar Fritzes Offentliga Publikationer på uppdrag av Regeringskansliets förvaltningsavdelning.

Svara på remiss – hur och varför.

Statsrådsberedningen, SB PM 2003:3 (reviderad 2009-05-02)

En kort handledning för dem som ska svara på remiss. Häftet är gratis och kan laddas ner som pdf från eller beställas på regeringen.se/remiss.

Layout: Kommittéservice, Regeringskansliet.

Omslag: Elanders Sverige AB.

Tryck: Elanders Sverige AB, Stockholm 2014.

ISBN 978-91-38-24133-2

ISSN 0375-250X

Till statsrådet och chefen för

Utbildningsdepartementet

Regeringen beslutade den 17 januari 2013 att tillkalla en särskild ut- redare med uppdrag att utreda förutsättningarna för registerbaserad forskning. Utredaren fick i uppdrag att lämna författningsförslag och andra förslag i syfte att registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet och att sambearbetning av registeruppgifter för forskningsändamål ska under- lättas. Utredaren fick vidare i uppdrag att lämna författningsförslag och andra förslag i syfte att göra det möjligt att på ett integritets- säkert sätt samla in personuppgifter till register som förs för sär- skilda och uttryckligt angivna forskningsändamål samt till longitudi- nella studier som håller sig inom ramen för sådana ändamål. I upp- draget ingick också att undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är tillräckligt för att skydda den enskildes integritet vid forskning (Dir 2013:08).

Som särskild utredare anställdes förra statsrådet Bengt Westerberg från och med den 17 januari 2013. Som experter förordnades från och med den 22 januari 2013 professorn Björn Halleröd, professorn Mats G Hansson, tillsynschefen Erik Janzon, professorn Cecilia Magnusson-Sjöberg, chefsjuristen Eva Nilsson, professorn Peter Nilsson, rättschefen Karin Nylén, avdelningschefen Petra Otterblad- Olausson och docenten Magnus Stenbeck. Som sakkunniga förord- nades den 5 mars 2013 kanslirådet Elin Feldt, departementssekre- teraren Ann-Sofie Hollsten-Yamamoto och departementssekretera- ren Maria Wästfelt. Från och med den 11 juni 2013 förordnades även kanslirådet Per Eriksson som sakkunnig. Erik Janzon ersattes den 3 september 2013 av juristen Victoria Söderqvist. Elin Feldt er- sattes den 1 mars 2014 av departementsrådet Petter Odmark, som förordnades som expert.

Som sekreterare i utredningen anställdes från och med den 18 februari 2013 hovrättsassessorn Magdalena Petersson. Professorn Robert Erikson anställdes för ett särskilt uppdrag från och med den 1 augusti 2013 till och med den 30 november 2013.

Utredningen har antagit namnet Registerforskningsutredningen. Utredningen överlämnar härmed betänkandet Unik kunskap genom registerforskning (SOU 2014:45). Utredningens uppdrag är

därmed slutfört.

Stockholm i juni 2014

Bengt Westerberg

/ Magdalena Petersson

Innehåll

Sammanfattning ................................................................	17
Summary ..........................................................................	33
1 Författningsförslag......................................................	49

1.1Förslag till lag om ändring av lagen (2001:99) om den

officiella statistiken..................................................................

49

1.2Förslag till lag om ändring i lagen (2003:460) om

etikprövning av forskning som avser människor ...................

52

1.3Förslag till lag om ändring i offentlighets- och

sekretesslagen (2009:400)........................................................

54

1.4Förslag till lag om ändring i patientsäkerhetslagen

(2010:659).................................................................................	60
1.5 Förslag till lag (20xx:xx) om forskningsdatabaser.................	61

1.6Förslag till lag (20xx:xx) om Nationella

	biobanksregistret......................................................................	66
2	Direktiv, arbetssätt och disposition...............................	71
2.1	Direktiven.................................................................................	71
2.2	Expertgruppen..........................................................................	72
2.3	Kontakter..................................................................................	74
2.4	Disposition...............................................................................	75
2.5	Terminologifrågor....................................................................	76

5

SOU 2014:45		Innehåll
5	Rättsliga förutsättningar för registerbaserad forskning....	115
5.1	Inledning.................................................................................	115

5.2Internationell reglering till skydd för den personliga

integriteten vid behandling av personuppgifter ...................		116
5.2.1 FN:s allmänna förklaring om de mänskliga
	rättigheterna m.m. ......................................................	116
5.2.2	Europakonventionen ..................................................	117
5.2.3	Europarådets Dataskyddskonvention .......................	118
5.2.4	OECD:s riktlinjer.......................................................	119
5.2.5 Europeiska unionens stadga om de
	grundläggande rättigheterna ......................................	120
5.2.6	Sammanfattning..........................................................	121

5.3Nationell reglering till skydd för den personliga

integriteten vid behandling av personuppgifter ...................			121
5.3.1	Regeringsformen.........................................................		121
5.3.2	Dataskyddsdirektivet..................................................		126
5.3.2.1		Syfte ...........................................................................	126
5.3.2.2		Huvuddragen i direktivet..........................................	126
5.3.2.3		Kompletterande rättsakter........................................	128
5.3.2.4		Reformarbete.............................................................	129
5.3.3 Kommissionens förordning om tillgång till
	konfidentiella uppgifter för vetenskapliga syften.....		129
5.3.4	Personuppgiftslagen ...................................................		131

5.3.4.1Personuppgiftslagens syfte och förhållande till

	annan lagstiftning......................................................	131
5.3.4.2	Några viktiga begrepp...............................................	131
5.3.4.3	Det territoriella tillämpningsområdet......................	135
5.3.4.4 Behandling av uppgifter som omfattas av lagen......		135
5.3.4.5	Undantag från personuppgiftslagen.........................	137
5.3.4.6 Krav på behandlingen av personuppgifter ...............		143
5.3.4.7 När behandling av personuppgifter är tillåten.........		151

5.3.4.8Förbud mot behandling av känsliga

personuppgifter.........................................................

154

5.3.4.9Undantag från förbudet mot behandling av

	känsliga personuppgifter...........................................	158
5.3.4.10	Behandling av personuppgifter om
	lagöverträdelser m.m.................................................	162
5.3.4.11 Behandling av uppgifter om personnummer...........		164
5.3.4.12	Skyldigheter enligt personuppgiftslagen .................	165
		7

SOU 2014:45		Innehåll
5.6 Offentlighet och sekretess ....................................................		199
5.6.1	Inledning .....................................................................	199
5.6.2	Offentlighetsprincipen...............................................	199
5.6.2.1 Rätten att ta del av allmänna handlingar..................		199
5.6.2.2 I vilken form ska uppgifterna ges ut? ......................		201

5.6.2.3Begränsning av rätten att ta del av allmänna

	handlingar ..................................................................	202
5.6.3 Offentlighets- och sekretesslagen .............................		203
5.6.3.1	Sekretessbestämmelsernas uppbyggnad ..................	203
5.6.3.2	Myndigheternas sekretessprövning .........................	207
5.6.3.3	Utlämnandeprövningen............................................	208
5.6.3.4	Massuttag...................................................................	209

5.6.3.5Sekretess som kan gälla hos de myndigheter

från vilka forskare begär uppgifter...........................	210
5.6.3.6 Sekretessbrytande bestämmelser..............................	218

5.6.3.7Bestämmelser om skydd för enskild inom

		forskning och statistik ..............................................	222
	5.6.3.8 Uppgiftsskyldighet mellan myndigheter.................		226
5.7	Lagen om den officiella statistiken .......................................		227
	5.7.1	Inledning .....................................................................	227
	5.7.2 Utlämnande av uppgifter i vissa fall...........................		228
5.8	Arkivlagen ..............................................................................		229
	5.8.1	Inledning .....................................................................	229
	5.8.2	Arkivens syfte .............................................................	230
	5.8.3	Gallring........................................................................	230
	5.8.4	Riksarkivets föreskrifter för
		forskningsverksamhet ................................................	232
	5.8.5 Arkivering av digitala handlingar...............................		232
	5.8.6	Förhållande till personuppgiftslagen.........................	233
	5.8.7	Sekretess......................................................................	233
6	Integritet och registerbaserad forskning ......................		235
6.1	Vad är integritet?....................................................................		236
6.2	Rättsligt skydd för personlig integritet ................................		240
6.3	Rättslig grund för myndighetsregister..................................		241
6.4	Alla har rätt att få ut uppgifter som gäller dem själva..........		245

9

SOU 2014:45 Innehåll

	7.3.6	Statistisk sentralbyrå...................................................	299
	7.3.7	Folkehelseinstituttet...................................................	300
7.4	Sammanfattning .....................................................................		300
8	Bakgrund, nuläge och utmaningar..............................		303
8.1	Bakgrund ................................................................................		303
8.2	Datakällorna ...........................................................................		306
	8.2.1	Myndighetsregister.....................................................	306
	8.2.2	Kvalitetsregister ..........................................................	307
	8.2.3	Biobanker ....................................................................	309
	8.2.4	Forskningsregister......................................................	311
8.3	Tillgänglighet för forskning till register och biobanker ......		313
	8.3.1	Etikprövningen ...........................................................	314
	8.3.2	Utlämnande.................................................................	318

8.3.2.1Forskningsprocessen och vilka uppgifter

		som är nödvändiga ....................................................	328
	8.3.2.2. Internationellt samarbete..........................................		330
	8.3.3	Sambearbetning...........................................................	334
	8.3.3.1 Federerat system...........................................................		337
	8.3.4 Skydd och säkerhet vid högskolorna och
		universiteten................................................................	340
8.4	Forskningsdatabaser ..............................................................		342
	8.4.1 Det rättsliga läget är oklart.........................................		343
	8.4.2	LifeGene och EpiHealth ............................................	345
	8.4.3	Varför behövs forskningsdatabaser? .........................	349
	8.4.4 Behöver myndighetsuppgifter finnas med i
		forskningsdatabaser? ..................................................	353
	8.4.5	Hur avgränsat ändamål? .............................................	357
	8.4.6	Sammanfattning om forskningsdatabaser .................	362
8.5	Slutsatser.................................................................................		362
8.6	Sammanfattning .....................................................................		372
9	Bedömningar och förslag...........................................		375
9.1	Etikprövningen ......................................................................		375
	9.1.1	Ett enklare förfarande.................................................	375
	9.1.2	Rådgivande yttrande...................................................	378
			11

SOU 2014:45 Innehåll

	9.5.14.14	Tillgång till personuppgifter ..................................	489
	9.5.14.15	Information.............................................................	489
	9.5.14.16 Rätt att får uppgifter utplånade..............................		490
	9.5.14.17	Gallring....................................................................	490
	9.5.14.18	Rättelse och skadestånd..........................................	491
	9.5.14.19	Övriga bestämmelser ..............................................	492
	9.5.14.20	Sekretess..................................................................	492
10	Ikraftträdande och övergångsbestämmelser .................		499
11	Konsekvenser...........................................................		501
11.1	Inledning.................................................................................		501
11.2 Konsekvenser enligt 14 §.......................................................			501
11.3 Konsekvenser enligt 15 §.......................................................			505
11.4 Konsekvenser enligt 15 a § ....................................................			505
	11.4.1 En beskrivning av problemet och vad man vill
	uppnå ...........................................................................		506
	11.4.2 En beskrivning av alternativa lösningar som finns
	för det man vill uppnå och vilka effekterna blir
	om någon reglering inte kommer till stånd...............		507
	11.4.3 Uppgifter om vilka som berörs av regleringen .........		508
	11.4.4 Uppgifter om vilka kostnadsmässiga och andra
	konskevenser regleringen medför och en
	jämförelse av konsekvenserna för de övervägda
	regleringsalternativen .................................................		509
	11.4.5 En bedömning av om regleringen
	överensstämmer med eller går utöver de
	skyldigheter som följer av Sveriges anslutning till
	Europeiska unionen....................................................		509
	11.4.6 En bedömning av om särskilda hänsyn behöver
	tas när det gäller tidpunkten för ikraftträdande
	och om det finns behov av speciella
	informationsinsatser...................................................		510
	11.4.7 Effekten för företag....................................................		511
11.5	Konsekvenser för skyddet för den personliga
	integriteten och forskningen.................................................		512

15

Sammanfattning

I 2012 års forskningsproposition (prop. 2012/12:30) konstaterade regeringen att de svenska registren i många avseenden är unika. Att kombinera uppgifter från dem ger stora möjligheter för forskningen. Det finns ett antal viktiga frågeställningar som kan besvaras med hjälp av olika register och datamaterial.

Mot den bakgrunden har regeringen uppdragit åt Vetenskapsrådet att inrätta en funktion med uppgift att förbättra tillgängligheten till och underlätta användningen av registeruppgifter för forsknings- ändamål.

Uttalanden i propositionen är också bakgrunden till denna utred- ning. I utredningsdirektiven framhålls att det kan finnas rättsliga hinder för registerbaserad forskning. Mitt uppdrag har varit att analy- sera dessa och att lämna författningsförslag och andra förslag i syfte att

•registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,

•sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och

•göra det möjligt att på ett integritetssäkert sätt samla in person- uppgifter till register som förs för särskilda och uttryckligt an- givna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.

På den sistnämnda punkten specificeras uppdraget ytterligare i direk- tiven. Det talas där om ett behov av att kunna skapa ”nya databas- infrastrukturer för bestämda, men relativt allmänt hållna, forsk- ningsändamål”. Jag ska föreslå hur sådana infrastrukturer ska kunna byggas, som kan användas av forskare i olika forskningsprojekt och

17

Sammanfattning

SOU 2014:45

som kan uppdateras och tillföras nya uppgifter vid till exempel longitudinella studier.

Jag har även haft till uppgift att undersöka om det befintliga sekretesskyddet för uppgifter som hanteras inom forskning är till- räckligt för att skydda den enskildes integritet vid forskning.

Till min hjälp i utredningsarbetet har jag haft en sekreterare, Magdalena Petersson, som är hovrättsassessor, samt en grupp av experter och sakkunniga med företrädare för departement, myndig- heter och forskarsamhället. Jag har under arbetets gång haft ett stort antal kontakter med forskare med omfattande erfarenheter av registerbaserad forskning och med flertalet berörda myndigheter.

Vad menas med register?

Med register avses i detta sammanhang i första hand strukturerade samlingar av personuppgifter som har upprättats inom myndigheter för primärt andra ändamål än forskning. Som exempel kan nämnas register hos statliga myndigheter som har tillkommit för administra- tiva eller statistiska ändamål och register hos regioner och landsting som har skapats för utvärdering och kvalitetssäkring av hälso- och sjukvården. Även biobanker, som är samlingar av biologiska prover från individer tagna huvudsakligen i samband med vård och behand- ling, är i sammanhanget av stort intresse.

Med register avses i utredningsdirektiven dock även vissa upp- giftssamlingar som primärt är skapade för forskningsändamål. Upp- gifterna i dessa kan hämtas direkt från individer eller från de nämnda registren. Oftast skapas sådana forskningsregister för ett specifikt forskningsprojekt, men det förekommer också att register byggs för att kunna ge underlag för flera framtida, från början inte definie- rade, forskningsprojekt. I den här utredningen kallar jag sådana forskningsregister för forskningsdatabaser. De utgör en sådan infra- struktur som omnämns i utredningsdirektiven.

Varför är registeruppgifter bra för forskning?

Det är i många sammanhang en stor fördel för forskningen att få tillgång till omfattande datamaterial. Myndighetsregister som i regel innehåller uppgifter om alla invånare i landet, eller i vart fall alla som är i något avseende berörda, är ovärderliga när man önskar be-

18

SOU 2014:45

Sammanfattning

skriva tillståndet i befolkningen. Genom att alla finns med kan även minoriteter och ovanliga företeelser fångas in. Ett exempel på det sistnämnda kan vara ovanliga sjukdomar.

Alternativet till att använda uppgifter från register är i regel att samla in uppgifter direkt från ett urval av individer. Sådana urvals- undersökningar är ibland nödvändiga eftersom alla uppgifter som forskarna är intresserade av inte finns i register. Men urvalsunder- sökningar kan innebära vissa problem. Ofta är de forskningspersoner som väljs ut inte särskilt representativa. Även när urvalen är repre- sentativa måste de om inte annat av ekonomiska skäl ofta begränsas och man måste dessutom alltid räkna med ett bortfall, det vill säga att några av dem som tillfrågas av olika skäl inte vill medverka. Både representativiteten, urvalets storlek och bortfallet ökar osäkerheten i forskningsresultaten. Det finns flera exempel på att slutsatser som har dragits på grundval av mindre urvalsstudier har visat sig fel- aktiga när de testats på hela den berörda populationen.

Även i andra sammanhang än när det gäller att studera ovanliga företeelser är forskare beroende av omfattande datamaterial. När de vill studera hur en viss åtgärd påverkar olika individer kan en urvals- studie vara tillräcklig, men om de vill finna olika orsaker till ett komplext samhällsfenomen krävs ett mer omfattande datamaterial. Vid longitudinella studier, då man följer individer eller studerar en och samma företeelse över tid, är register en särskild tillgång. Om individerna gång på gång ska kontaktas finns en stor risk att urvalet krymper ganska snabbt, till exempel därför att de tröttnar på att delta.

Ofta är det en fördel att kunna kombinera uppgifter som forskar- na själva har samlat in vid urvalsstudier med uppgifter från register. Om vissa uppgifter kan hämtas ur register kan antalet frågor som forskaren behöver ställa till sina intervjupersoner begränsas. För att få fram historiska uppgifter om en individ som ingår i ett urval kan register ofta innehålla mer pålitlig information än den individen kan ge ur minnet. För att följa upp hur det går för individer som del- tagit i en urvalsstudie kan registeruppgifter användas för att slippa besvära individerna med upprepade frågor. Uppgifter om alla de olika individer som finns med i olika urvalsundersökningar kan bara åter- finnas i heltäckande register.

Uppgifter om individer, också känsliga uppgifter, är ofta nöd- vändiga för forskningen. Det gäller inte minst inom medicinsk forsk- ning där syftet är att förstå sjukdomars uppkomst och utveckling och att finna botemedel. Samtidigt innebär all behandling av person-

19

Sammanfattning

SOU 2014:45

uppgifter vissa risker för individers personliga integritet. Den största risken är att någon blir utsatt för andra missaktning om hans eller hennes personliga förhållanden blir kända. Det är bakgrunden till att det finns en omfattande lagstiftning som syftar till att skydda in- dividers personliga integritet och att hantera den avvägning mellan olika intressen som kan behöva göras.

Rättsliga förutsättningar för registerbaserad forskning

Flera internationella organisationer, Förenta nationerna (FN), Europarådet, Organisationen för ekonomiskt samarbete och utveck- ling (OECD) och Europeiska Unionen (EU), har utarbetat rikt- linjer för hur personuppgifter får hanteras. Av särskild betydelse för svensk del är Europakonventionen om mänskliga rättigheter, som sedan 1995 är inkorporerad i svensk lag, och EU:s dataskydds- direktiv, som i Sverige har implementerats genom personuppgifts- lagen (PUL). Inom EU pågår för närvarande en diskussion om en ny dataskyddsförordning, som, om den beslutas, blir direkt tillämp- lig i alla medlemsländer och således för svensk del ersätter PUL. Det är oklart när ett sådant beslut kan komma att fattas och denna utredning utgår därför från gällande rätt.

I regeringsformen (RF) anges att var och en gentemot det allmän- na är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kart- läggning av den enskildes personliga förhållanden. Bestämmelsen får begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle.

PUL reglerar behandlingen av personuppgifter. Sådana får bara samlas in bara om det är lagligt och bara för särskilda, uttryckligt an- givna och berättigade ändamål. De får inte behandlas för något ända- mål som är oförenligt med det för vilket uppgifterna samlades in. För myndigheterna finns oftast det lagliga stödet för personuppgifts- behandlingen i särskilda registerförfattningar, som bland annat anger ändamålet och vilka uppgifter som får behandlas. Behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska enligt PUL inte anses vara oförenligt med de ändamål för vilka uppgifterna samlades in. Det sistnämnda innebär att det är möjligt att i till exempel forskning sekundäranvända uppgifter som har samlats in för andra ändamål.

20

SOU 2014:45

Sammanfattning

För att få behandla uppgifterna krävs antingen att de berörda individerna har samtyckt till behandlingen eller att den är nöd- vändig för att till exempel en arbetsuppgift av allmänt intresse ska kunna utföras. Forskning kan vara ett exempel på en sådan arbets- uppgift.

Vissa personuppgifter klassificeras i PUL som känsliga, och är förbjudna att behandla. Det gäller uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller som rör hälsa och sexualliv. Sådana uppgifter, liksom uppgifter som rör lagöverträdelser av vissa slag och biologiska prover, kan emellertid efter etikgodkännande behandlas i forskning. Etikgodkännande ges enligt lagen om etikprövning av forskning som avser människor (etikprövningslagen) av en etikpröv- ningsnämnd, med av regeringen utsedda representanter för forsk- ning och allmänhet. Etikprövningsnämnden ska också bedöma om samtycke ska inhämtas eller om uppgifterna kan behandlas utan sam- tycke. När det är fråga om omfattande uttag från myndighetsregister är praxis att inte kräva samtycke eftersom det skulle förutsätta en oproportionerlig resursinsats.

Myndigheters insamling och övriga behandling av personupp- gifter motiveras ofta med att de behöver uppgifterna för att kunna fullgöra sina administrativa uppgifter. Det kan handla om att hålla reda på landets invånare, att upprätta vallängder inför allmänna val, att bedöma hur mycket skatt medborgarna ska betala och vilka bidrag de har rätt till, och så vidare. I många fall används uppgifterna för beslut som avser enskilda personer. I de fall myndigheterna har fått i uppdrag att behandla personuppgifter har fördelen med denna behandling bedömts överväga riskerna för den personliga integri- teten.

Ett annat syfte med myndigheters behandling av personuppgifter är att upprätta statistik eller att utvärdera och kvalitetssäkra verk- samheter. Statistikproduktion baseras ofta på uppgifter ur admini- strativa register, men i vissa fall samlas uppgifter in särskilt för statistiska ändamål.

Allmänna handlingar hos svenska myndigheter är i princip offent- liga, men allmänhetens rätt att ta del av sådana handlingar kan be- gränsas om det är påkallat av hänsyn till exempelvis den enskildas personliga och ekonomiska förhållanden. I sådana fall råder ofta varierande grad av sekretess. Den starkaste sekretessen gäller för upp- gifter som har samlats in för statistiska ändamål. Då är sekretessen absolut, vilket innebär att uppgifterna i princip inte lämnas ut.

21

Sammanfattning

SOU 2014:45

Det finns emellertid även för dessa uppgifter vissa sekretessbry- tande regler. Uppgifterna kan till exempel lämnas ut för forsknings- ändamål om det kan ske utan risk för skada eller men för den som uppgifterna avser eller dennas anhöriga. Om sekretessbelagda upp- gifter lämnas ut till en annan myndighet, till exempel ett universitet eller en högskola, för forskningsändamål följer sekretessen auto- matiskt med. Om utlämnande sker till annan sker det i regel med särskilda förbehåll som syftar till att ge motsvarande skydd.

Det är den registerhållande myndigheten som har att pröva om personuppgifter kan lämnas ut. Vid utlämnande till forskning är det vanliga att uppgifterna lämnas ut i anonymiserad form. Det innebär att forskare inte vet vilka individer uppgifterna avser. Anonymise- rade uppgifter kan vara kodade eller avidentifierade. Att uppgifterna är kodade innebär att forskaren får ut uppgifter med en icke iden- titetsbärande beteckning, till exempel ett löpnummer, medan myn- digheten behåller en kodnyckel som kopplar löpnummer till person- nummer och som gör det möjligt att senare komplettera uppgifterna. Att en sådan möjlighet finns är viktigt vid till exempel longitudinella studier. När uppgifterna är avidentifierade finns inte denna möjlig- het.

Även om uppgifterna är anonymiserade kan det finnas en risk för så kallad bakvägsidentifiering, det vill säga att man genom att sammanställa en rad uppgifter om en individ kan identifiera denna. Det är förbjudet och har så vitt känt aldrig förekommit inom forskningen, men det är likväl en potentiell risk som rent av kan öka med utvecklingen av datatekniken. Därför är det viktigt att det finns ett tydligt regelverk och säkerhetsmässiga arrangemang kring personuppgifterna även i forskningsmiljöer.

I vissa fall, särskilt i medicinsk forskning, förekommer att iden- tifierbara uppgifter lämnas ut. Syftet är ofta att forskare ska kunna kontakta individerna i fråga eller att de ska kunna kontrollera register- uppgifter med uppgifter från patientjournaler.

Integritet och registerbaserad forskning

Ansvaret för den personuppgiftsbehandling som sker inom forsk- ningen åvilar forskningshuvudmännen, det vill säga i regel univer- sitet och högskolor. Ansvaret är ytterst styrelsernas. Det har inte förekommit att uppgifter läckt ut från forskningsmiljöer. De regler för sekretess och säkerhetsmässig hantering som gäller är en viktig

22

SOU 2014:45

Sammanfattning

förklaring till det. Men universitet och högskolor liksom forskare har också andra starka incitament att se till att reglerna följs, näm- ligen för att de ska kunna få del av uppgifter och bedriva forskning. Till det kommer att forskare inte i första hand är intresserade av individer utan av mönster i populationer.

Gällande regel i regeringsformen om den enskildes skydd gent- emot det allmänna mot betydande intrång i den personliga integri- teten om det sker utan samtycke och innebär övervakning eller kart- läggning av den enskildes personliga förhållanden tillkom år 2011. Frågan har väckts om sekundäranvändning av personuppgifter i myndighetsregister som sker utan samtycke skulle kunna stå i strid med denna grundlagsbestämmelse. Effekten av insamlingen av upp- gifter för forskning skulle, oavsett avsikten, kunna anses vara åtminstone kartläggning av enskildas personliga förhållanden.

Regeringen har i propositionen om grundlagsändringen konsta- terat att man vid bedömningen av vad som är betydande intrång måste se till bland annat ändamålet med behandlingen av uppgifter. Syftet med forskning är inte att kartlägga enskilda individer utan att finna mönster i en population. Behandlingen av uppgifterna ur myndighetsregister har sin rättsliga grund i de särskilda register- författningar som finns för myndighetsregistren och i PUL:s bestäm- melse att behandling för vetenskapliga ändamål inte är oförenligt med de ursprungliga ändamålen för behandlingen av uppgifterna.

Lagstiftarens avsikt torde inte ha varit att förhindra en sådan be- handling av personuppgifter i forskningen. Regeringen har också i propositionen om behandling av personuppgifter vid Institutet för arbetsmarknads- och utbildningspolitisk utvärdering (IFAU) kon- staterat att den så kallade IFAU-databasen inte står i strid med grundlagen. Däremot har regeringen bedömt att det med hänsyn till att det i detta fall handlar om många uppgifter som bevaras under lång tid är rimligt att det finns ett lagstöd för databasen.

Min slutsats är att registerbaserad forskning, forskningsregister och forskningsdatabaser inte innebär betydande intrång i enskildas personliga integritet, men att det är angeläget att det finns ett tydligt lagligt stöd för denna verksamhet.

Enligt proportionalitetsprincipen ska staten inte införa restrik- tioner eller skyldigheter utöver vad som är nödvändigt för att uppnå målet med en åtgärd. Målet med registerbaserad forskning är att vinna kunskap om hur samhället fungerar och den åtgärd som prövas i sammanhanget alltså användningen av bland annat register- uppgifter som har samlats in för andra ändamål.

23

Sammanfattning

SOU 2014:45

Att kunna använda registeruppgifter i forskningen har stora för- delar. Det finns kunskaper som kan uppnås genom sådan forskning, som är svårt att uppnå med andra metoder. Risken för läckor och åtföljande men för uppgiftslämnarna är liten. Det gäller särskilt när uppgifter lämnas ut i anonymiserad form, men även annars. När fördelarna vägs mot riskerna framstår registerbaserad forskning en i hög grad proportionell åtgärd.

Erfarenheter från de nordiska länderna

Förutsättningarna för registerbaserad forskning är mycket likartade i de övriga nordiska länderna. Även de har att utgå från gällande internationella regelverk. Deras motsvarigheter till svenska PUL är, liksom PUL, baserade på EU:s dataskyddsdirektiv och därmed mycket likartade. I vissa avseenden har de valt andra lösningar än Sverige för att underlätta registerbaserad forskning. Som exempel kan nämnas att man i Danmark har skapat ett väl utvecklat system för fjärråtkomst av hälsodata och att man i Norge en fristående orga- nisation för deponering och arkivering av forskarmaterial. Sådana exempel kan tjäna som inspirationskällor när systemen ska utvecklas i Sverige.

Bakgrund, nuläge och utmaningar

Det finns fyra viktiga datakällor för registerbaserad forskning: myn- dighetsregister, hälso- och sjukvårdens kvalitetsregister, biobanker och forskningsregister av olika slag.

Myndighetsregistren är skapade för primärt andra ändamål än forskning. Kvalitet och dokumentation kan inte alltid möta forsk- ningens behov. Ofta krävs bearbetning av data innan de kan användas i forskningen. Här finns en potential för utveckling.

Kvalitetsregistren inom hälso- och sjukvården är uppbyggda utifrån interventioner, sjukdomsepisoder eller kroniska sjukdomar. De är av varierande kvalitet, men en stor satsning sker nu från rege- ringens och huvudmännens sida att öka kvalitet och tillgänglighet. För närvarande finns ett 80-tal certifierade kvalitetsregister, vilket innebär att de lever upp till vissa kvalitetskrav. Nuvarande utveck- lingsprogram avser perioden 2013–16. När det löper ut får bedömas hur man ska gå vidare.

24

SOU 2014:45

Sammanfattning

Biobanker innehåller biologiska prover. Det finns cirka 600 bio- banker i Sverige varav hälften hos hälso- och sjukvårdshuvudmännen och ett 50-tal på universitet med medicinsk forskning. En utmaning är att öka spårbarheten av biobanksprover för att de ska bli mer till- gängliga för forskning.

Forskningsregister finns av många olika slag. Flertalet har tillkom- mit för konkreta forskningsprojekt. Svensk Nationell Datatjänst (SND) är en nationell resurs för samordning av existerande och nya forskningsregister inom samhällsvetenskap, humaniora och medicin. SND är för närvarande ett samarbetsprojekt mellan Vetenskapsrådet och Göteborgs universitet. Ett syfte är att data som har samlats in för viss forskning ska göras tillgängliga och kunna återanvändas i nya forskningsprojekt. Datainspektionen har emellertid beslutat att SND inte har rätt att bevara register med personuppgifter, varmed avses uppgifter som på något sätt kan identifieras (till exempel där en kodnyckel finns bevarad). Det innebär en allvarlig begränsning av SND:s verksamhet.

Vid användning i forskning av känsliga personuppgifter eller bio- logiska prover krävs etiktillstånd. När uppgifterna ska tillhandahållas i anonymiserad form bedömer etikprövningsnämnderna riskerna som små och tillstånd beviljas rutinmässigt. Denna bedömning står väl i överensstämmelse med den som har gjorts i vissa mål och ären- den som har behandlats i domstol eller av regeringen. I Danmark och Finland har man valt att vid utlämnande av sådana data arbeta med generella etiktillstånd för vissa auktoriserade organisationer. I Sverige borde det vara möjligt att pröva en förenklad process. Många av de berörda uppfattar också att de blanketter som forskarna har att fylla i vid etikansökan är mer detaljerade än nödvändigt. Det kan finnas skäl se över dessa blanketter, till exempel inom ramen för det av Vetenskapsrådet nyligen tillsatta registerdatarådet.

Inom Statistiska centralbyrån (SCB) har under de senaste tio åren ett system för fjärråtkomst av uppgifter utvecklats. Det kallas MONA, Micro On-line Access. Det används för att tillgängliggöra data inte bara från SCB utan från flertalet statistikansvariga statliga myndigheter. Systemet innebär att forskaren från en terminal i sin arbetsmiljö kopplar upp sig mot MONA och kan bearbeta data utan att de lämnar SCB. Bearbetade data, i form av till exempel tabeller, kan senare skickas till forskaren med e-post. En utvärdering av MONA-systemet har nyligen initierats av Vetenskapsrådet. Något motsvarande system för hälsodata från Socialstyrelsen finns ännu

25

Sammanfattning

SOU 2014:45

inte, men möjligheten att skapa ett sådant kommer att prövas inom ramen för utvärderingen av MONA.

Det synes inte finnas några rättsliga hinder för att tillhandahålla uppgifter för forskning. De problem som kan finnas ligger snarare på det administrativa planet. För SCB, och även andra myndig- heter, är inte forskning en prioriterad uppgift. Statistikutredningen föreslog i december 2012 att det i SCB:s instruktion skulle skrivas in att det ska vara en prioriterad uppgift att bistå forskningen med data. Finansdepartementet har meddelat att man har för avsikt att föreslå en sådan ändring, men något beslut har ännu inte fattats. Det är angeläget att det sker snarast. Det kan också finnas skäl att göra motsvarande justering i instruktioner till andra myndigheter.

Inom Socialstyrelsen har en registerserviceenhet numera skapats. För närvarande pågår inom SCB en intern utredning som syftar till något liknande. Det är angeläget att det även inom SCB skapas en central forskningsserviceenhet.

Mycket av dagens forskning sker i internationellt samarbete. Utlämnande av data över nationsgränser är en utmaning. Det är dock komplicerade frågor som inte kunnat analyseras inom ramen för denna utredning. Diskussioner mellan de statistiska centralbyråerna i Norden har dock nyligen initierats av Nordiska Rådet och dess forskningsråd, Nordforsk, och pågår för närvarande.

Sambearbetning av data från olika register är ofta nödvändigt inom forskning. Sambearbetningen synes, även när flera myndigheter är inblandade, fungera relativt väl. Den rättsliga grunden för att lämna känsliga personuppgifter mellan statistikansvariga myndigheter för att möjliggöra sambearbetning för forskningshuvudmans räkning har i något fall ifrågasatts. Det har vidare ifrågasatts om det finns stöd i sekretesslagstiftningen för statistikansvariga myndigheterna att skicka sekretessbelagda uppgifter till en annan myndighet i syfte att möjliggöra sambearbetning av uppgifter för en tredje myndig- hets räkning. Min bedömning är dock att detta förfarande har stöd i nuvarande lagstiftning.

Sambearbetning skulle kunna underlättas genom utveckling av ett så kallat federerat system. Det innebär att uppgifter hämtas från olika datakällor till en federationsserver (trusted location), en insti- tution som alla dataägare litar på och vilken de kan ge tillgång till uppgifter utan oro för spridning. Forskaren arbetar mot en sådan federationsserver på samma sätt som mot dagens MONA. Till denna federationsserver hämtas uppgifter på elektronisk väg direkt från källorna utan att någon överföring av uppgifter mellan myndig-

26

SOU 2014:45

Sammanfattning

heterna sker. Regeringen har i forskningspropositionen uttryckt sig positivt om en sådan lösning och uttalat att den ska utredas i särskild ordning. Något sådant initiativ har emellertid inte tagits. En federerad lösning kräver en omfattande teknisk utveckling. Om en sådan ska komma till stånd krävs sannolikt ett initiativ från regeringen, even- tuellt i samarbete med Umeå universitet som nyligen har inlett ett utvecklingsarbete inom området.

SND är en viktig infrastruktur för svensk forskning. Det är ange- läget att SND blir en permanent verksamhet och att den får rimliga förutsättningar att sköta sina uppgifter. I dag deponerar forskare kopior på sina data hos SND. Det skulle vara en fördel om SND kunde bli en arkivmyndighet där originaldata kunde deponeras. Som arkivmyndighet skulle SND också bli personuppgiftsansvarig för de uppgifter som finns där, vilket innebär att Datainspektionens in- vändningar mot rådande ordning skulle kunna hanteras. I Norge och Danmark har man organiserat motsvarande verksamhet på ett annat sätt: i Norge i en självständig organisation under Utdannings- og Forskningsdepartementet och i Danmark som en del hos Statens Arkiver. Den norska lösningen förefaller vara den mest attraktiva för verksamhetens självständighet och utveckling. Regeringen bör tillsätta en utredning för att utarbeta en långsiktig lösning för SND.

Bedömningar och förslag

Etikprövningen

För att förenkla handläggningen av ärenden där syftet är att i forsk- ningen endast använda anonymiserade uppgifter från myndighets- register föreslås att nämnderna ska kunna delegera sådana ärenden till ordföranden.

Det föreslås vidare att forskare ska få rätt att få ett yttrande från etikprövningsnämnden över forskningsprojekt som inte faller under etikprövningslagen. Det finns i dag en möjlighet att begära ett sådant yttrande, men nämnden avgör själv om den vill avge ett yttrande eller inte.

Det föreslås också att utlämnande från forskningsdatabaser alltid ska kräva etiktillstånd, oavsett om det handlar om känsliga person- uppgifter eller inte.

27

Sammanfattning

SOU 2014:45

Kodnyckelförfarande

När uppgifter lämnas ut i anonymiserad form kan utlämnande myn- dighet bevara en kodnyckel som gör det möjligt att senare kom- plettera uppgifterna. Denna möjlighet har tillkommit främst för att möjliggöra longitudinella studier, där samma individer eller före- teelser följs under lång tid, och liknande studier.

Vid longitudinella studier kommer utlämnande myndighet och forskarna överens om hur länge kodnyckeln ska bevaras. Normalt bevaras den i tre år med möjlighet till förlängning. Utlämnande myndighet kan dock vara obenägen att behålla kodnyckeln om den upplever att forskningsfrågorna förändras.

Även i andra forskningsprojekt kan en kodnyckel upprättas och bevaras, men normalt under betydligt kortare tid, vanligen tre måna- der. Syftet är kunna komplettera utlämnande uppgifter om något har blivit fel eller om forskaren har missat något i sin ansökan.

Det finns flera skäl för att regelmässigt bevara kodnycklar under längre tid. Att koppla bevarandet till att det är samma forsknings- frågor som ställs synes inte vara rimligt. Det är naturligt att forsk- ningsfrågorna i en longitudinell studie successivt modifieras. Forskare kan under ett pågående projekt finna att data skulle behöva kom- pletteras även om detta inte förutsågs när uppgifterna begärdes ut. I all forskning är det dessutom angeläget att ge möjligheter till repli- kation eller till förnyad analys av samma uppgifter eller efter viss komplettering.

Det föreslås mot denna bakgrund att kodnycklar ska bevaras hos den utlämnande myndigheten under tjugo år från dagen för utläm- nande av uppgifterna och med möjlighet till förlängning därefter.

En ny sekretessbestämmelse

För att upprätthålla allmänhetens förtroende för forskningen är det viktigt att regelverket tillgodoser den enskilda individens integritets- skydd. Det finns i dag flera olika bestämmelser som innebär sekre- tess för personuppgifter som behandlas i forskningen. Regelverket är emellertid inte lätt att överblicka, vilket kan skapa oklarhet.

I offentlighets- och sekretesslagen finns en särskild bestämmelse avseende statistiksekretess. Uppgifter som samlas in för statistiska ändamål skyddas av absolut sekretess. De skäl som i förarbetena till lagstiftningen åberopats för statistiksekretessen är tre. Offentlighets-

28

SOU 2014:45

Sammanfattning

intresset för sådana uppgifter anses väga lätt. En sammanställning av i och för sig harmlösa uppgifter kan ibland vara integritetskänslig. Och uppgiftslämnaren ska känna sig säker på hans eller hennes upp- gifter inte kommer ut. Dessa skäl talar också för ett motsvarande sekretesskydd för uppgifter som samlas in för forskning.

Mot den bakgrunden föreslås en motsvarande forskningssekre- tess. Det innebär att personuppgifter som samlas in för forskning alltid är skyddade av absolut sekretess. Liksom när det gäller upp- gifter som samlats in för statistiska ändamål ska för dessa uppgifter insamlade för forskningsändamål finnas en sekretessbrytande be- stämmelse som innebär att de, om vissa villkor är uppfyllda, kan användas för annan forskning.

Med sekretessen följer också tystnadsplikt för dem har att han- tera uppgifterna.

Det är angeläget inte bara att personuppgifter skyddas av sekretess utan också att de behandlas enligt gällande regler och i tekniskt säkra system. På alla stora universitet och på flertalet högskolor finns så kallade personuppgiftsombud, som har till uppgift att se till att den personuppgiftsansvarige, det vill säga universitetet eller högskolan, följer gällande regler. I många fall synes personuppgiftsombuden inte ha de resurser och den ställning som krävs för att på ett tillfredsstäl- lande sätt fullgöra uppgiften. Det är universitetens och högskolornas styrelser som har det yttersta ansvaret för att verksamheten fungerar tillfredsställande. Regeringen föreslås i regleringsbrev till statliga universitet och högskolor uppmana dessa att lägga större vikt vid skydd och säkerhet vid behandlingen av personuppgifter, bland annat genom att stärka personuppgiftsombudets ställning och att begära återrapportering om hur skyddet hanteras.

Forskningsdatabaser

I utredningsdirektiven framhålls svårigheterna att inom ramen för gällande rätt skapa forskningsdatabaser för bestämda men relativt allmänt hållna forskningsändamål. Datainspektionen har ställt sig tveksam till forskningsdatabaser med allmänt hållna ändamål. Den har också ifrågasatt lagligheten i det samtycke som enskilda ger när de lämnar uppgifter till sådana databaser. Etikprövningslagen med- ger bara att etikgodkännande ges till konkreta forskningsprojekt. Utlämnande myndigheter ser sig förhindrade att lämna ut uppgifter till databaser där de konkreta forskningsfrågorna är okända. Det

29

Sammanfattning

SOU 2014:45

saknas alltså i dag rättsliga förutsättningar för sådana forsknings- databaser.

Regering och riksdag har i några fall stiftat särskilda lagar för att möjliggöra forskningsdatabaser. Ett exempel är den lag som reg- lerar den så kallade IFAU-databasen och en annan den lag som reglerar vissa register för forskning om vad arv och miljö betyder för människors hälsa (”LifeGene-lagen”). Inom SCB finns också ett par sådana databaser som delvis används för forskning.

Enligt en inventering som gjorts på uppdrag av Vetenskapsrådet finns ytterligare ett femtiotal forskningsdatabaser i Sverige. De kan till exempel ha tillkommit långt tillbaka i tiden innan nuvarande regelverk fanns på plats, ha byggts upp kring ett konkret forsknings- projekt eller godkänts genom en generös tolkning av etikprövnings- lagen.

Det föreslås att det införs en särskild lag om forskningsdatabaser. Tanken är att i den ska anges vissa generella regler för forsknings- databaser, men att varje databas ska kompletteras med en regerings- förordning som reglerar vad som närmare ska gälla, till exempel ändamål och innehåll. Forskningsdatabasernas ändamål är att skapa underlag för forskning och att lämna ut uppgifter till forsknings- projekt. För utlämnande ska alltid krävas etikgodkännande.

Med forskningsdatabas avses en infrastruktur som ska kunna användas av flera olika forskare, från olika universitet och högskolor och inom olika discipliner, i framtida forskningsprojekt. Vilka pro- jekten är vet man inte när databasen skapas.

Forskningsdatabaser ska kunna skapas vid statliga universitet och högskolor samt vid andra statliga myndigheter som har i uppdrag att bedriva forskning. Det bör uppdras åt Vetenskapsrådet att föreslå regeringen vilka forskningsdatabaser som ska finnas. Vetenskaps- rådet bör också träffa avtal med värduniversiteten om finansiering, organisation och tillgänglighet. Finansieringen bör vara säkerställd för åtta år framåt. Forskningsdatabaserna ska utvärderas vart åttonde år, företrädesvis av en internationell utvärderingsgrupp.

Den personuppgiftsansvarige, alltså myndigheten, ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till person- uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen. Forskningsdatabasen ska admi- nistreras i en särskild avgränsad enhet.

De uppgifter som samlas i forskningsdatabasen ska kunna hämtas ur olika källor. Vissa uppgifter kan samlas in direkt från individer, andra hämtas ur befintliga register. För att säkerställa att myndig-

30

SOU 2014:45

Sammanfattning

heterna kan lämna uppgifter till forskningsdatabaserna behövs be- stämmelser om uppgiftsskyldighet för dessa. Det bör regleras i de särskilda förordningar som ska gälla för respektive forskningsdata- bas vilka myndigheter som ska vara skyldiga att lämna ut uppgifter och vilka uppgifter uppgiftsskyldigheten ska omfatta.

Enskilda ska kunna lämna uppgifter och ge ett informerat sam- tycke till att dessa behandlas för de ändamål som anges i förordningen för forskningsdatabasen.

Uppgifterna i en forskningsdatabas ska skyddas av absolut sekre- tess, men med vissa undantag. Enskilda ska ha rätt att på begäran få registerutdrag för identifierbara uppgifter som har registrerats i databasen.

Nationellt biobanksregister

Svenska biobanksregistret är i dag ett regionalt system. Registret finns hos sex regionala biobankscentra, som bedrivs av regioner och landsting. Det skulle i olika sammanhang underlätta spårbarheten av biobanksprover om det fanns ett nationellt biobanksregister. Ett sådant föreslogs för några år sedan av den statliga Biobanksutred- ningen. Dess förslag har av olika skäl inte lett till lagstiftning.

Utredningen föreslår mot den bakgrunden att Svenskt biobanks- register görs om till ett nationellt system för registrering av biobanks- prover, Nationella biobanksregistret. Det föreslås att Socialstyrelsen blir personuppgiftsansvarig för registret.

Uppgifterna i registret ska få behandlas för att underlätta spår- barhet vid vård och behandling av den registrerade, vid forskning, kvalitetssäkring och framställning av statistik och vid förstörande eller avidentifiering av vävnadsprover när den registrerade har åter- kallat sitt samtycke.

De uppgifter som får registreras avser i första hand provgivarens identitet, provgivarens ställningstagande till hanteringen av proverna (samtycke), vävnadsprovernas karaktär, i vilken biobank de finns och uppgifter om diagnos och analysresultat.

Absolut sekretess ska gälla för de uppgifter som finns i registret, men med sekretessbrytande regler för till exempel forskning. Upp- gifter ska också kunna lämnas ut när det handlar om den enskildes vård och behandling.

Registreringen bygger på samtycke, det vill säga att den enskilde när det biologiska provet sparas i en bank tar ställning till hur upp-

31

Sammanfattning

SOU 2014:45

gifterna om provet får behandlas. Uppgifter om de prover som redan finns i biobanker får dock registreras utan särskilt samtycke. Det ska understrykas att de berörda har samtyckt till att proverna sparas i biobanken och hur de får användas. Avsaknaden av samtycke gäller endast själva registreringen i det nationella registret. Möjligheten att återkalla samtycke finns alltid och underlättas med den ökade spårbarhet som följer med det centrala registret.

32

Summary

The 2012 Research and Innovation Bill (Government Bill 2012/13:30) notes that Swedish registers are unique in many respects. Combining data from them yields great opportunities for research. There are a number of important questions that can be answered by means of various registers and bodies of data.

Against this background, the Government has commissioned the Swedish Research Council to institute a function with the task of improving access to register data and facilitating their use for re- search purposes.

Statements made in the bill also constitute the background to this committee of inquiry. The committee's terms of reference give pro- minence to the potential existence of legal impediments to register- based research. My task has been to analyse these impediments and to submit legislative and other proposals in order to

•increase the extent to which agencies responsible for registers may disclose data for research purposes with regard paid to the pro- tection of the individual's privacy,

•facilitate joint processing of register data for research purposes and

•make possible the privacy-assured collection of personal data for registers maintained for specific and explicitly stated research pur- poses and for longitudinal studies confined to the scope of such purposes.

With regard to the last point, this task is further specified in the terms of reference. The terms speak of the need for being able to create “new database infrastructures for definite, but relatively general, research purposes”. I have been asked to make proposals for the building of these infrastructures that can be used by researchers in

33

Summary

SOU 2014:45

various research projects and that can be updated and augmented with new data when performing, e.g. longitudinal studies.

I have also had the task of investigating whether the existing secrecy protection regarding data handled within research is ade- quate to protect the individual's privacy in research.

In the work on this inquiry, I have been assisted by Associate Judge Magdalena Petersson, in the capacity of secretary, and by an expert group with representatives from ministries, government agencies and the research community. During the work, I have had numerous contacts with researchers possessing extensive experience of register-based research and with many of the agencies concerned.

What is meant by a register?

In the present context, registers principally refer to structured collec- tions of personal data that have been created at government agencies primarily for purposes other than research. Examples may be given of registers at central government agencies that have been created for administrative or statistical purposes and registers at regions and county councils that have been created for evaluation and quality assurance in health care. Also of great interest in this context are biobanks, which are collections of biological specimens from individuals taken mainly in connection with care and treatment.

However, in the committee's terms of reference, registers also denote certain collections of data that have been primarily created for research purposes. The data in these can be collected from indi- viduals directly or from theagency registers in question. Research registers of this kind are usually created for a specific research pro- ject, but there are also instances of registers being constructed to provide a basis for a number of future research projects that have not initially been defined. In this inquiry, these research registers are called research databases. They are an example of the infra- structure mentioned in the terms of reference.

Why is register data good for research?

It is a great advantage in many contexts for research to have access to extensive bodies of data. Agency registers, which generally contain data on all Swedish residents, or at least all those relevant in some

34

SOU 2014:45

Summary

respect, are invaluable when seeking to describe the state of the popu- lation. The inclusion of all residents means that minorities and un- usual phenomena can also be captured. An example of the latter might be rare diseases.

As a rule, the alternative to using data from registers is the collec- tion of data directly from a sample of individuals. Such sample surveys are sometimes necessary because registers do not contain all the data in which researchers are interested. However, sample surveys may entail certain problems. Often, the research subjects selected are not especially representative. Even when the samples are representative, they often have to be limited, if nothing else, for economic reasons, and a certain loss also has to be accommodated, i.e. that some of those approached do not wish to participate for various reasons. Representativeness, sample size and loss all increase the uncertainty of research results. There are numerous examples of conclusions that have been drawn on the basis of smaller sample studies and proven to be incorrect when tested on the entire population in question.

Researchers are also dependent on extensive bodies of data in contexts other than the study of unusual phenomena. When they want to study how a particular intervention affects different indi- viduals, a sample study might be adequate, but if they want to identify the various causes of a complex social phenomenon, a more exten- sive body of data is required. In longitudinal studies, which follow individuals or study one and the same phenomenon over time, re- gisters are a particular asset. If these involve repeated contact with the individuals, there is a great risk that the sample will dwindle fairly quickly, e.g. because they get tired of participating.

It is often advantageous to be able to combine data that researchers themselves have collected during sample studies with data from registers. If certain data can be retrieved from registers, researchers will be able to limit the number of questions that they need to ask their interviewees. To obtain historical data on an individual parti- cipating in a sample, registers can frequently contain more reliable information than the individual is able to provide from memory. To follow up on the progress of individuals who have participated in a sample study, register data can be used to avoid inconvenien- cing these individuals with repeated questions. Data on all the different individuals involved in various sample surveys can only be found in comprehensive registers.

Data on individuals, also sensitive data, is often necessary for research. This is especially true of medical research, whose aim is to

35

Summary

SOU 2014:45

understand the origin and development of diseases and to find cures. At the same time, all processing of personal data entails certain risks to the personal privacy of individuals. The greatest risk is of someone being exposed to the contempt of others if his or her per- sonal circumstances become known. This is the background to the extensive legislation that is designed to protect the personal privacy of individuals and to manage the weighing of various interests that may be required.

Legal prerequisites for register-based research

Several international organisations, the United Nations (UN), the Council of Europe, the Organisation for Economic Co-operation and Development (OECD) and the European Union (EU), have pro- duced guidelines on how personal data must be handled. Of parti- cular importance to Sweden is the European Convention on Human Rights, incorporated in Swedish law since 1995, and the EU Data Protection Directive, which in Sweden has been implemented through the Personal Data Act (PUL). The EU is currently discussing a new Data Protection Regulation, which, if adopted, will become directly applicable in all Member States and thus replace PUL in Sweden. It is unclear when this might be adopted, and this inquiry therefore proceeds on the basis of existing law.

The Instrument of Government states that everyone shall be protected against significant invasions of their personal privacy, if these occur without their consent and involve the surveillance or systematic monitoring of the individual’s personal circumstances. This provision may be restricted by law, but only to satisfy a pur- pose that is acceptable in a democratic society.

PUL governs the processing of personal data. Such data may be collected only if this is legal and only for specific, explicitly stated and justified purposes. It may not be processed for any purpose that is incompatible with that for which the information is collected. Government agencies usually have legal support for the processing of personal data in special register statutes, which, i.a. specify the purpose and the data that may be processed. Under PUL, the pro- cessing of data for historical, statistical or scientific purposes shall not be regarded as incompatible with the purposes for which the information was collected. The aforementioned means that it is

36

SOU 2014:45

Summary

possible, e.g. in research, to make secondary use of data that has been collected for other purposes.

The processing of data for purposes other than the original requires either the consent of the persons concerned to this pro- cessing or its necessity for, e.g. being able to perform a task of public interest. Research might be an example of such a task.

PUL classifies certain personal data as sensitive and prohibited to process. This applies to data disclosing race or ethnic origin, political opinions, religious or philosophical beliefs, membership of a trade union or pertaining to health and sex life. However, following ethics approval, such data, as well as data pertaining to certain kinds of legal offence and biological specimens, may be processed in re- search. Ethics approval is granted pursuant to the Act concerning the Ethical Review of Research Involving Humans (Ethical Review Act) by an ethical review board consisting of government-appointed representatives of the research community and the general public. The ethical review board shall also assess whether consent should be obtained or whether the data can be processed without consent. Where utilisation of an agency register is extensive, the praxis is not to require consent, as this would presuppose a disproportionate investment of resources.

The collection and other processing of personal data by govern- ment agencies is often justified by their need of that data in being able to fulfil their administrative tasks. This may relate to keeping track of the country's residents, to producing electoral registers for general elections, to assessing how much tax citizens should pay and the grants they are entitled to, and so on. In many cases, the data is used for decisions concerning individuals. In cases where agencies have been instructed to process personal data, the benefits from this processing have been assessed to outweigh the risks to personal privacy.

Another aim involved in the processing of personal data by government agencies is the production of statistics or the evaluation and quality assurance of activities. The production of statistics is often based on data from administrative registers, but in some cases, data is collected specifically for statistical purposes.

Official documents held by Swedish agencies are in principle public, but the right of the general public to view such documents may be restricted if called for out of consideration to, e.g. the indi- vidual's personal and financial circumstances. In such cases, there are often varying degrees of secrecy. The strongest secrecy applies

37

Summary

SOU 2014:45

to data that has been collected for statistical purposes. Here, secrecy is absolute, which means that the data is in principle not to be dis- closed.

However, also for this data, there exist certain provisions that override secrecy. For example, the data may be disclosed for research purposes if this can be achieved without risk of damage or harm to the person – or relatives of the person – whom the data concerns. If secret data is disclosed to another agency, such as a university or a university college, for research purposes, secrecy automatically attaches to that data. Where the disclosure is made to another party, it is usually with special reservations designed to provide equivalent protection.

It is the duty of the agency holding the register to consider whether personal data may be disclosed. Where the disclosure is made for research, it is common for the data to be disclosed in anonymised form. This means that researchers do not know which individuals the data concerns. Anonymised data can be coded or de-identified. Coded data means that the researcher receives data with a designation, e.g. a serial number, that does not carry identity information, while the agency retains a code key that links serial numbers to personal identity numbers and that makes it possible to supplement the data later on. The existence of such a possibility is important, for example in the case of longitudinal studies. When data is de-identified, this possibility does not exist.

Even if data is anonymised, there may be a risk of ‘reverse identi- fication’, i.e. identifying an individual by compiling a series of data about that person. This is prohibited and, as far as is known, has never occurred in research. It is nevertheless a potential risk that might even increase with advances in computer technology. For this reason, it is important to have a clear set of regulations and security arrangements regarding personal data in research environments as well.

In some cases, particularly in medical research, there are instances of the disclosure of identifiable data. Often, the purpose is to allow researchers to contact the individuals in question or to check register data with data from patient records.

38

SOU 2014:45

Summary

Privacy and register-based research

Responsibility for the processing of personal data in research lies with the responsible research bodies; as a rule, universities and uni- versity colleges. This responsibility ultimately belongs to their boards. There have been no instances of data leaking from research environ- ments. An important explanation for this is the rules for secrecy and secure management that are in force. But like researchers, uni- versities and university colleges also have other strong incentives for ensuring compliance; namely, to allow them to obtain data and conduct research. In addition, researchers are not primarily interested in individuals, but in population patterns.

It was in 2011 that the current provision of the Instrument of Government was introduced regarding the individual's protection against significant invasions of personal privacy, where these occur without consent and involve the surveillance or systematic monitoring of the individual’s personal circumstances. The question has been raised of whether the secondary use of personal data in agency re- gisters without consent could be in conflict with this constitutional provision. The effect of collecting data for research could, regard- less of intention, be considered to at least constitute the mapping of personal circumstances.

The Government Bill on a reformed Constitution noted that any assessment of significant invasions must attend, inter alia, to the purpose of processing data. The aim of research is not to map individual persons, but to identify patterns in a population. The processing of data from agency registers has its legal basis in the special register statutes that exist for agency registers and in PUL's provision stating that processing for scientific purposes is not in- compatible with the original purposes for the processing of that data.

The legislator's intention is not likely to have been to prevent this processing of personal data in research. Also in the bill concer- ning the processing of personal data at the Institute for Evaluation of Labour Market and Education Policy (IFAU), the Government noted that the ‘IFAU database’ is not in conflict with the Con- stitution. However, it was the Government's assessment that con- sidering this case involves the retention of a lot of data for a long period, it is plausible that there is a legal basis for the database.

My conclusion is that register-based research, research registers and research databases do not entail significant invasions of the

39

Summary

SOU 2014:45

personal privacy of individuals, but that it is important that there be clear legal support for this activity.

According to the proportionality principle, central government should not impose restrictions or obligations beyond what is neces- sary to achieve the goal of a measure. The goal of register-based research is to gain knowledge about how society works and the measure being considered in this context; that is, the use of e.g., register data that has been collected for other purposes.

There are great advantages to being able to use register data in research. There is knowledge to be gained through such research that is difficult to gain with other methods. The risk of leaks and attendant harm to respondents is small. This is particularly true when data is disclosed in anonymised form, but even otherwise. When the benefits are weighed against the risks, register-based research appears to be a largely proportionate measure.

Experience from the Nordic countries

The prerequisites for register-based research are very similar in the other Nordic countries. They too have to proceed from applicable international regulations. Their counterparts to Sweden's Personal Data Act are, like that law, based on the EU Data Protection Directive and thus very similar. In some respects, they have chosen different solutions to Sweden in order to facilitate register-based research. Examples that may be given are that Denmark has created a well-developed system for remote access to health data and that Norway has established an independent organisation for depositing and archiving research material. Such examples may serve as sources of inspiration when the systems are being developed in Sweden.

Background, present situation and challenges

There are four important sources of data for register-based research: agency registers, health care quality registers, biobanks and research registers of various kinds.

Agency registers have been created primarily for purposes other than research. It is not possible for quality and documentation to always meet the needs of research. Data often needs to be processed

40

SOU 2014:45

Summary

before they can be used in research. There is potential for develop- ment in this respect.

Quality registers in health care are constructed on the basis of interventions, disease episodes or chronic illnesses. They are of varying quality, but a major investment is now being undertaken by the Government and health care providers to increase quality and accessibility. At present, there are around 80 certified quality registers. Certification means that they meet certain quality standards. The current development programme covers the period 2013-16. When this expires, an assessment will have to be made about how to pro- ceed.

Biobanks contain biological specimens. There are about 600 bio- banks in Sweden, of which half are with health care providers and around 50 at universities that conduct medical research. One challenge is to increase the traceability of biobank specimens to make them more available to research.

There are many different kinds of research register. Most have been created for specific research projects. The Swedish National Data Service (SND) is a national resource for the coordination of existing and new research registers in the social sciences, humanities and medicine. SND is currently a joint project between the Swedish Research Council and the University of Gothenburg. One of its aims is for data collected for specific research to be made available and to be reusable in new research projects. However, the Data Inspection Board has determined that SND does not have the right to maintain registers containing personal data, by which is meant data that can in some way be identified (e.g. where a code key is still held). This represents a serious limitation of SND's activities.

The use of sensitive personal data or biological specimens in research requires ethical permission. When data is to be provided in anonymised form, the ethical review boards assess the risks as minor and grant permission as a matter of routine. This assessment is well in line with that made in some appeal matters considered by a court or by the Government. For the disclosure of such data in Denmark and Finland, these countries have chosen to work with general ethical permissions for certain authorised organisations. In Sweden, it should be possible to test a simplified process. Many of those concerned also perceive the forms that researchers have to fill in for ethics applications to be more detailed than necessary. There may be reason to review these forms, e.g. under the Register Data Council recently created by the Swedish Research Council.

41

Summary

SOU 2014:45

Over the past ten years, Statistics Sweden (SCB) has developed a system for remote access to data. It is called MONA, Microdata Online Access. The system is used to make data available, not only from SCB but from most central government agencies responsible for official statistics. Researchers use a terminal in their work environment to connect to MONA and can process data without this leaving SCB. Processed data, in the form of, e.g. tables, may then be sent to researchers by e-mail. An evaluation of the MONA system has recently been initiated by the Swedish Research Council. As yet, there is no corresponding system for health data from the National Board of Health and Welfare, but the possibility of creating one will be examined during the evaluation of MONA.

There appear to be no legal impediments to providing data for research. The problems that may exist are instead found at the administrative level. For SCB, and also other agencies, research is not a priority task. In December 2012, the Statistics Inquiry pro- posed that SCB be instructed to make it a priority to supply data for research. The Ministry of Finance has announced that it intends to propose such an amendment, but no decision has yet been made. It is urgent that this be done as soon as possible. There may also be reason to make corresponding adjustments to the instructions of other agencies.

A register service unit has now been created at the National Board of Health and Welfare. At present, SCB is conducting an internal investigation with a somewhat similar aim in view. It is urgent that SCB also should create a central research service unit.

Much of today's research takes place in international collabora- tion. The disclosure of data across national borders is a challenge. These are complicated issues that have not been possible to analyse within the scope of this inquiry. However, discussions between the central agencies for statistics in the Nordic countries have recently been initiated by the Nordic Council and its research council, NordForsk, and are in progress.

Joint processing of data from various registers is often necessary in research. Even when multiple agencies are involved, this joint processing appears to be functioning relatively well. Where statistical agencies disclose sensitive data among themselves to facilitate joint processing, the legal basis for doing so has been questioned on occasion. It has also been questioned if there is a legal basis with regard paid to secrecy to disclose secret data to another agency to faciliate joint processing of data on behalf of a third agency. My

42

SOU 2014:45

Summary

conclusion is that this processing can be carried out according to existing law.

Joint processing could be facilitated through the development of a ‘federated system’. This involves the retrieval of data from various sources to a trusted location, an institution that all the data owners trust and to which they can provide access to data without concern for its being spread. Connected to a trusted location of this kind, researchers work in the same way as in the current MONA system. Data is retrieved electronically to this trusted location directly from the sources without any transfer of data among the agencies taking place. In its Research and Innovation Bill, the Government was positive towards such a solution and stated that this would be investigated separately. However, no such initiative has been taken. A federated solution requires extensive technological development. Achieving a solution of this kind is likely to require a government initiative, possibly in coopeartion with the University of Umeå which has recently initiated av development program in this field.

SND is an important infrastructure for Swedish research. It is important that SND should become a permanent activity and be given reasonable conditions to fulfil its tasks. Today, researchers deposit copies of their data with SND. It would be advantageous if SND could become an archiving agency where original data could be deposited. As an archiving agency, SND would also become the controller of personal data for the information held, which would tackle the Data Inspection Board's objections to the current order. Norway and Denmark have organised corresponding activities in another way: in Norway as an independent organisation under the Ministry of Education and Research, and in Denmark as part of the State Archives. The Norwegian solution appears to be the most attractive with respect to the independence and development of the activity. The Government should appoint a committee of inquiry to draft a long-term solution for SND.

Assessments and proposals

Ethical Review

To simplify the management of matters where the research aim is to use only anonymised data from agency registers, it is proposed that the boards be able to delegate such matters to the chair.

43

Summary

SOU 2014:45

It is further proposed that researchers should have the right to receive an opinion from the ethical review board on research projects that do not fall under the Ethical Review Act. The opportunity to request such an opinion exists today, but the board itself deter- mines whether or not it wants to give an opinion.

It is also proposed that disclosure from research databases should always require ethical permission, regardless of whether this involves sensitive personal data.

Code key procedure

When data is disclosed in anonymised form, the disclosing agency may retain a code key that makes it possible to supplement the data later on. This possibility has primarily arisen to enable longitudinal studies, where the same individuals or phenomena are followed for a long period, and similar studies.

In longitudinal studies, the disclosing agency and researchers agree on how long the code key is to be retained. Normally, it is retained for three years with the possibility of extension. The dis- closing agency may, however, be reluctant to retain the code key if it feels that the research questions have changed.

A code key might also be created and retained for other research projects, but normally for a considerably shorter period, usually three months. The aim is to be able to supplement disclosed data if some- thing has gone wrong or if the researcher has overlooked something in the application.

There are several reasons for the standard retention of code keys for a longer period. Linking retention to the posing of the same research questions does not seem to be reasonable. It is natural for the research questions in a longitudinal study to be successively modified. During an ongoing project, a researcher might find that data needs supplementing even if this was not anticipated when the data was requested. Besides this, it is important in all research to provide opportunities for replication or for re-analysis of the same, or supplemented, data.

In light of this, it is proposed that code keys be retained at the disclosing agency for twenty years from the date of disclosure with the possibility of prolongation.

44

SOU 2014:45

Summary

A new secrecy provision

To maintain public confidence in research, it is important for the regulatory framework to provide for the protection of the indi- vidual's privacy. Today, there are several different provisions that entail the secrecy of personal data processed in research. However, the regulations are not easy to survey, which can create uncertainty.

The Public Access to Information and Secrecy Act contains a specific provision on statistical secrecy. Data collected for statistical purposes is protected by absolute secrecy. The preparatory works to the legislation invoke three reasons for statistical secrecy. The interest of public access to such data is considered to carry little weight. A compilation of data which is, in itself, innocuous can sometimes be sensitive with respect to privacy. And a respondent must feel confident that his or her information is not revealed. These reasons also speak in favour of a corresponding secrecy protection for data collected for research.

Against this background, a corresponding research secrecy is proposed. This entails that personal data collected for research is always protected by absolute secrecy. As is the case for data collected for statistical purposes, there should be a provision that overrides secrecy for this data collected for research purposes to the effect that it can be used for other research if certain conditions are met.

This secrecy also carries a duty of confidentiality for those handling the data.

It is not only important for personal data to be protected by secrecy, but also for it to be processed in accordance with existing rules and in technically secure systems. All major universities and most university colleges have personal data representatives, whose task is to ensure that the controller of personal data, i.e. the higher education institution, complies with existing rules. In many cases, personal data representatives do not appear to have the resources and status necessary to perform this task satisfactorily. It is the boards of the higher education institutions that have the ultimate responsibility for ensuring that this activity functions satisfactorily. I propose that the Government in its annual instructions to univer- sities and university colleges should request them to give even more inportance to the protection and security of processing personal data, e.g. by strengthening the position of the personal data repre- sentatives, and report taken measures back to the Government.

45

Summary

SOU 2014:45

Research databases

The committee's terms of reference give prominence to the difficulties under current law in creating research databases for definite, but relatively general, research purposes. The Data Inspection Board has taken a hesitant view towards research databases for general pur- poses. It has also questioned the legality of the consent given by individuals when supplying data to such databases. The Ethical Review Act only allows the granting of ethics approval to specific research projects. Disclosing agencies find themselves prevented from disclosing data to databases where the specific research questions are unknown. In other words, there are currently no legal prere- quisites for such research databases.

The Government and the Riksdag have in some cases passed special enactments to make research databases possible. One example is the act governing the ‘IFAU database’ and another the act gover- ning certain registers for research on the significance of heredity and environment for human health (the “LifeGene Act”). Statistics Sweden also has a couple of such databases that are partly used for research.

According to an inventory commissioned by the Swedish Research Council, there are about an additional fifty research databases in Sweden. These may, for example, have been created a long time ago, before the current regulations were in place, have been built around a specific research project or approved through a generous inter- pretation of the Ethical Review Act.

The introduction of a special act on research databases is pro- posed. The idea is that this will state some general rules for research databases, but that each database will be supplemented with a government ordinance to regulate what further details should apply, e.g. purpose and content. The purpose of the research databases is to create a basis for research and to disclose data for research projects. Disclosure will always require ethics approval.

A ‘research database’ is an infrastructure that will be capable of use in future research projects by several different researchers from different higher education institutions and within different disciplines. The projects are not known when the database is created.

It should be possible to create research databases at state universi- ties, university colleges and other public agencies commissioned to do reserach. The Swedish Research Council should be commissioned to propose to the Government which research databases should

46

SOU 2014:45

Summary

exist. The Swedish Research Council should also enter agreements with the host universities regarding funding, organisation and accessi- bility. Funding should be secured for eight years ahead. Research databases are to be evaluated every eight years, preferably by an international evaluation group.

The controller of personal data, i.e. the higher education insti- tution or other agency concernded, shall restrict its employees' electronic access to personal data to what each one needs to carry out tasks relating to the database. Administration of the research database shall be performed by a special and distinct unit.

The data collected in the research database will be retrievable from various sources. Certain data can be collected directly from individuals; other data can be retrieved from existing registers. En- suring that the agencies are able to submit data to the research data- bases requires provisions on the obligation to provide information with respect to these. The special ordinances that will be in force for each research database should govern which agencies will be obligated to disclose data and which data this obligation will cover.

Individuals will be able to submit data and give informed consent to its being processed for the purposes specified in the ordinance for the research database.

The data in a research database will be protected by absolute secrecy, but with certain exceptions. Individuals will have the right to obtain, upon request, an extract of identifiable data registered in the database.

National biobank register

The Swedish biobank register is today a regional system. The register is held at six regional biobank centres operated by regions and county councils. The existence of a national biobank register would facilitate the traceability of biobank specimens in a variety of con- texts. A register of this kind was proposed a few years ago by the state Biobank Inquiry. Its proposals have, for various reasons, not resulted in legislation.

In light of this, the present inquiry proposes that the Swedish biobank register be remodelled into a national system for the re- gistration of biobank specimens, the National biobank register. It is proposed that the National Board of Health and Welfare become the register's controller of personal data.

47

Summary

SOU 2014:45

Processing of data in the register will be allowed in order to facilitate traceability in the care and treatment of the registered per- son, in research, quality assurement and the production of statistics and in the destruction or de-identification of tissue specimens when the registered person has withdrawn his or her consent.

The data that may be registered relates primarily to the donor's identity, the donor's position on the handling of the specimens (consent), the nature of the tissue specimens, the biobank in which they are held and data on diagnosis and analysis results.

Absolute secrecy applies to the data contained in the register, but with provisions that override secrecy for, e.g. research. It will also be possible to disclose data in matters concerning the individual's care and treatment.

Registration is based on consent, i.e., when the biological specimen is stored in a bank, the individual takes a position on how it may be processed. However, the specimens already held in biobanks may be registered without specific consent. It should be emphasised that the persons concerned have consented to the specimens being stored in the biobank and how they may be used. The absence of consent applies only to the actual registration in the national register. The opportunity to withdraw consent always exists and is facilitated by the increased traceability that comes with the central register.

48

1 Författningsförslag

1.1Förslag till

lag om ändring av lagen (2001:99) om den officiella statistiken

Härigenom föreskrivs att 16, 17 och 18 §§ lagen (2001:99) om den officiella statistiken ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

16 §

När en statistikansvarig myn- dighet lämnar ut uppgifter som inte direkt kan hänföras till en enskild, får myndigheten i sam- band med utlämnandet förse upp- gifterna med en beteckning som hos den statistikansvariga myn- digheten kan kopplas till per- sonnummer eller motsvarande för att göra det möjligt att senare komplettera uppgifterna. En så- dan åtgärd får vidtas om den som uppgifterna lämnas ut till skall använda dessa för forskning eller statistik samt har ett särskilt behov av att senare kunna komplettera uppgifterna.

SOU 2014:45

Författningsförslag

18 §

Den som har fått personupp- gifter som avses i 16 § första stycket behöver inte lämna infor- mation till den registrerade om att uppgifter behandlas, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registrerade rätta, blockera eller utplåna upp- gifter.

Denna lag träder i kraft den 1 januari 2016.

51

Författningsförslag

SOU 2014:45

1.2Förslag till

lag om ändring i lagen (2003:460) om etikprövning av forskning som avser människor

Härigenom föreskrivs i fråga om lagen (2003:460) om etikpröv- ning av forskning som avser människor

dels att 3 och 27 §§ ska ha följande lydelse

dels att det i lagen ska införas en ny paragraf, 5 a §, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 §1

Denna lag ska tillämpas på forskning som innefattar behandling

av
1. känsliga	personuppgifter			1. känsliga			personuppgifter
enligt 13 § personuppgiftslagen				enligt	13 § personuppgiftslagen
(1998:204), eller				(1998:204),
2. personuppgifter		om	lag-	2. personuppgifter				om	lag-
överträdelser	som	innefattar		överträdelser		som		innefattar
brott, domar i brottmål, straff-				brott, domar i brottmål, straff-
processuella	tvångsmedel		eller	processuella		tvångsmedel			eller
administrativa frihetsberövanden				administrativa frihetsberövanden
enligt 21 § personuppgiftslagen.				enligt 21 § personuppgiftslagen,
				eller
				3. personuppgifter i en forsk-
				ningsdatabas som förs med stöd
				av lagen (0000:00) om forsknings-
				databaser.
				5 a §
				En	regional		etikprövnings-
				nämnd ska på begäran lämna
				rådgivande yttranden över forsk-
				ning som avser			människor		i de

fall forskningen inte omfattas av denna lag. Nämnden får även lämna rådgivande yttranden över

1 Senaste lydelse SFS 2008:192

52

SOU 2014:45 Författningsförslag

arbeten som utförs inom ramen för högskoleutbildning på grund- nivå eller på avancerad nivå.

27 §

En avdelning är beslutför med ordföranden ensam vid

– förberedande åtgärd,	1. förberedande åtgärd,
– rättelse av skrivfel och lik-	2. rättelse av skrivfel och lik-
nande,	nande,
– annat beslut som inte inne-	3. annat beslut som inte inne-
bär något slutligt avgörande av	bär något slutligt avgörande av
ett ärende, och	ett ärende,
– prövning av fråga om avvis-	4. prövning av fråga om avvis-
ning eller avskrivning av ärende.	ning eller avskrivning av ärende,
	och
	5. prövning av ärende som av-
	ser forskning som endast innefattar
	behandling av personuppgifter som
	hämtats från myndighetsregister
	med uppgifter som primärt samlats
	in för andra ändamål än forskning
	och som inte genom namn, annan
	identitetsbeteckning eller liknan-
	de förhållande är direkt hänförlig
	till den enskilde.
Ordföranden får lämna över	Ordföranden får lämna över
sådana uppgifter som avses i	sådana uppgifter som avses i
första stycket till en föredragande	första stycket 1–4 till en föredra-
vid nämnden.	gande vid nämnden.

En avdelning får lämna över till ordföranden eller någon annan ledamot att efter prövning i sak avgöra ett visst ärende eller ären- den som är sådana att tidigare vägledande avgöranden kan tillämpas eller som annars är av sådant slag att de inte behöver avgöras av avdelningen.

1.Denna lag träder i kraft den 1 januari 2016.

2.Bestämmelsen i 27 § gäller i sin äldre lydelse beträffande ärenden som inkommit till etikprövningsnämnden före ikraft- trädandet.

53

Författningsförslag

SOU 2014:45

1.3Förslag till

lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretess- lagen (2009:400)

dels att 10 kap. 23 och 27 §§, 11 kap. 3 §, 24 kap. 1 och 9 §§ samt 25 kap. 11 och 18 §§ ska ha följande lydelse,

dels att 24 kap. 4 § ska upphöra att gälla,

dels att rubriken till 24 kap. 1 § ska ha följande lydelse,

dels att det i 24 kap. ska införas en ny paragraf, 15 a §, av följande lydelse.

Nuvarande lydelse				Föreslagen lydelse
			10 kap.
			23 §2
Om inte annat följer av 19–				Om inte annat följer av 19–
22 §§ får en uppgift som angår				22 §§ får en uppgift som angår
misstanke om ett begånget brott				misstanke om ett begånget brott
och som är sekretessbelagd en-				och som är sekretessbelagd en-
ligt 24 kap. 2 a eller 8 §, 25 kap.				ligt 24 kap. 1, 2 a eller 8 §,
1 §, 2 § andra		stycket eller 3–		25 kap. 1 §, 2 § andra stycket, 3–
8 §§,	26 kap.	1–6 §§,	29 kap.	8 eller	15 a §§, 26 kap. 1–6 §§,
1 §, 31 kap. 1 § första stycket, 2				29 kap.	1 §, 31 kap. 1 § första
eller	12 §, 33 kap. 2 §,		36 kap.	stycket, 2 eller 12 §, 33 kap. 2 §,
3 § eller 40 kap. 2 eller 5 § lämnas				36 kap.	3 § eller 40 kap. 2 eller
till en åklagarmyndighet, polis-				5 § lämnas till en åklagarmyndig-
myndighet eller någon			annan	het, polismyndighet eller någon
myndighet som har till uppgift				annan myndighet som har till
att ingripa mot brottet endast				uppgift att ingripa mot brottet
om misstanken angår				endast om misstanken angår

1.brott för vilket det inte är föreskrivet lindrigare straff än fängelse

iett år,

2.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

3.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till över-

2 Senaste lydelse SFS 2013:795.

54

SOU 2014:45

Författningsförslag

Den tystnadsplikt som följer av 2 § inskränker rätten att med- dela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställighet av beslut om vård utan samtycke.

25 kap.

11 §5

Sekretessen enligt 1 § hindrar inte att uppgift lämnas

1.från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,

2.från en myndighet som bedriver verksamhet som avses i 1 § i ett landsting till en annan sådan myndighet i samma landsting,

3.till en myndighet som bedriver verksamhet som avses i 1 § eller till en enskild vårdgivare enligt vad som föreskrivs om sam- manhållen journalföring i patientdatalagen (2008:355),

4.till ett nationellt eller regionalt kvalitetsregister enligt patient- datalagen,

5.till register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret,

5. från en myndighet som be-	6. från en myndighet som be-
driver verksamhet som avses i	driver verksamhet som avses i
1 § inom en kommun eller ett	1 § inom en kommun eller ett
landsting till annan sådan myn-	landsting till annan sådan myn-
dighet för forskning eller fram-	dighet för forskning eller fram-
ställning av statistik eller för	ställning av statistik eller för
administration på verksamhets-	administration på verksamhets-
området, om det inte kan antas	området, om det inte kan antas
att den enskilde eller någon när-	att den enskilde eller någon när-
stående till den enskilde lider men	stående till den enskilde lider men
om uppgiften röjs, eller	om uppgiften röjs, eller
6. till en enskild enligt vad som	7. till en enskild enligt vad
föreskrivs i	som föreskrivs i

–lagen (1988:1473) om undersökning beträffande vissa smitt- samma sjukdomar i brottmål,

–lagen (1991:1129) om rättspsykiatrisk vård,

–smittskyddslagen (2004:168),

–6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,

5 Senaste lydelse SFS 2010: 214

57

Författningsförslag

SOU 2014:45

–lagen (2006:496) om blodsäkerhet, eller

–lagen (2008:286) om kvalitets- och säkerhetsnormer vid han- tering av mänskliga vävnader och celler.

15 a §

Sekretess gäller i verksamhet som avser förande av eller uttag ur det register som förs enligt lagen (0000:00) om Nationella bio- banksregistret vad gäller uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden.

Sekretessen hindrar inte att uppgift lämnas ut i den utsträck- ning som framgår av den lag som avses i första stycket, om det står klart att uppgiften kan röjas utan att den enskilde eller någon när-

		stående till denne lider men.
		För uppgift i en allmän hand-
		ling gäller sekretessen i högst sjuttio
		år.
	18 § 6
Den tystnadsplikt som följer		Den tystnadsplikt som följer
av 7, 9, 16, 17 och 17 a §§ in-		av 7, 9, 15 a, 16, 17 och 17 a §§
skränker rätten enligt 1 kap. 1 §		inskränker rätten enligt 1 kap.
tryckfrihetsförordningen	och	1 § tryckfrihetsförordningen och
1 kap. 1 och 2 §§ yttrandefri-		1 kap. 1 och 2 §§ yttrandefri-
hetsgrundlagen att meddela och		hetsgrundlagen att meddela och
offentliggöra uppgifter.		offentliggöra uppgifter.

Den tystnadsplikt som följer av 1–5 §§ inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke.

Den tystnadsplikt som följer av 8 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift i anmälan till Inspektionen för vård och omsorg eller Hälso- och sjukvårdens ansvarsnämnd.

6 Senaste lydelse SFS 2013:626.

58

SOU 2014:45

Författningsförslag

Denna lag träder i kraft den 1 januari 2016.

59

Författningsförslag

SOU 2014:45

1.4Förslag till

lag om ändring i patientsäkerhetslagen (2010:659)

Härigenom föreskrivs att 6 kap. 12 § patientsäkerhetslagen (2010:659) att ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

12 §

Den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården får inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning.

Tystnadsplikt som gäller för en uppgift om en patients hälso- tillstånd gäller även i förhållande till patienten själv, om det med hänsyn till ändamålet med hälso- och sjukvården är av synnerlig vikt att uppgiften inte lämnas till patienten.

Tystnadsplikt enligt första stycket hindrar inte att uppgift lämnas till register som förs med stöd av lagen (0000:00) om Nationella biobanksregistret.

För det allmännas verksamhet gäller offentlighets- och sekretess- lagen (2009:400).

Denna lag träder i kraft den 1 januari 2016.

60

SOU 2014:45

Författningsförslag

1.5Förslag till

lag (20xx:xx) om forskningsdatabaser

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Statliga universitet eller högskolor som omfattas av högskole- lagen (1992:1434) och andra statliga myndigheter som har i uppdrag att bedriva forskning får utföra behandling av personuppgifter för de ändamål som anges i 5 §.

Lagen gäller bara om behandlingen är helt eller delvis automati- serad eller om uppgifterna ingår eller är avsedda att ingå i en struk- turerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Om personuppgifter samlas in direkt från den enskilde får person- uppgifterna behandlas endast om han eller hon har fått den informa- tion som anges i 17 § och lämnat sitt uttryckliga samtycke till be- handlingen. För återkallelse av ett lämnat samtycke tillämpas 12 § personuppgiftslagen (1998:204).

Definitioner

2 § I denna lag avses med

forskningsdatabas: en databas (uppgiftssamling) med uppgifter som samlas in från enskilda individer eller från myndighetsregister och som är en nationell infrastruktur för att tillhandahålla uppgifter till flera olika framtida forskningsprojekt.

forskning: detsamma som enligt lag (2003:460) om etikprövning av forskning som avser människor.

Förhållandet till personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

61

Författningsförslag

SOU 2014:45

Personuppgiftsansvar

4 § De statliga myndigheter som utför behandlingen av person- uppgifter är personuppgiftsansvariga.

Ändamål

5 § Personuppgifter i en forskningsdatabas får behandlas för ända- målen att

1.skapa underlag för olika forskningsprojekt och

2.lämna ut uppgifter till forskningsprojekt, under förutsättning att såväl forskningen som behandlingen av uppgifterna i projektet har godkänts enligt lagen (2003:460) om etikprövning av forskning som avser människor.

6 § Personuppgifter som behandlas för de ändamål som anges i 5 § får också lämnas ut till en utredning av oredlighet i forskning eller för att ett yttrande ska kunna lämnas i samband med en sådan utredning.

Personuppgifter som har registrerats enligt denna lag får alltid lämnas ut till den registrerade själv, dock inte i fråga om personupp- gifter som inte direkt kan hänföras till en person.

7 § Personuppgifter som behandlas för de ändamål som anges i 5 § får, utöver vad som följer av 6§, lämnas ut om det finns en skyldig- het enligt lag att göra det. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Behandlingen av personuppgifter i forskningsdatabasen

8 § Uppgifter som hämtats från andra myndighetsregister för de ändamål som anges i 5 § får behandlas under förutsättning att upp- gifterna inte direkt kan hänföras till en person, om inte regeringen eller den myndighet regeringen bestämmer har meddelat föreskrifter om att behandling av identifierbara uppgifter får ske.

62

SOU 2014:45

Författningsförslag

Kodnyckelförfarande

9 § Om de personuppgifter som lämnas ut från forskningsdata- basen inte direkt kan hänföras till en enskild ska den personupp- giftsansvarige i samband med utlämnandet förse uppgifterna med en beteckning som hos myndigheten kan kopplas till personnummer eller motsvarande identitetsbeteckning. En förteckning över beteck- ning och personnummer (kodnyckel) ska bevaras hos den person- uppgiftsansvarige i tjugo år från utlämnandet av de uppgifter som kodnyckeln avser. Tiden för bevarandet av kodnyckeln kan därefter förlängas av den myndighet som bevarar den eller på ansökan av den forskningshuvudman som använder uppgifter som kodnyckeln är kopplad till.

Om en uppgift rättats, blockerats eller utplånats i forsknings- databasen ska den personuppgiftsansvariga myndigheten vidta de åtgärder som behövs för att uppgifterna ska kunna ändras hos den som uppgifterna lämnats ut till.

Den som har fått personuppgifter enligt första stycket behöver inte lämna information till den registrerade om att uppgifter behand- las, om den som behandlar uppgifterna inte själv har möjlighet att vidta någon åtgärd för att identifiera den registrerade. Inte heller behöver den som behandlar uppgifterna på begäran av den registre- rade rätta, blockera eller utplåna uppgifter.

Innehåll

10 § En forskningsdatabas får innehålla endast de uppgifter som behövs för de ändamål för vilka personuppgifter får behandlas en- ligt 5 §.

Sökbegrepp

11 § Som sökbegrepp i en forskningsdatabas får användas upp- gifter som enligt 10 § får ingå i en forskningsdatabas.

Utlämnande genom direktåtkomst

12 § Utlämnande genom direktåtkomst till personuppgifter i databasen får inte förekomma.

63

Författningsförslag

SOU 2014:45

Förbud mot bakvägsidentifiering

13 § Personuppgifter som inte direkt kan hänföras till en person och som behandlas med stöd av denna lag får inte behandlas i syfte att röja en persons identitet.

Intern elektronisk åtkomst

14 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till personuppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om databasen.

Gallring

15 § Personuppgifter som inte längre behövs för de ändamål som avses i 5 § ska gallras, om inte regeringen eller den myndighet som regeringen bestämmer har meddelat föreskrifter om eller i ett enskilt fall beslutat att uppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Information

16 § Bestämmelserna i 26 § personuppgiftslagen (1998:204) om in- formation efter ansökan gäller inte i fråga om personuppgifter som inte direkt kan hänföras till en person.

17 § Innan en person lämnar sitt samtycke enligt 1 § tredje stycket ska han eller hon ha informerats om

1.att det är frivilligt att lämna uppgifter,

2.för vilka ändamål behandling kan ske enligt 5, 6 och 7 §§ och vilka uppgifter som får registreras enligt 10 §,

3.de sekretess- och säkerhetsbestämmelser som gäller för data- basen,

4.vem som är personuppgiftsansvarig,

5.hur länge uppgifterna kan komma att sparas,

6.rätten till rättelse av uppgifterna,

64

SOU 2014:45

Författningsförslag

7.rätten till information enligt 26 § personuppgiftslagen (1998:204),

8.rätten till skadestånd, och

9.rätten att få uppgifter utplånade.

Rättelse och skadestånd

18 § Bestämmelserna om rättelse och skadestånd i 28 och 48 §§ personuppgiftslagen (1998:204) tillämpas på motsvarande sätt vid behandling av personuppgifter i strid med denna lag.

Ansvar

19 § Den som bryter mot 13 § ska dömas för olovlig identifiering till böter eller fängelse i högst ett år, om gärningen inte är belagd med straff i brottsbalken eller personuppgiftslagen. I ringa fall döms inte till ansvar.

Ytterligare föreskrifter

20 § Regeringen meddelar ytterligare föreskrifter om

1.vilka statliga myndigheter som får föra forskningsdatabaser enligt denna lag och vilka forskningsdatabaser enligt lagen som får föras,

2.begränsning av de i 5 § angivna ändamålen,

3.begränsningar av de uppgifter som en forskningsdatabas enligt 10 § får innehålla,

4.begränsningar av behandling av uppgifter i en forskningsdatabas,

5.begränsningar vid behandling genom utlämnande av uppgifter från en forskningsdatabas

6.uppgiftsskyldighet och

7.begränsningar i rätten till intern elektronisk åtkomst.

Denna lag träder i kraft den 1 januari 2016.

65

Författningsförslag

SOU 2014:45

1.6Förslag till

lag (20xx:xx) om Nationella biobanksregistret

Lagens tillämpningsområde

1 § Socialstyrelsen får utföra helt eller delvis automatiserad behand- ling av uppgifter i Nationella biobanksregistret.

Personuppgiftsansvar

2 § Socialstyrelsen är personuppgiftsansvarig för behandlingen av personuppgifter i Nationella biobanksregistret.

Förhållande till personuppgiftslagen

3 § Personuppgiftslagen (1998:204) gäller vid behandling av person- uppgifter, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av lagen.

Den registrerades inställning till personuppgiftsbehandling

4 § Uppgifter om vävnadsprover i en biobank enligt lag (2002:297) om biobanker i hälso- och sjukvården m.m. som behandlas när denna lag träder i kraft får inte behandlas i Nationella biobanks- registret om den registrerade motsätter sig det.

Uppgifter om vävnadsprover i en biobank som avses i första stycket som börjar behandlas efter ikraftträdandet av denna lag får inte registreras i Nationella biobanksregistret utan att den som uppgifterna avser har samtyckt till att personuppgifter behandlas enligt denna lag.

Underåriga

5 § Personuppgifter som avses i 4 § första stycket och som avser en underårig får inte behandlas i Nationella biobanksregistret om den underåriges vårdnadshavare motsätter sig det.

Personuppgifter som avses i 4 § andra stycket och som avser en underårig får inte registreras i Nationella biobanksregistret utan att

66

SOU 2014:45

Författningsförslag

den underåriges vårdnadshavare fått sådan information som anges i 12 § och därefter lämnat sitt samtycke.

Har den underårige uppnått en sådan ålder och mognad att han eller hon kan ta ställning till frågan gäller vad som sagts den under- årige själv.

Ändamål

6 § Uppgifter i Nationella biobanksregistret får behandlas för att säkerställa spårbarhet för vävnadsprover i sådan verksamhet som avses i 1 kap. 3 § lagen (2002:297) om biobanker i hälso- och sjuk- vården m.m. i syfte att möjliggöra

1.vård och behandling av den registrerade,

2.forskning, kvalitetssäkring och framställning av statistik, och

3.förstörande eller avidentifiering av vävnadsprover när den registrerade har återkallat sitt samtycke.

7 § Uppgifter som behandlas enligt 6 § får också lämnas ut om det finns en skyldighet enligt lag att göra det. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Innehåll

8 § Nationella biobanksregistret får endast innehålla uppgifter som avser

1.provgivares identitet,

2.vilka andra personer som har att ta ställning till bevarande av vävnadsprover,

3.ställningstaganden till bevarande av vävnadsprover,

4.vävnadsprovers identitet, karaktär och hantering,

5.vem som behandlar uppgifter eller vävnadsprover,

6.till vem vävnadsprover utlämnas eller överlåts och

7.uppgift om diagnos och analysresultat.

Sökbegrepp

9 § Som sökbegrepp i Nationella biobanksregistret får användas uppgifter som enligt 8 § får ingå i registret.

67

Författningsförslag

SOU 2014:45

Intern elektronisk åtkomst

10 § Den personuppgiftsansvarige ska begränsa sina anställdas och uppdragstagares elektroniska åtkomst till uppgifter till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter i fråga om registret.

Direktåtkomst

11 § Utlämnande genom direktåtkomst till uppgifter i registret får inte förekomma.

Information

12 § Innan en person lämnar sitt samtycke enligt 4 § andra stycket ska han eller hon ha informerats om

1.att det är frivilligt att lämna uppgifter,

2.för vilka ändamål behandling kan ske enligt 6 och 7 §§ och vilka uppgifter som får registreras enligt 8 §,

3.de sekretess- och säkerhetsbestämmelser som gäller för registret,

4.vem som är personuppgiftsansvarig,

5.hur länge uppgifterna kan komma att sparas,

6.rätten till rättelse av uppgifterna,

7.rätten till information enligt 26 § personuppgiftslagen (1998:204),

8.rätten till skadestånd, och

9.rätten att få uppgifter utplånade.

Utplåning av uppgifter

13 § Den registrerade har rätt att när som helst begära att uppgifter i registret om honom eller henne ska utplånas. En sådan begäran ska göras skriftligen hos den personuppgiftsansvarige och vara under- tecknad av den registrerade själv. Uppgifterna ska utplånas så snart som möjligt.

68

SOU 2014:45

Författningsförslag

Rättelse och skadestånd

14 § Bestämmelserna i 28 och 48 §§ personuppgiftslagen (1998:204) om rättelse och skadestånd tillämpas på motsvarande sätt vid be- handling av personuppgifter i strid med denna lag.

Denna lag träder i kraft den 1 januari 2016.

69

2Direktiv, arbetssätt och disposition

Vetenskapsrådet (VR) initierade i mitten av 00-talet en satsning på registerbaserad forskning. Resurser avsattes för att skapa en bättre infrastruktur och för forskningsprojekt baserade på registerstudier. I de senaste forskningspropositionerna, såväl 2008 som 2012, har regeringen uttalat sig positivt om registerbaserad forskning. Svensk registerforskning har i många avseenden varit framgångsrik, men dess fulla potential har enligt regeringen inte utnyttjats. Åtgärder har därför vidtagits i syfte att stimulera registerbaserad forskning.

Regeringen har uppdragit åt VR att inrätta en särskild funktion för att underlätta registerbaserad forskning. Som ett led i det arbetet har rådet under våren 2014 inrättat ett registerdataråd med representanter från berörda myndigheter och forskningen.

2.1Direktiven

I januari 2013 beslutade regeringen om direktiv för den utredning som härmed presenterar sitt betänkande. I utredningsdirektiven fram- hålls att det kan finnas rättsliga hinder för registerbaserad forskning. Jag har därför fått i uppdrag att analysera dessa och att lämna för- fattningsförslag och andra förslag i syfte att

•registeransvariga myndigheter i större utsträckning ska kunna lämna ut uppgifter för forskningsändamål med hänsyn tagen till skyddet för den enskildes integritet,

•sambearbetning av registeruppgifter för forskningsändamål ska underlättas, och

•göra det möjligt att på ett integritetssäkert sätt samla in person- uppgifter till register som förs för särskilda och uttryckligt an-

71

Direktiv, arbetssätt och disposition

SOU 2014:45

givna forskningsändamål samt till longitudinella studier som håller sig inom ramen för sådana ändamål.

På den sistnämnda punkten specificeras uppdraget ytterligare i direk- tiven. Det talas där om ett behov av att kunna skapa ”nya databas- infrastrukturer för bestämda, men relativt allmänt hållna, forsknings- ändamål”. Jag ska föreslå hur sådana infrastrukturer ska kunna byggas, som kan användas av forskare i olika forskningsprojekt och som kan uppdateras och tillföras nya uppgifter vid till exempel longitudi- nella studier.

Jag har även haft till uppgift att undersöka om det befintliga sek- retesskyddet för uppgifter som hanteras inom forskning är tillräck- ligt för att skydda den enskildes integritet vid forskning. Direktiven återfinns i bilaga 1.

2.2Expertgruppen

Till min hjälp i utredningsarbetet har jag haft en expertgrupp med representanter från myndigheter och forskningen. I gruppen har ingått:

Björn Halleröd, professor i sociologi vid Göteborgs universitet. Har forskat om levnadsförhållanden, fördelning av ekonomiska re- surser och ekonomisk utsatthet. Leder i dag projekt om barns levnads- förhållanden i utvecklingsländer och forskning om äldres levnads- förhållanden, det senare inom ramen för forskningscentret AgeCap (Centrum för åldrande och hälsa vid Göteborgs universitet). Har under en följd av år haft uppdrag för VR och är nu vice ordförande i Rådet för infrastruktur.

Mats G Hansson, professor i biomedicinsk etik och föreståndare för Centrum för forskningsetik & bioetik vid Uppsala universitet. Är sedan 1998 aktiv inom forskning kring etiska aspekter av register- och biobanksbaserad forskning. Leder ett flertal arbetspaket kring sådana frågor i europeiska forskningsprojekt och inom BBMRI.se. (Biobanking and Molecular Resource Infrastructure of Sweden).

Cecilia Magnusson Sjöberg, professor vid juridiska fakulteten vid Stockholms universitet. Har lång erfarenhet av juridiken kring infor- mationsteknologin. Är en internationellt etablerad forskare och har varit verksam vid bland annat King’s College i London. Var tidigare innehavare av Kungliga Vetenskapsakademiens forskartjänst i rätts- vetenskap. Är ämnesföreträdare för rättsinformatik på bland annat

72

SOU 2014:45

Direktiv, arbetssätt och disposition

juristprogrammet på Stockholms universitet och medverkar i flera statliga utredningar.

Eva Nilsson, chefsjurist vid Statistiska centralbyrån (SCB). Har mångårig erfarenhet från olika myndigheter av register- och annan integritetslagstiftning. Har medverkat i ett flertal lagstiftnings- arbeten inom området. Leder SCB:s Dataskyddsråd och representerar Sverige i internationella sammanhang rörande konfidentialitets- och tillgängliggörandefrågor inom det statistiska och vetenskapliga om- rådet.

Peter Nilsson, professor i klinisk kardiovaskulär forskning vid Lunds universitet och överläkare vid Skånes universitetssjukhus i Malmö. Har mångårig erfarenhet av epidemiologisk forskning med fokus på kardiovaskulär sjukdom, fetma och diabetes. Leder det strategiska forskningsområdet Epidemiologi för Hälsa (EpiHealth) vid Lunds och Uppsala universitet. Representerar Lunds universitet i BBMRI.se och har publicerat cirka 300 originalartiklar inom olika forskningsområden.

Karin Nylén, chefsjurist vid Myndigheten för vårdanalys. Har på VR:s uppdrag skrivit rapporten Rättsliga förutsättningar för en databasinfrastruktur för forskning. Var tidigare enhetschef vid Social- styrelsen och dessförinnan rättssakkunnig i frågor om bland annat etikprövning, personuppgiftsbehandling och sekretess. Har även arbetat vid Brottsförebyggande rådet (BRÅ) med den typen av inte- gritetslagstiftning.

Petter Odmark, departementsråd och analyschef vid Social- departementet. Har en bakgrund som enhetschef på Socialdeparte- mentet och mångårig erfarenhet från kommittéväsendet i olika utredningar på socialförsäkringsområdet. Leder som analyschef en verksamhet med fokus på kvantitativa analyser inom välfärds- politiken och med en särskild tyngdpunkt på mikrosimulering.

Petra Otterblad Olausson, avdelningschef vid Socialstyrelsen. Har mångårig erfarenhet av utveckling och förvaltning av nationella register, registerbaserad forskning och statistikfrågor liksom av egen registerbaserad forskning. Är ansvarig för Socialstyrelsens verksam- het som rör service till forskare och utlämnande av data för forsk- ningsändamål. Är ledamot av beslutgruppen för nationella kvalitets- register och VR:s registerdataråd.

Magnus Stenbeck, docent i sociologi vid Stockholms universitet. Har mångårig erfarenhet av forskning inom samhällsvetenskap och epidemiologi. Var tidigare ansvarig för analysverksamheten vid Epidemiologiskt centrum på Socialstyrelsen. Är sedan 2007 ansvarig

73

Direktiv, arbetssätt och disposition

SOU 2014:45

för Vetenskapsrådets infrastruktursatsning gällande registerdata. Var sekreterare i statistikutredningen för delbetänkandet om register- forskning och har författat ett femtiotal publikationer inom sam- hällsvetenskap och epidemiologi.

Victoria Söderqvist, jurist vid SCB. Har tidigare arbetat som jurist vid Datainspektionen och vid Karolinska institutet (KI). Har lång efterenhet av att hantera juridiska frågeställningar som upp- kommer vid utförande av forskning, särskilt när det gäller behand- ling av personuppgifter, sekretessfrågor och upprättande av avtal för forskningsfinansiering.

I expertgruppens arbete har också tre sakkunniga från Utbild- ningsdepartementet medverkat:

Per Eriksson, jur.kand. och kansliråd.

Maria Wästfelt, med.dr. och departementssekreterare på forsk- ningspolitiska enheten.

Ann-Sofie Hollsten-Yamamoto, fil.kand. och departementssekre- terare på forskningspolitiska enheten.

Expertgruppen har sammanträtt fem gånger: vid ett första till- fälle våren 2013 för brain storming kring utredningsuppdraget, där- efter vid tre tillfällen för att diskutera olika underlag som har tagits fram inom och för utredningen. Vid dessa tillfällen har också externa experter medverkat. Till sist har gruppen träffats en gång för att diskutera ett utkast till betänkande.

2.3Kontakter

Jag har under utredningsarbetets gång haft omfattande kontakter med forskare, berörda myndigheter och också företrädare för register- baserad forskning i våra nordiska grannländer.

Jag har gjort dryga tiotalet besök vid olika universitet och träffat ett åttiotal forskare, de flesta med omfattande erfarenheter av re- gisterbaserad forskning. Jag har haft en överläggning med styrelsen för Svensk Nationell Datatjänst (SND). Jag har vidare träffat företrädare för (i bokstavsordning) BBMRI.se, BRÅ, Centrala etik- prövningsnämnden (CEPN), Datainspektionen, Forskningsrådet för hälsa, arbetsliv och välfärd (FORTE), Nationellt Biobanksråd (NBR), regionala etikprövningsnämnder, Riksarkivet, VR, Rätts- medicinalverket, Socialstyrelsen, Statens Medicinsk-Etiska Råd (SMER), SCB, Sveriges Kommuners och Landstings och regeringens gemensamma kvalitetsregisterkansli samt Uppsala biobank.

74

SOU 2014:45

Direktiv, arbetssätt och disposition

I ett par hearings har såväl forskare som myndighetsföreträdare deltagit.

Jag har besökt våra nordiska grannländer och träffat företrädare för Ministeriet for Forskning, Innovation og Videregående Ud- dannelser, Köpenhamns universitet, Statens Serum Institut och Danmarks statistik i Danmark, Folkehelseinstituttet i Norge och Institutet för hälsa och välfärd (Terveyden ja hyvinvoinnin laitos, THL) i Finland.

Jag har därtill deltagit i en ett antal konferenser och seminarier om registerbaserad forskning i regi av Umeå och Lunds universitet, de regionala etikprövningsnämnderna, Nordforsk, Vetenskapsrådet, SCB, Studieförbundet Näringsliv och Samhälle (SNS) och bokför- laget Borea.

På mitt uppdrag har tre underlagsrapporter skrivits för utred- ningen. Professorerna Robert Erikson och Måns Rosén har skrivit rapporten Stora registermaterial bidrar till bättre forskning, Anders Ekholm med flera rapporten Vad är mikrosimulering? och Joanna Stjernschantz Forsberg rapporten Om registerforskning och inte- gritet.

2.4Disposition

Betänkandet är disponerat på följande sätt.

I kapitel 1 redovisas författningsförslagen.

I kapitel 3 ges en kort introduktion om vad som i detta samman- hang ska förstås med register. Jag beskriver också, likaledes kort, varför myndigheter skapar register med personuppgifter.

I kapitel 4 redovisar jag varför uppgifter ur register kan vara värdefulla för forskningen. Vilka alternativa metoder finns att få fram uppgifter och vilka fördelar och nackdalar finns med olika meto- der?

Kapitel 5 är en omfattande genomgång av de rättsliga förutsätt- ningarna för registerbaserad forskning.

I kapitel 6 diskuterar jag förhållandet mellan personlig integritet och registerbaserad forskning. Vilka är riskerna? Vilka värden står på spel? Hur ska man se på intresseavvägningen mellan värdet av registerbaserad forskning och riskerna för den personliga integriteten?

I kapitel 7 redovisas situationen i våra nordiska grannländer. Mycket är ganska likt i dessa, men i några avseenden finns skillna- der av intresse.

75

Direktiv, arbetssätt och disposition

SOU 2014:45

Kapitel 8 är en genomgång av bakgrunden, nuläget och utma- ningarna för registerbaserad forskning. Hur stora är de problem som pekas ut i utredningsdirektiven? Vilka andra problem finns? Och vilka lösningar står till buds?

I kapitel 9 återfinns mina konkreta förslag.

I kapitel 10 behandlas ikraftträdande och övergångsbestämmelser. I kapitel 11 redovisas ekonomiska och andra konsekvenser av

förslagen och i kapitel 12 finns författningskommentarerna.

2.5Terminologifrågor

Låt mig också redan inledningsvis beröra ett par terminologiska frågor. Det finns en lång rad begrepp som återkommer i diskus- sionen om registerbaserad forskning och som inte är helt entydiga. Låt mig därför redovisa hur jag i två avseenden har valt att använda begreppen.

Anonymiserade, kodade och avidentifierade uppgifter

Uppgifter som lämnas ut från ett myndighetsregister till en forskare kan vara identifierbara, till exempel innehålla personnummer, eller vara anonyma för forskaren. För anonyma uppgifter finns olika be- grepp. Jag väljer att använda begreppet anonymiserade uppgifter för alla uppgifter som forskaren inte har möjlighet att koppla till specifika individer. Uppgifterna kan vara helt avidentifierade. Då har ingen möjlighet att göra en sådan koppling. Men de kan också vara kodade. Forskaren får då ut uppgifterna med till exempel icke- identitetsbärande löpnummer och utlämnande myndighet behåller en kodnyckel som gör det möjligt att hos myndigheten koppla löp- numren till personnummer. Då kan utlämnade uppgifter vid behov kompletteras eller uppdateras. Definitionerna sammanfattas i Figur 1.

I den internationella diskussionen används ibland begreppet pseudonymiserade i stället för kodade. I Sverige avses ibland med avidentifierade uppgifter kodade uppgifter. Det kan också förekom- ma att begreppet anonymiserade används i stället för avidentifiera- de, det vill säga för uppgifter som inte kan identifieras. Det finns även de som förespråkar att man alltid ska använda begreppen kodade och avidentifierade och inte ska ha något samlande namn för upp- gifter som för forskaren är anonyma.

76

SOU 2014:45

Direktiv, arbetssätt och disposition

Begreppsförvirringen blir inte mindre av att även anonymiserade, eller till och med avidentifierade, uppgifter ibland kan återidenti- fieras. Det kallas bakvägsidentifiering och bygger på att man har tillräckligt många uppgifter om en individ för att identifiera honom eller henne. Alla personuppgifter som kan knytas till en levande person är personuppgifter i personuppgiftslagens mening. Även avidentifierade uppgifter kan med andra ord vara personuppgifter.

Figur 1

Identifierbara	Anonymiserade
uppgifter	uppgifter
Kodade	Avidentifierade

Forskningsregister och forskningsdatabaser

Det andra området där begreppen blir viktiga gäller register som primärt upprättas för vetenskapliga ändamål. Uppgiftskällorna för sådana register är i princip desamma: antingen får forskaren upp- gifterna direkt från enskilda individer (forskningspersoner) eller så hämtas de från register eller biobanker där uppgifterna/proverna primärt samlats in för andra ändamål än forskning.

Vad som kan skilja dessa vetenskapliga register åt är om de har skapats för ett specifikt forskningsprojekt eller om avsikten är att de ska kunna användas för flera framtida forskningsprojekt som inte är definierade när registret byggs upp. De senare registren utgör med andra ord ett slags infrastruktur för framtida forskning (och de nämns som framgått särskilt i utredningsdirektiven). Register som skapas för specifika forskningsprojekt kallar jag i detta betänkande forskningsregister och register av infrastrukturkaraktär, avsedda för framtida forskning, för forskningsdatabaser. Definitionerna sam- manfattas i Figur 2.

Det ska dock noteras att uppgifter i ett forskningsregister som har skapats för ett specifikt forskningsprojekt kan komma att använ- das i andra forskningsprojekt. I Sverige finns en särskild organisation,

77

Direktiv, arbetssätt och disposition

SOU 2014:45

SND, där forskare kan deponera sina forskningsmaterial för att de ska kunna komma till användning i andra projekt.

Figur 2

Forskningsregister: ett register skapat för ett specifikt forskningsprojekt

Forskningsdatabas: ett register av infrastrukturkaraktär, avsett att ge underlag för flera olika framtida forskningsprojekt

2.6Förkortningar

Till sist något om förekommande förkortningar.

De flesta namn på myndigheter, institutioner och författningar kommer i det följande att skrivas ut, men vissa förkortningar före- kommer, i huvudsak följande:

AKU	Arbetskraftsundersökningarna
BBMRI.se	Biobanking and Molecular Resource Infrastructure
	of Sweden
CEPN	Centrala etikprövningsnämnden
DISC	Data Infrastructure Committee
ERIC	European Research Infrastructure Consortium
EU	Europeiska Unionen
FASIT	Fördelnings Analytiskt Statistiksystem för
	Inkomster och Transfereringar
FN	Förenta Nationerna
IFAU	Institutet för arbetsmarknads- och
	utbildningspolitisk utvärdering
IVO	Inspektionen för vård och omsorg
KI	Karolinska Institutet

78

SOU 2014:45 Direktiv, arbetssätt och disposition

LIS	Luxemburg Income Study
LISA	Longitudinell Integrationsdatabas för
	Sjukförsäkrings- och Arbetsmarknadsstudier
MONA	Microdata Online Access
NBR	Nationellt biobanksråd
NSD	Norsk samfunnsvitenskapelig datatjeneste
OECD	The Organisation for Economic Co-operation
	and Development
OSF	Offentlighets- och sekretessförordningen
OSL	Offentlighets- och sekretesslagen
PKU	Fenylketonuri (Phenylketonuria)
PUL	Personuppgiftslagen
RBC	Regionalt biobankscentrum
RF	Regeringsformen
RMV	Rättsmedicinalverket
SBR	Svenska Biobanksregistret
SESIM	Swedish Simulation Model
SCB	Statistiska centralbyrån
SHARE	Survey of Health, Ageing and Retirement in Europe
SIMSAM	Swedish Initiative for Research on Microdata
	in the Social and Medical Sciences
SKL	Sveriges Kommuner och Landsting
SND	Svensk Nationell Datatjänst
SSB	Statistisk Sentralbyrå (Norge)
SSI	Statens Serum Institut (Danmark)
TF	Tryckfrihetsförordningen
THL	Terrveyden ja hyvinvoinnin laitos, Institutet för
	hälsa och välfärd (Finland)
UGU	Utvärdering Genom Uppföljning

79

3 Vad menas med register?

Vilka faktorer påverkar uppkomsten av sjukdomar? Varför är vissa människor mer förskonade från sjukdomar än andra? Vilken bety- delse har i sammanhanget ärftliga och miljömässiga faktorer? Hur kan sjukdomar förhindras? Eller om de ändå uppkommer, lindras eller i bästa fall botas? På vilket sätt bör insatserna ta hänsyn till individers olika förutsättningar? Hur kan elever med en besvärlig socioekonomisk bakgrund på bästa sätt stödjas i skolan för att få bättre utsikter till ett gott liv? Hur ska välfärdsprogram utformas för att nå bästa möjliga resultat för utsatta individer? Hur påverkar olika skatte- och bidragssystem inkomstfördelningen?

För att kunna svara på sådana frågor måste forskare i allmänhet ha tillgång till uppgifter om individer. De uppgifterna kan de få på i princip två sätt: antingen genom att samla in dem direkt från enskilda eller genom att återanvända uppgifter som redan har samlats in för andra ändamål och som återfinns i myndighetsregister av olika slag.

I det här kapitlet kommer jag att kortfattat beskriva först vad det finns för typer av register med personuppgifter, som har skapats för andra ändamål än forskning, men som kan vara till nytta i forskningen. I kapitel 3 kommer jag att gå närmare in på varför det i många sam- manhang är värdefullt för forskningen att kunna använda uppgifter från sådana register. I slutet av det här kapitlet ska jag också i all kort- het beskriva några olika typer av register som har skapats för forskning.

3.1Vad är registerbaserad forskning?

Ett syfte med den här utredningen är att undersöka hur registerbase- rad forskning ska kunna underlättas i Sverige. Vad som avses med registerbaserad forskning är inte helt entydigt, men i utrednings- direktiven framhålls:

81

Vad menas med register?

SOU 2014:45

I dataskyddssammanhang används ofta begreppen register och data- baser samt andra begrepp som avser avgränsade uppgiftssamlingar. I det följande avses med register även databaser, elektroniska ärende- hanteringssystem eller motsvarande samlingar av uppgifter och med registerbaserad forskning den forskning som innefattar behandling av uppgifter som forskare dels hämtat från uppgiftssamlingar hos myndig- heter, dels själva samlat in genom olika mätningar eller direkt från en- skilda.

Med registerbaserad forskning avses i utredningsdirektiven således såväl forskning som använder uppgiftssamlingar av olika slag hos myndigheter som forskning baserad på uppgifter som forskare själva har samlat in.

3.2Vad är ett register?

Ett register är en förteckning med uppgifter.1 Uppgifterna kan avse individer, men naturligtvis också mycket annat, såsom företag, fordon, läkemedel, fastigheter, trossamfund, genetiskt modifierade mikro- organismer, patent, inteckningar eller fiskevårdsområden. I den här utredningen är fokus på register med personuppgifter, men det hind- rar inte att även andra register kan vara av intresse för andra typer av forskning än den som här behandlas.

Som framgår av citatet från utredningsdirektiven finns det andra begrepp som används i det närmaste synonymt med register, exem- pelvis databas.2 Även begreppet datalager förekommer, i synnerhet när det gäller uppgiftssamlingar för statistikändamål. Personuppgifts- lagen (PUL) talar om strukturerade samlingar av personuppgifter, som är tillgängliga för sökning eller sammanställning enligt sär- skilda kriterier (5 § PUL). Detta kan ses som en beskrivning av vad ett register, eller en databas eller ett datalager, med personuppgifter är. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en person som är i livet (3 § PUL).

1Med register avses ofta en total förteckning av objekt i en viss mängd eller population. På grund av brister i kvalitet och insamlingsmetod kan uppgifter saknas eller vara för många. Detta brukar kallas under- respektive övertäckning i ett register.

2I 1 kap. 1 § yttrandefrihetsgrundlagen definieras databas som en samling av information lagrad för automatiserad behandling. I flera s.k. registerförfattningar används uttrycket data- bas som en benämning på en samling uppgifter som med hjälp av automatiserad behandling används gemensamt. Uttrycket databas har dock ifrågasatts. Skälen är att uttrycket kan leda tanken till ett visst, i tekniskt avseende avgränsat, informationssystem där informationen har strukturerats på ett visst sätt. (En databas för övervakning av och tillsyn över finansmarkna- derna, SOU 2012:79)

82

SOU 2014:45

Vad menas med register?

3.3Varför skapar myndigheter register?

Register kan upprättas av olika huvudmän, såväl offentliga som pri- vata, ha olika syften och innehålla uppgifter av olika slag. De register som i första hand är intressanta för den här utredningen är sådana som finns hos myndigheter.

Det finns en rad skäl för myndigheter att upprätta register med personuppgifter.

•Administration. Myndigheter måste ofta för att kunna fullgöra sina uppgifter hålla reda på vilka som är medborgare i Sverige och vilka som i övrigt har rätt att uppehålla sig i landet. Det är viktigt till exempel för att veta vilka som har rätt att rösta i allmänna val, vilka som är skattskyldiga och hur mycket de ska betala i skatt och vilka som har rätt till ersättningar och förmåner av olika slag.

•Statistik. Vissa myndigheter har till uppgift att sammanställa sta- tistik som speglar tillståndet och utvecklingen inom olika samhälls- områden. Statistik är ett viktigt underlag för allmän information och för politiska bedömningar och beslut. Ofta hämtas de upp- gifter som behövs för statistik ur register som har upprättats för administrativa ändamål, men ibland måste uppgifter samlas in direkt från enskilda.

•Utvärdering, uppföljning och kvalitetssäkring. Myndigheter, såväl statliga som kommunala och landstingskommunala, till- handahåller tjänster av olika slag till invånarna. För att kunna be- döma tjänsternas kvalitet, om de når sitt syfte och hur de kan utvecklas, måste ofta uppgifter från individer användas. Det sker i betydande omfattning inom exempelvis hälso- och sjukvården. Såväl Socialstyrelsen som kommunala huvudmän sammanställer uppgifter för att möjliggöra utvärdering, uppföljning och kva- litetssäkring.

•Effektbedömningar. Regeringen, riksdagen och olika myndig- heter använder ofta registeruppgifter och statistiska metoder för att försöka bedöma effekterna av planerade och gjorda insatser, till exempel med hjälp av så kallade mikrosimuleringsmodeller som förutsätter tillgång till uppgifter om individer.

Uppgifter om individer, och sammanställningar av sådana uppgifter, är således nödvändiga för att kunna styra riket, bedöma samhälls- utvecklingen och kvalitetssäkra verksamheter.

83

Vad menas med register?

SOU 2014:45

Det finns ett omfattande regelverk för behandlingen av person- uppgifter. Vem har rätt att samla in uppgifter? Vilket rättsligt stöd krävs för att få göra det? Hur får personuppgifterna behandlas? Vem har rätt att få tillgång till uppgifterna? I vissa fall kan det vara käns- ligt om personuppgifter kommer i orätta händer, till exempel sådana uppgifter som samlas in inom hälso- och sjukvården. Därför finns särskilda regler för att skydda den personliga integriteten. I kapitel 5 kommer jag att närmare redovisa gällande regelverk.

Medverkan i register kan vara obligatorisk eller frivillig. Att finnas med i register som används för administrativa ändamål är i regel obli- gatoriskt. Det är också obligatoriskt att medverka med vissa upp- gifter som samlas in inom vården i så kallade hälsodataregister. I andra register är medverkan frivillig, till exempel i de nationella och regionala kvalitetsregister, som upprättas inom hälso- och sjukvården, och där uppgifter om olika sjukdomar och behandlingar samlas. Det gäller också så kallade biobanker där vävnadsprover från patienter i sjukvården bevaras. Det är också frivilligt att medverka i vissa under- sökningar där uppgifter samlas in för statistiska ändamål, till exem- pel de arbetskraftsundersökningar (AKU) som görs av Statistiska centralbyrån (SCB).

3.4Hur ser ett register ut?

Ett personregister består typiskt sett av poster och uppgifter om dessa. Ett register med individer kan se ut så här:

	Uppgifter
Poster	A	B	C	D	E
1	a1	b1	c1	d1	e1
2	a2	b2	c2	d2	e2
3	a3	b3	c3	d3	e3
4	a4	b4	c4	d4	e4
5	a5	b5	c5	d5	e5

Posterna (1, 2, 3, 4, 5) är i de register som här diskuteras i första hand individer. Uppgifterna, eller variablerna, (A, B, C, D, E) kan i register med individer avse till exempel kön, ålder, födelseort, bostads- ort, yrke, utbildning, inkomst eller olika hälsokriterier. Den viktiga

84

SOU 2014:45

Vad menas med register?

informationen i registret är i regel de värden a1, b3, c2, d5, e4 etc., som anges i tabellens ”celler”.

När posterna är individer är de vanligen försedda med unika identitetsbeteckningar i form av personnummer för att säkert kunna identifieras. På motsvarande sätt har företag, organisationer och fastigheter specifika identitetsbeteckningar i andra register. Det är tämligen unikt för de nordiska länderna att samma identitetsbeteck- ningar används i snart sagt alla register. Det innebär en rad fördelar. Framförallt underlättar det spårbarheten. Det gör det exempelvis enklare för en enskild att ta reda på vilka uppgifter om honom eller henne som finns i olika register. Det gör det också förhållandevis enkelt att för en och samma individ hämta och sammanställa upp- gifter från olika register.

Värdet i vissa celler är givet en gång för alla, till exempel födelse- ort, medan andra, såsom inkomst och hälsotillstånd, kan variera över tid. Förändringarna kan registreras löpande eller vid återkommande insamlingstillfällen. Det kan vara väsentligt att spara de historiska värdena och att registrera tidpunkterna för förändringar för att till exempel kunna följa utvecklingen över tid.

Värdena kan delvis vara ett resultat av gällande regelsystem och således ändras om reglerna ändras. När till exempel regeringen över- väger att ändra skatte- eller bidragsregler är den intresserad av hur detta påverkar värdena. För att undersöka det används som nämnts ofta så kallade mikrosimuleringsmodeller som kräver en omfattande tillgång till individuppgifter.

3.5Olika typer av myndighetsregister

3.5.1Register för administrativa ändamål

I Sverige torde det finnas över hundra administrativa register med personuppgifter av olika slag. Ett tjugotal av dessa omfattar en stor del av befolkningen, ofta i princip alla eller alla som är berörda. Ett exempel är Skatteverkets folkbokföringsdatabas som i princip om- fattar alla. Skatteverket för också skatteregistret med bland annat taxerade och pensionsgrundande inkomster. Andra exempel på admi- nistrativa register är Rikspolisstyrelsens register över nationella iden- titetskort och pass, Totalförsvarets pliktverks över totalförsvars- pliktiga och Centrala studiestödsnämndens över personer som får studiestöd eller har studieskulder. Äktenskap och partnerskap finns

85

Vad menas med register?

SOU 2014:45

i särskilda register. I socialförsäkringsdatabasen finns flera social- försäkringsregister samlade. Uppgifterna där används för att kunna administrera olika förmåner och bidrag.

Utöver dessa register finns ett stort antal register med andra upp- gifter än sådana som är knutna till personer, till exempel företag, anläggningar och kemikalier. Även dessa regleras i författningar. Totalt finns det drygt 200 registerförfattningar.

3.5.2Uppgiftssamlingar för statistiska ändamål

För forskningen är ofta de uppgifter som utgör underlag för den officiella statistiken av särskilt intresse. Det är SCB och 26 andra sta- tistikansvariga myndigheter som har i uppdrag att producera offici- ell statistik. En stor del, enligt vissa uppskattningar så mycket som 95 procent, av uppgifterna är sådana som ursprungligen har samlats in för administrativa ändamål. Resten samlas in direkt för statistiska ändamål. Regeringen beslutar vilka myndigheter som ska producera officiell statistik och inom vilka ämnesområden. Sammantaget ska det finnas officiell statistik inom 22 ämnesområden som här exem- plifieras med tio områden där statistiken till stor del baseras på per- sonuppgifter.3 Inom parentes ges exempel på statistikområden inom respektive ämnesområde.4

•Arbetsmarknad (sysselsättning, förvärvsarbete och arbetstider, vakanser och arbetslöshet, arbetsmiljö, arbetsskador, löner och arbetskostnader)

•Befolkning (befolkningens storlek och förändringar, befolkning- ens sammansättning)

•Demokrati (allmänna val, partisympatier)

•Hushållens ekonomi (inkomster och inkomstfördelning, hus- hållens utgifter)

•Hälso- och sjukvård (hälsa och sjukdomar, hälso- och sjukvård, dödsorsaker)

•Levnadsförhållanden (jämställdhet, levnadsförhållanden)

3År 2011 fanns det inom de 22 ämnesområdena för officiell statistik 112 statistikområden och 356 statistikprodukter (i regel tabeller), SOU 2012:83.

4www.scb.se.

86

SOU 2014:45

Vad menas med register?

•Rättsväsende (brott, för brott lagförda, kriminalvård, återfall i brott)

•Socialförsäkring med mera (stöd till barnfamiljer, stöd vid sjuk- dom och handikapp, stöd vid ålderdom)

•Socialtjänst med mera (individ- och familjeomsorg, stöd och ser- vice till personer med funktionsnedsättning, äldre- och handi- kappomsorg)

•Utbildning och forskning (skolväsende och barnomsorg, hög- skoleväsende, studiestöd, forskning, befolkning och utbildning)

I Statistikutredningens delbetänkande Registerdata för forskning redovisas ett femtiotal befolkningsbaserade register hos myndigheter, vilka bedömdes vara av särskilt intresse för forskningen.5 Det är huvudsakligen register som är underlag för statistik. Merparten av registren nedan finns hos SCB eller Socialstyrelsen. Vissa av dem hanteras av SCB på uppdrag av andra myndigheter, såsom Skolverket, Universitetskanslersämbetet och Arbetsmiljöverket. Här ges exem- pel på sådana befolkningsbaserade register. Alla är totalregister över befolkningen eller den del av befolkningen som är berörd utom de tre sistnämnda, som är baserade på ett mindre urval av befolk- ningen.

•Registret över totalbefolkningen (RTB)

•Flergenerationsregistret

•Registret över inkomster och taxeringar

•Registret över befolkningens utbildning

•Skolverkets elevregister

•Registret över betyg i årskurs 9

•Registerbaserad arbetsmarknadsstatistik (RAMS)

•Patientregistret

•Cancerregistret

•Läkemedelsregistret

•Registret över socialtjänstinsatser till äldre och personer med funktionsnedsättning

5 SOU 2012:36.

87

Vad menas med register?

SOU 2014:45

•Registret över anmälda och uppklarade brott, misstänkta personer

•Registret med mikrodata för analys av socialförsäkringen (MiDAS)

•Arbetskraftsundersökningarna (AKU)

•Undersökningarna av levnadsförhållanden (ULF/SILC6)

•Valundersökningarna

Ett register som ofta kommer till användning i forskning är det först nämnda i denna uppräkning, det vill säga Registret över totalbefolk- ningen (RTB), som finns hos SCB. Som exempel på vad ett register kan innehålla redovisas här de uppgifter om individer som finns i RTB7.

•Personnummer, kön, ålder

•Namn, Adress

•Folkbokföringsförhållanden (län, kommun, församling och fas- tighet)

•Civilstånd

•Medborgarskap

•Födelseland

•Utländsk/svensk bakgrund

•Födda

•Döda

•Civilståndsändring

•Inrikes flyttning

•Invandring

•Utvandring

•Relationer (maka/make, registrerad partner, biologiska föräldrar, adoptivföräldrar, vårdnadshavare)

•Föräldrarnas födelseland

6Statistics on Income and Living Conditions, SILC, är en undersökning som görs i EU:s medlemsländer av levnadsförhållanden.

7SCB:s data för forskning 2013.

88

SOU 2014:45

Vad menas med register?

•Grund för bosättning (för personer som beviljats uppehållstill- stånd eller fått uppehållsrätt i Sverige)

Det finns också register som skapas med hjälp av uppgifter från flera andra register. Syftet kan vara att kunna följa utvecklingen inom ett visst område. Ett sådant är SCB:s Longitudinell integrationsdatabas för sjukförsäkrings- och arbetsmarknadsstudier (LISA). I databasen finns uppgifter om samtliga personer som är 15 år och äldre som varit folkbokförda i Sverige den 31 december det aktuella året. Genom att databasen uppdateras varje år kan utvecklingen för enskilda indi- vider följas, till exempel perioder med förvärvsarbete, arbetslöshet och sjukdom kopplade till ett stort antal bakgrundsvariabler. Uppgifterna i LISA hämtas ur ett tiotal olika register.8

•Registret över totalbefolkningen (RTB)

•Folk- och bostadsräkningen 1990

•Registerbaserad arbetsmarknadsstatistik (RAMS)

•Registret över befolkningens utbildning

•Registret över personer i utbildning

•Inkomst- och Taxeringsregistret (IoT)

•Arbetsförmedlingens sökanderegister

•Försäkringskassans datalager (STORE-databasen)

•Registret över företagens ekonomi

•Registret med ekonomiska data för kommuner

•Registret med ekonomiska data för landsting

3.5.3Kvalitetsregister och biobanker

Utöver dessa befolkningsbaserade register hos centrala myndigheter finns ett stort antal kvalitetsregister inom hälso- och sjukvården för vilka sjukvårdshuvudmännen – landstingen – är ansvariga. Det finns ett 80-tal certifierade nationella register som samlar data om inter- ventioner, sjukdomsepisoder eller kroniska sjukdomar.9

8SCB:s data för forskning 2013.

9Se vidare avsnitt 8.2.2.

89

Vad menas med register?

SOU 2014:45

Det finns också en annan form av uppgiftssamlingar som jag kom- mer att beröra i utredningen, nämligen biobanker. I biobanker samlas och bevaras vävnadsprover, som framförallt har tagits på patienter i hälso- och sjukvården, men i vissa fall också på individer inom ramen för forskning. Sammantaget finns i Sverige cirka 600 biobanker. En biobank är inte i sig ett register, men det finns i anslutning till bio- bankerna register med uppgifter om provgivarna, var i kroppen pro- verna är tagna, hur de förvaras med mera. I Svenska Biobanksregistret (SBR), som är under uppbyggnad, samlas uppgifter om vilka vävnads- prover på individnivå som finns i de olika biobankerna. SBR är än så länge ett regionalt och lokalt system. Det finns alltså inget centralt register med dessa uppgifter. Däremot finns det hos Inspektionen för vård och omsorg (IVO) ett register över vilka biobanker som finns i Sverige. Det registret innehåller dock inga personuppgifter.10

3.6Register för forskningsändamål

Som jag har konstaterat behöver forskare ofta uppgifter om indi- vider för att kunna belysa och skaffa nya kunskaper om olika sam- hällsfenomen. Uppgifterna kan samlas in av forskarna direkt från individerna (forskningspersonerna) eller hämtas ur uppgiftssam- lingar av det slag som jag här har gett exempel på och som primärt har skapats för andra ändamål än forskning. Uppgifter från sådana källor kan sammanföras i särskilda register för forskningsändamål. När forskare samlar in uppgifter direkt från individer är uppgifts- lämnarens medverkan alltid frivillig.

De flesta register som skapas för forskning är knutna till ett spe- cifikt forskningsprojekt. Uppgifterna samlas in för att besvara vissa konkreta forskningsfrågor och förstörs eller arkiveras när projektet är slutfört. Sådana register kallar jag forskningsregister. Det finns också register som snarare kan betecknas som ett slags infrastruktur. Syftet är de ska kunna tjäna flera olika forskningsprojekt, ibland till och med inom olika vetenskapliga discipliner, som inte är kända när registret börjar byggas upp. Ett par exempel på sådana register av infrastrukturkaraktär som är i bruk är Utvärdering Genom Uppföl- jning (UGU), en av Sveriges äldsta forskningsdatabaser som avser utbildningsområdet och som finns vid Göteborgs universitet, och Svenska Tvillingregistret, som finns vid Karolinska Institutet. Några

10 Se vidare avsnitt 8.2.3.

90

SOU 2014:45

Vad menas med register?

sådana forskningsdatabaser har skapats efter beslut i riksdagen, till exempel IFAU-databasen, som finns hos Institutet för arbetsmark- nads- och utbildningspolitisk utvärdering (IFAU) i Uppsala, och LifeGene, som är på väg att byggas upp vid Karolinska Institutet i samarbete med flera andra universitet. Sådana register av infra- strukturkaraktär, avsedda att betjäna flera framtida forsknings- projekt, har jag valt att kalla forskningsdatabaser.

3.6.1Kodade och avidentifierade uppgifter

När forskare får ut uppgifter från myndighetsregister är dessa i regel anonymiserade. Anonymiserade uppgifter kan vara kodade eller helt avidentifierade. Att uppgifterna är kodade innebär att forskaren får ut dem anonymiserade, det vill säga utan att individerna direkt kan identifieras, men att den utlämnande myndigheten behåller en kod- nyckel som gör det möjligt att senare komplettera uppgifterna. För avidentifierade uppgifter finns inte denna möjlighet. Myndigheter- na kan i undantagsfall också lämna ut uppgifter med identitet till forskare. Det kan handla exempelvis om att forskarna behöver kon- takta de personer uppgifterna avser eller om att uppgifter ur ett register måste kontrolleras mot eller kompletteras med uppgifter från patienters sjukjournaler.

För behandlingen av personuppgifter finns särskilda regler i PUL. Med personuppgifter avses i PUL all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Det innebär att alla kodade uppgifter är personuppgifter, men att även avidentifierade uppgifter kan vara personuppgifter om det är möjligt att med utgångspunkt i dessa återidentifiera individerna. Man måste alltså skilja mellan i vilka former uppgifter kan lämnas ut till forskare och vad som är personuppgifter.

Forskare som använder uppgifter från SCB och flera andra sta- tistikansvariga myndigheter kan använda SCB:s så kallade MONA- system. MONA står för Microdata Online Access. Genom MONA får användaren tillgång till uppgifter som finns i SCB:s och andra myndigheters datalager. Ett forskningsregister, med de uppgifter forskaren behöver, skapas hos SCB. Forskaren kan via Internet göra bearbetningar och har också möjlighet att bevara tabeller för vidare bearbetning, men fysiskt återfinns forskningsregistren hos

91

4Varför är registeruppgifter bra för forskning?

Regeringen har i de senaste forskningspropositionerna framhållit den roll som ett utnyttjande av svenska befolkningsbaserade register kan spela för kunskapsutvecklingen och forskningen. I 2008 års forsk- ningsproposition konstaterades att ”registerhållningen över hela be- folkningen och systemet med personnummer ger unika förutsättning- ar för att studera angelägna, tvärvetenskapliga frågor kring samban- det mellan samhällsförhållanden, ekonomi och hälsa”.1 I den senaste forskningspropositionen 2012 framhölls att ”det finns ett antal vik- tiga frågeställningar som kan besvaras genom forskning om man kan kombinera olika register och datamaterial”.2 Regeringen noterade också att man med hjälp av så kallade mikrosimuleringsmodeller, som använder uppgifter från olika register, kan beräkna effekten av olika insatser och policyförändringar.

I det följande ska jag ge exempel på när stora datamaterial som återfinns i register av olika slag kan vara särskilt värdefulla för forsk- ningen och också på forskning som har utnyttjat sådana material. Dessa exempel är endast tänkta som illustrationer och är inte nöd- vändigtvis de bästa som kan ges.

Det är viktigt framhålla att registerbaserad forskning är en sedan länge etablerad metod i Sverige. Exemplen i detta kapitel är ett uttryck för det. En omfattande forskning har kunnat bedrivas och bedrivs inom ramen för gällande regelverk. Uppgiften för denna utredning är således inte att bryta ny mark utan att undersöka vilka möjligheter som finns att underlätta för registerbaserad forskning och därmed skapa förutsättningar för en expansion av den.

Tack vare registren kan forskare i Sverige, liksom i de övriga nordiska länderna, till måttliga kostnader genomföra många studier som i andra länder kräver utomordentligt stora satsningar, om de

1Prop. 2008/09:50.

2Prop. 2012/13:30.

93

Varför är registeruppgifter bra för forskning?

SOU 2014:45

överhuvudtaget kan genomföras. Myndighetsregistren omfattar som regel hela befolkningen eller i vilket fall den del av befolkningen, som berörs av det förhållande som registret avser. I den mån forskar- na kan utnyttja registren får de därför tillgång till uppgifter om hela (den aktuella) befolkningen.

Stora datamaterial förbättrar ofta möjligheterna att påvisa och finna orsaker till varför ekonomiska och sociala förhållanden varierar i samhället och gör det möjligt att påvisa effekter av olika åtgärder, vare sig de rör hälso- och sjukvård, socialtjänst eller ekonomiska och andra sociala interventioner. Register har även ett stort användnings- område när det gäller att kartlägga hur hälsa och sociala förhållan- den utvecklas över tid och att identifiera problem som kan behöva åtgärdas.

Inledningsvis (avsnitt 4.1–4.2) beskriver jag betydelsen av att deskriptivt kunna visa på förhållanden i samhället för att därefter (4.3–4.4) komma in på förutsättningarna för en mer analytisk och orsaksinriktad forskning.3

4.1Att följa samhällsförändringar över tid och i olika grupper

Av en rad olika skäl är det viktigt att kunna följa hur samhället för- ändras. Vilka positiva och negativa trender finns för hälsa och sociala förhållanden? Finns det grupper som erfar en utveckling som påtag- ligt avviker från den för majoriteten? Varierar hälsa och sociala för- hållanden mellan olika delar av Sverige? Ges vård eller omsorg till alla på lika villkor? Har kvinnor och män samma möjligheter? Hur går det för invandrare och för barn med ensamstående föräldrar?

För att få svar på frågor som dessa behövs stora datamaterial som täcker hela landet och i vilka man kan följa utvecklingen för de en- skilda individerna. För att kunna avgöra om det är 10 personer som har behandlats en gång eller en person som har behandlats 10 gånger behöver man veta vilka som har fått behandlingen. För att kunna avgöra om den del av befolkningen som har lägst inkomster består av samma individer från år till år eller om de successivt byts ut måste man kunna följa individer över tid. För att kunna beskriva förhållan- dena för personer med olika utbildning, födelseland och familjeför-

3 Kapitlet bygger huvudsakligen på en underlagsrapport till utredningen författad av Robert Erikson och Måns Rosén, Stora registermaterial bidrar till bättre forskning.

94

SOU 2014:45

Varför är registeruppgifter bra för forskning?

hållanden måste ofta uppgifter från olika register kopplas samman. I praktiken finns det inget annat sätt att få fram sådana uppgifter.

Utvecklingen av öppna jämförelser i hälso- och sjukvården är ett bra exempel på värdet av att kunna följa upp behandlingar i kliniska register. Genom att följa och mäta skilda kvalitetsindikatorer och jäm- föra resultaten mellan olika landsting, sjukhus och andra vårdinrätt- ningar har man skapat incitament att höja kvaliteten. Flera exempel visar att detta arbetssätt har räddat liv och förbättrat livskvaliteten för många patienter.

Kliniska kvalitetsregister och öppna jämförelser har till exempel bidragit till stora förbättringar i hjärtinfarktvården4 och visat att vissa höftproteser är betydligt hållbarare än andra och därmed minskat behovet av reoperationer.5 Öppna jämförelser har också visat att långtidsöverlevnad och patienttillfredsställelse är bättre för patienter som vårdats på särskilda strokeenheter.6 Antalet infektioner efter kataraktoperationer har halverats och uppvisar nu en internationellt sett särklassigt låg frekvens.7

För att följa utvecklingen över tid och mellan olika grupper i samhället och för att mäta kvaliteten i vården behövs många gånger heltäckande individregister. När det gäller forskning om orsaker till sjukdomar eller effekter av åtgärder är detta ofta nödvändigt.

4.2Beskrivning och förklaring

Innan man försöker finna en förklaring till ett samhällsfenomen måste detta beskrivas. Beskrivningen syftar till att visa att det faktiskt existerar. Innan man försöker förklara varför det finns skillnader mellan män och kvinnor måste man visa i vilka avseenden det fak- tiskt finns sådana skillnader. En god beskrivning är således en första förutsättning för att det ska vara meningsfullt att försöka förklara ett fenomen.

4Stenestrand, U. et al. Hjärtinfarktvården kraftigt förbättrad 1995–2005. Kvalitetsregister, öppna redovisningar och tydliga terapimål har gett resultat. Läkartidningen 2007;104:1580-3.

5Haller, N. P. et al. Uncemented and cemented primary total hip arthroplasty in the Swedish Hip Arthroplasty Register. Acta Ortohop 2010;81:34-41.

6Terent, A. et al. Stroke unit care revisted: who benefits the most? A cohort study of 105 043 patients in Riks-Stroke, the Swedish Stroke Register. J Neurol Neurosurg Psychiatry 2009;80:881- 7; Asplund, K. et al. Patient dissatisfaction with acute stroke care. Stroke 2009;40:3851-6.

7Lundström, M. et al. Endophthalmitis after cataract surgery: a nationwide prospective study evaluating incidence in relation to incision type and location. Ophtomology 2007;114:866-70.

95

Varför är registeruppgifter bra för forskning?

SOU 2014:45

Figur 4.1	Dödsrisk (y-axeln) efter ålder (x-axeln) och utbildningsnivå
	för män 1991–1996
0,16
0,14
0,12							Elementär
0,1							Yrkesutb
0,08							treårig teor
0,06							Kort högsk
0,04							Högskola
0,02							forskarutb
0
26	31	36	41	46	51	56	61

En studie av sambandet mellan utbildning och dödsrisk kan ses som ett illustrativt exempel på värdet av en beskrivning. Den är baserad på uppgifter för hela befolkningen i de aktuella åldersgrupperna.8

Att det föreligger skillnader i dödsrisk mellan grupper med lägre respektive högre utbildning går att visa med hjälp av många data- material, men att visa att sådana skillnader föreligger också mellan dem med olika lång högskoleutbildning kräver ett mycket stort material. Av Figur 4.1 framgår att dödsrisken för män med forskar- examen är påfallande låg liksom att skillnaderna i dödsrisker mellan utbildningsgrupperna systematiskt återkommer i alla åldersgrupper. Detta torde kunna visas bara om materialet innehåller uppgifter för hela befolkningen. I detta fall har uppgifter om utbildning hämtats från folk- och bostadsräkningen 1990 och om dödlighet från döds- orsaksregistret. Även så var, när studien gjordes, antalet kvinnor med forskarutbildning alltför litet för att dödsriskerna bland dem på ett tillförlitligt sätt skulle kunna jämföras med andra gruppers.

En så pass detaljerad jämförelse av dödsrisker mellan olika utbild- ningsgrupper ökar möjligheterna att i nästa steg förstå bakgrunden till skillnaderna. Ett vanligt antagande är att hälsoskillnader samman- hänger med skillnader i ekonomiska resurser. Att män med doktors- examen hade lägre dödsrisk än dem med en lång högskoleutbildning

8 Ojämlikhet i hälsa. Ett nationellt forskningsprogram. Socialvetenskapliga forskningsrådet 1998.

96

SOU 2014:45

Varför är registeruppgifter bra för forskning?

är därför av särskilt intresse, eftersom den senare gruppen faktiskt i genomsnitt hade högre inkomster än doktorerna. Tack vare det stora materialet blir det uppenbart att en förklaring till skillnader i dödsrisk delvis måste sökas i andra förhållanden än ekonomiska resurser.

4.3Observationsstudier och randomiserade experiment

För att få insikt om vilka konsekvenser som en viss åtgärd får har studier där försökspersoner slumpmässigt placeras i experiment- och kontrollgrupper (på engelska RCT = Randomised Controlled Trials) på goda grunder ofta ansetts vara den bästa metoden. Man ger del- tagarna i experimentgruppen en viss behandling och kan därefter, genom att jämföra utfallet med motsvarande för kontrollgruppen, bedöma vad behandlingen hade för effekt. Den slumpmässiga för- delningen av personer till försöks- och kontrollgrupper, randomi- seringen, gör att man på det hela taget kan utesluta att eventuella effekter beror på andra orsaker än den man önskar studera.

Ett antal omständigheter gör dock att sådana randomiserade studier inte alltid är tillräckliga eller möjliga att genomföra. Den viktigaste har att göra med vad som kallas extern validitet. Med det avses med vilken säkerhet man kan generalisera resultaten från undersökningsgruppen till hela befolkningen. I vilken utsträckning det kan ske beror vanligen på hur representativ den studerade grup- pen är för befolkningen.

Några exempel på vad som kan bidra till osäkerhet på denna punkt: Även om de undersökta grupperna sinsemellan är lika har de i många fall en från befolkningen avvikande sammansättning. Del- tagandet i experiment är i regel frivilligt. Det kan till exempel inne- bära att viktiga patientgrupper exkluderas vid klinisk forskning. Ex- periment inom psykologisk forskning genomförs i många fall med universitetsstuderande som försökspersoner eftersom de är lätta att rekrytera till studier. Dessa skiljer sig rimligtvis i många avseenden från den övriga befolkningen. Studier av läkemedelsverkningar görs, åtminstone inledningsvis, i regel på begränsade patientgrupper. Det kan också vara svårt att följa försökspersonerna under tillräckligt lång tid för att se de långsiktiga effekterna.

Till det kommer att kostnaden för en omfattande, randomiserad studie i många fall kan uppgå till så höga belopp att bara ett fåtal

97

Varför är registeruppgifter bra för forskning?

SOU 2014:45

tillförlitliga studier kan genomföras. Det finns således starka skäl att komplettera randomiserade studier, och i många fall att helt ersätta dem, med studier som utgår från uppgifter i myndighets- register, vilka primärt har insamlats för andra ändamål än forskning.

Ett särskilt problem vid alla undersökningar baserade på urval är att alla tillfrågade inte deltar. Detta bortfallsproblem i samband med exempelvis intervju- och enkätundersökningar tenderar att växa. Även i vissa centrala undersökningar som görs av Statistiska Central- byrån (SCB) är bortfallet förhållandevis stort vilket ökar osäker- heten i utfallet (i Arbetskraftsundersökningarna, AKU, ligger svars- frekvensen kring 70 procent, i Undersökningarna om levnadsför- hållanden, ULF, under 60 procent). En fördel med många register är att de är fullständiga vilket innebär att alla aktuella individer finns med. Det talar för att använda registeruppgifter när sådana finns att tillgå. Registeruppgifter kan emellertid också användas för att analysera bortfallet i urvalsundersökningar. Genom att jämföra ett antal uppgifter, till exempel kön, ålder, typ av bostadsort, utbildning, födelseland, civilstånd och sysselsättning, mellan dem som har svarat och dem som inte har gjort det finns en möjlighet att bedöma hur representativ svarandegruppen är.9

I många fall uppfattas det dessutom som otillräckligt att känna till vilka effekter en viss åtgärd får. En djupgående förståelse för ett samhällsfenomen kräver ofta en uppfattning om vad som kan tänkas påverka detta och det rör sig då oftast om flera faktorer. Snarare än att söka efter effekter av en åtgärd är man ute efter att förstå vilka olika faktorer som ligger bakom ett visst samhällsfenomen.

Ett exempel på hur man kan söka orsaker bakom ett fenomen är ett pågående forskningsprojekt på Karolinska Institutet (KI). Forskar- na är på jakt efter olika faktorer som kan påverka uppkomsten och utbredningen av psykiska sjukdomar. De konstaterar att orsakerna till psykisk ohälsa/psykiatrisk sjuklighet är multifaktoriell med varie- rande inslag av genetisk sårbarhet och påverkan av omgivnings- faktorer under såväl fostertiden som senare i livet. Exempel på om- givningsfaktorer som har visat sig vara associerade med ökad risk för psykiatrisk sjukdom är svår stress och infektioner under gravi- diteten, tillväxthämning under fostertiden, för tidig födelse, infek- tioner i hjärnan under uppväxten, uppväxt i socialt utsatt miljö, cannabisbruk, hög pappaålder och immigration. Det är viktigt att

9 Se vidare avsnitt 8.3.2.

98

SOU 2014:45

Varför är registeruppgifter bra för forskning?

förstå mer om mekanismerna bakom dessa iakttagelser för att på sikt kunna lägga grunden för förebyggande program.10

Utbildning anses vara en viktig mekanism genom vilken ung- domar från mindre gynnade klasser kan förbättra sin sociala position. Trots stora förändringar av utbildningsfördelningen har dock den sociala rörligheten endast ökat obetydligt. Det gör det angeläget att söka efter andra och uppenbarligen mer grundläggande orsaker till social rörlighet. För att kunna göra det krävs observationer av material på befolkningsnivå.

Observationsstudier kan också vara den enda framkomliga vägen till fördjupad kunskap när det inte är möjligt eller etiskt acceptabelt att bestämma vilka som ska utsättas för en viss behandling och vilka som inte ska få den. Ofta uppfattas det som stötande att slumpmässigt lotta personer till försöks- och kontrollgrupper. Samtidigt pågår i samhället hela tiden olika ”behandlingar” vars effekter kan studeras. Behandlingarna har inte lottats fram slumpmässigt, men med tillräck- ligt stort underlag finns metoder att eliminera effekterna av andra omständigheter som kan påverka utfallet.

Heltäckande register utgör således viktiga baser för observations- studier, men de kan också vara bas för randomiserade experiment.11 Om man till exempel inte vet vilken av två behandlingar som är bäst utan bedömer dem som likvärdiga, kan läkaren med patientens samtycke slumpmässigt avgöra vilka som ska få behandling A respek- tive B. En sådan studie har gjorts i Sverige med hjälp av kvalitets- registret för angiografi och dödsorsaksregistret. När patienter kom in för angiografi och registrerades i angiografiregistret slumpades de till att endast få ballongvidgning (PCI = Percutan Coronar Interven- tion) eller att få ballongvidgning som föregicks av blodproppsutdrag- ning vid akuta hjärtbesvär. Man fann att blodproppsutdragning inte reducerar risken att dö inom 30 dagar jämfört med endast ballong- vidgning. Studien publicerades i den högt rankade tidskriften New England Journal of Medicine och följdes av en kommentar om att denna metod innebar ett paradigmskifte i forskningen.12 Studien kunde med detta upplägg genomföras betydligt snabbare och för en bråkdel av vad den annars skulle ha kostat.

10Institutionen för folkhälsovetenskap, Karolinska institutet, Ansökan om etikprövning samt intervju med Christina Dalman 2013-12-19.

11Fröbert O. et al. Thrombus aspiration during ST-segment elevation myocardial infarction. NEJM 2013;DOI:10.1056/NEJMoa308789.

12Lauer M. S., D'Agostino R. B. The randomized registry trial – The next disruptive techno- logy in clinical research? NEJM 2013;DOI:10.1056/NEJMp1310102.

99

Varför är registeruppgifter bra för forskning?

SOU 2014:45

4.4När behöver man stora och kanske heltäckande datamaterial?

Ett enda myndighetsregister är sällan av större intresse i forsknings- sammanhang. Det är möjligheten att koppla individuppgifter i olika register, och kanske än mer möjligheten att koppla uppgifter som forskare själva samlat in till uppgifter i myndighetsregister, som ger dessa register deras stora potential. Jag ska här redovisa ett antal för- hållanden som gör att tillgång till stora registermaterial är ett önsk- värt, och i många fall nödvändigt, villkor för tillförlitliga forsk- ningsresultat. Det illustreras också med ett antal exempel på sådana forskningsresultat.

4.4.1Ovanliga företeelser

Det mest uppenbara fallet då mycket stora datamaterial krävs för tillförlitliga resultat är när det endast är få personer som karakteri- seras av det tillstånd man vill studera.

I ett forskningsprojekt inom ramen för en statlig utredning från början av 1990-talet kunde barn till invandrare delas upp i ett relativt stort antal grupper efter faderns ursprungsland. Som framgår av Tabell 4.1 visade det sig att det fanns stora skillnader i utbildning be- roende på från vilket land, eller i några fall vilken världsdel, fadern hade kommit. Barn till fäder från Polen och Baltikum gick i cirka dubbelt så stor utsträckning som barn till infödda genom universitet, medan barn till fäder från Danmark, Finland och Jugoslavien gjorde det i endast hälften så stor utsträckning. Barn till invandrare från Grekland och Turkiet avslutade i många fall sin utbildning direkt efter grundskolan, men tog samtidigt, när hänsyn hade tagits till för- äldrarnas sociala position, i stor utsträckning universitetsexamen.

En sådan beskrivning ger förutsättningar för en fördjupad analys. De låga andelarna med universitetsutbildning bland barn till in- vandrare från vissa länder förefaller inte bero på invandrarbakgrun- den i sig, utan kan kanske snarare förklaras av dessa gruppers socio- ekonomiska position.

Exemplet visar att även med fullständiga material kan grupperna ibland bli små. De fanns så få individer från länderna i Latinamerika, Afrika och Asien att dessa fick klumpas ihop på världsdelsnivå i stället för landsnivå.13

13 SOU 1993:85.

100

SOU 2014:45

Varför är registeruppgifter bra för forskning?

Tabell 4.1 Utbildning över den obligatoriska, tre/fyraårig teoretisk gymnasie- utbildning och universitetsutbildning bland barn till invandrare från olika länder i förhållande till motsvarande utbildning bland barn till infödda svenskar (referens = 1.0). Relativa chanser (A) utan kontroll för bakgrundsfaktorer och (B) med kontroll för familjesammansättning, kön, födelsekohort, föräldrarnas klass- tillhörighet och utbildning. Endast personer födda i Sverige åren 1953–70 (för universitet 1953–64).

	Mer än obl. utbildning		3–4 årigt gymnasium		Universitet
Faders
ursprungsland	A	B	A	B	A	B
Polen	1.09	1.07	1.81	1.53	2.27	1.91
Baltikum	1.31	1.18	1.94	1.53	2.03	1.49
Latinamerika	0.85	0.74	1.30	1.19	1.91	1.49
Grekland	0.62	0.78	0.88	1.71	0.75	1.47
Turkiet	0.55	0.64	0.59	1.16	0.60	1.26
Öv. Östeuropa	1.16	1.05	1.57	1.28	1.49	1.16
Afrika	1.07	0.70	1.67	1.12	1.96	1.13
Öv. Sydeuropa	0.97	0.89	1.27	1.40	0.90	1.06
Sverige	1.00	1.00	1.00	1.00	1.00	1.00
Västeuropa
(inkl USA)	1.24	0.91	1.70	1.15	1.51	0.99
Norge	0.90	0.84	1.12	0.96	1.18	0.98
Asien +
Oceanien	1.17	0.75	1.73	1.11	2.01	0.94
Jugoslavien	1.06	1.12	1.08	1.64	0.59	0.88
Finland	0.82	0.95	0.69	1.02	0.53	0.87
Danmark +
Island	0.61	0.64	0.60	0.69	0.62	0.71

Not: Länderna är rangordnade efter universitetsparametern från modell B med kontroll för familjesammansättning, kön, födelsekohort, föräldrarnas klasstillhörighet och utbildning.

Detta exempel visar hur det tack vare stora datamaterial är möjligt att studera utfall även för små grupper. Ett annat visar på möjligheten att undersöka sällsynta utfall. Robert Erikson och Jenny Torssander kunde visa att skillnaderna mellan samhällsklasserna bland kvinnor var obefintliga för cancer i huden, äggstockarna och brösten medan det förelåg betydande skillnader i fråga om cancer i munhålan och svalget. I de sistnämnda fallen var risken för icke yrkesutbildade arbetare mer än en och en halv gång så hög som för högre tjänste-

101

Varför är registeruppgifter bra för forskning?

SOU 2014:45

män.14 Att hela befolkningen utgjorde underlaget i studien gav möj- lighet att skilja mellan cancer i olika organ (och även andra döds- orsaker) och att visa i vilka avseenden skillnaderna mellan samhälls- klasserna var påtagliga. Därmed förbättrades också möjligheterna att förstå bakgrunden till dessa skillnader.

En dansk studie, som omfattade alla barn födda i Danmark under åren 1991–1998, gav möjlighet att pröva den på basis av några mindre studier framförda hypotesen att vaccination mot mässling, påssjuka och röda hund ökade risken för autism. Genom att sammanföra information i olika register kunde de danska forskarna identifiera 316 barn med diagnosen autism och visa att det inte fanns något samband mellan vaccinationen och denna diagnos. 15 Resultatet är utomordentligt viktigt eftersom man utan denna kunskap kunde ha avstått från att vaccinera barnen, med åtföljande risker. I praktiken hade det inte varit omöjligt att få fram denna kunskap utan en hel- täckande studie. En liknande studie men byggd på ett urval skulle inte kunna få tillräcklig statistisk kraft vid ett så sällsynt utfall som autism.

Ytterligare ett exempel är när man inom den medicinska forsk- ningen önskar studera samsjuklighet. Fang Fang med flera under- sökte risken för självmord och död i hjärtkärlsjukdom direkt efter en cancerdiagnos. Studien använde de svenska hälso- och sjukvårds- registren och inkluderade alla personer som drabbades av cancer mellan 1991 och 2006. Det var bara en liten andel av cancerpatienter- na som begick självmord direkt efter att de hade fått diagnosen, men jämfört med personer utan cancer hade de en klart förhöjd risk för såväl självmord som att dö i hjärtkärlsjukdom. En viktig slutsats var att nydiagnostiserade cancerpatienter behöver ett förbättrat om- händertagande.16

14Erikson, R., Torssander, J. Social class and cause of death. The European Journal of Public Health, 2008 Vol. 18: 473–478.

15Madsen, M. et al. A population-based study of measles, mumps, and rubella vaccination and autism N Engl J Med 2002; 347:1477–1482.

16Fang Fang et al. Suicide and Cardiovascular Death after Cancer Diagnosis. New Engl J Med 2012:366; 14.

102

SOU 2014:45

Varför är registeruppgifter bra för forskning?

4.4.2Kopplingar mellan urvalsundersökningar och registermaterial

Alla uppgifter som forskare är intresserade av finns inte i myndig- hetsregister. Ofta måste de därför själva samla in uppgifter direkt från individer, till exempel om livsstil eller familjehistoria för sjuk- dom. Men de insamlade uppgifterna kan i många fall kompletteras med uppgifter ur myndighetsregister. Det kan innebära en rad för- delar.

Forskaren kan begränsa antalet frågor till forskningspersonerna genom att hämta vissa uppgifter ur register. När det gäller uppgifter om förhållanden långt tillbaka i tiden är register ofta mer pålitliga än individernas minnesbild. Man kan också genom myndighetsregister följa utvecklingen framåt i tiden efter det att uppgifterna samlats in och på det sättet få en uppfattning om hur det går för individerna. Användningen av registeruppgifter är vid sådana longitudinella ansatser av särskilt värde (se vidare avsnitt 4.4.7).

För att kunna komplettera de uppgifter som kommer fram från olika urval av individer med uppgifter från befolkningsregister krävs att registren är fullständiga och att individerna från urvalet kan iden- tifieras. Det är dessutom en fördel om förändringar i registret sparas så att man kan få kännedom om exempelvis när ett sjukfall har in- träffat.

Genom personnummersystemet är det också lättare att via re- gister följa individer som flyttar runt i landet. I en studie som görs i samarbete mellan SCB och pedagogiska institutionen vid Göteborgs universitet, Utvärdering Genom Uppföljning (UGU), görs ett urval av elever, vanligen i årskurs 3. Eleverna har i ett par av dessa urval hämtats från ett 30-tal kommuner. Sex år senare, när en uppföljning skulle göras, fanns samma elever spridda i cirka 200 kommuner. Utan personnummer och register hade det varit svårt att spåra dem.17

Bengt Haglund med flera kopplade samman information om att röka och använda snus från SCB:s ULF-material (en urvalsunder- sökning som görs av SCB) med uppgifter om sjuklighet och död i kranskärlsjukdom och stroke från slutenvårdsregistret och döds- orsaksregistret (fullständiga register som förs av Socialstyrelsen).18 Medan överrisken för sjukdom och död som väntat var påtaglig för

17Berggren, I. SCB:s elevpaneler för longitudinella studier, s. 58, i Svensson, A. (red) Ut- värdering Genom Uppföljning, Göteborgs universitet 2011

18Haglund, B., Eliasson, M., Stenbeck, M., Rosén, M. Is moist snuff use associated with excess risk of IHD and stroke? A longitudinal follow-up of snuff users in Sweden. Scand J Public Health 2007 Sep 6:1–5.

103

Varför är registeruppgifter bra för forskning?

SOU 2014:45

dem som rökte, kunde forskarna inte finna några överrisker bland snusare. Även om man från studien inte kan dra slutsatsen att ingen sådan överrisk finns, måste den vara mycket liten. Studien visar att om en rökare förmår att sluta röka genom att övergå till att snusa så sänker hon eller han risken för infarkt i hjärta och hjärna.

Figur 4.2 Genomsnittsbetyg (x-axeln) och övergångssannolikheter till teoretisk gymnasieutbildning (P = y-axeln) för varje betygsnivå i olika sociala klasser. Flickor födda 1972.

1,0
0,9
0,8
0,7
0,6
0,5
0,4
0,3
0,2
0,1
0,0
1,0 1,3 1,5 1,8 2,0 2,3 2,5 2,8 3,0 3,3 3,5 3,8 4,0 4,3 4,5 4,8 5,0
Betyg högre tjm	Betyg arbetare
P (högre tjm)	P (arbetare)

Robert Erikson och Frida Rudolphi kopplade uppgifter om elever från UGU-registret med registerdata om gymnasieutbildning och för- äldrarnas yrken (fullständiga register som förs av SCB).19 De kunde därigenom visa att i vilken utsträckning eleverna efter avslutad grund- skola fortsatte med teoretiska gymnasiestudier berodde på dels hur väl de hade presterat i skolan, dels i vilken utsträckning de vid ett givet betyg valde en teoretisk linje. De klockformade kurvorna i Figur 4.2 visar betygsfördelningarna för barn till arbetare respek- tive högre tjänstemän, medan de S-formade visar sannolikheten att vid ett visst genomsnittsbetyg övergå till en teoretisk gymnasielinje. Som framgår fick barn från högre tjänstemannafamiljer i genom-

19 Erikson, R., Rudolphi, F. Change in social selection to upper secondary school – primary and secondary effects in Sweden. Eur Sociolo Rev, 2010, 26: 291–305.

104

SOU 2014:45

Varför är registeruppgifter bra för forskning?

snitt bättre betyg i grundskolan än barn från arbetarklassen, men de S-formade kurvorna visar också att vid samma betyg fortsatte tjänste- mannabarnen i större utsträckning än arbetarbarnen på en teoretisk gymnasielinje. Det är särskilt tydligt vid genomsnittliga betyg (2,8– 3,8). I den mån man önskar minska snedrekryteringen måste man således ta hänsyn både till prestationsskillnader och till skillnader i hur barn med olika social bakgrund väljer fortsatt utbildning.

4.4.3Biobanksrelaterad medicinsk forskning

Den traditionella svenska registerforskningen kan belysa ohälsans utbredning och utveckling över tid, men också dess sociala strati- fiering, dess beroende av individegenskaper, hur patienter svarar på behandling och samband som kan finnas mellan sjukdomar.20 Men denna forskning behöver i många sammanhang kompletteras med uppgifter från analys av biologiska prover.

Möjligheterna att koppla ihop genetiskt material med uppgifter från register är, och kommer i framtiden än mer att vara, viktiga för att förstå hur arv och miljö interagerar. Sådana kopplingar kan till exempel göras för att hitta undergrupper som svarar, respektive inte svarar, på en viss behandling. Exempelvis visades med hjälp av Svensk Reumatologis kvalitetsregister att rökare inte svarade lika bra på be- handling med biologiska läkemedel (TNF-hämmare; TNF = Tumor Necrosis Factor) mot reumatism som icke-rökare, vilket har resulterat i att rökstoppsprogram rekommenderas innan man startar behand- ling.21

Medicinens utveckling har under senare decennier varit språng- artad och ny kunskap har vunnits som gör det möjligt att utveckla diagnostik, behandling och uppföljning av viktiga sjukdomsgrupper. Detta har bidragit till en bättre överlevnad och högre livskvalitet för stora patientgrupper. Men fortfarande återstår en rad vetenskapliga och kliniska problem att lösa. Man känner fortfarande inte meka- nismerna i detalj bakom viktiga folksjukdomar.

Dagens framgångsrika medicinska behandling kan visserligen ofta behandla dessa sjukdomars yttringar, symptom och skadeverkningar, men det blir allt viktigare att också skapa en grundläggande förstå- else för de biologiska mekanismerna bakom utvecklingen av till exem-

20Rosén, M. Översyn av de nationella kvalitetsregistren. Guldgruvan i hälso- och sjukvården. Förslag till gemensam satsning 2011–2015. Stockholm 2010.

21Klareskog L. et al. Smoking as a trigger for inflammatory rheumatic diseases. Curr Opin Rheumatolol 2007;19:49–54.

105

Varför är registeruppgifter bra för forskning?

SOU 2014:45

pel hjärtkärlsjukdomar. Även om risken att insjukna och dö i sådana sjukdomar har minskat i relation till åldern utgör de alltjämt den största kategorin av dödsorsaker i befolkningen. Problematiken är likartad när det gäller andra viktiga diagnosgrupper, såsom demens- sjukdomar, cancersjukdomar och åldersdiabetes.

Den viktigaste metoden för att öka förståelsen om dessa meka- nismer är genom så kallade befolkningsstudier, det vill säga genom att följa stora befolkningsgrupper över tid. Vid en inledande under- sökning samlar man information om kroppsfunktioner, molekylär- biologiska karakteristika (blodprov), livsstil, social bakgrund, tidigare sjukdomar och familjehistoria. Sedan följer man individerna i olika register för sjukdomar och beräknar riskerna för sjukdomsutveck- ling i relation till de olika bakgrundsfaktorerna. Genom genetiska analysmetoder kan man fastställa hur kausala samband kan se ut, från genetisk markör, via epigenetisk påverkan, till olika mätbara bio- markörer och till sist manifesta sjukdomsyttringar.22 Om en sådan kausalitet kan identifieras avslöjas viktiga mekanismer i sjukdoms- processen, vilka sedan kan bli föremål för åtgärder. Med en grund- läggande förståelse för biologiska sjukdomsprocesser, vilka i sig kan vara en konsekvens också av livsstil och psykosocial påverkan, kan man utveckla nya, mer effektiva, läkemedel och behandlingar, som kan sättas in tidigt, till exempel riktade vacciner.

Motsvarande studier av patienter som redan har sjukdomen ger inte ett tillräckligt underlag för att finna sjukdomsorsaker. Biologin hos dessa har ofta redan förändrats av sjukdomen och även av den behandling de har fått.

Ytterligare ett område som kommer att få växande betydelse och där samspelet mellan register och biobanker spelar en viktig roll är epigenetiken. Den utgår ifrån att icke-genetiska faktorer, såsom miljö, näringstillförsel, psykosocial stress och omvårdnaden under småbarns- tiden, kan påverka de uttryck (aktiviteter) som generna får. Generna är med andra ord inte en på förhand given storhet som samspelar med miljön utan deras uttryck kan också påverkas av miljön. Med den utgångspunkten har man till exempel studerat de långsiktiga effekterna på barn till kvinnor som har utsatts för svält under gravi- diteten.23 En sådan effekt är ökad risk för schizofreni. Även allergier kan delvis vara en effekt av epigenetiska mekanismer. Epigenetiken

22Burgess, S., Butterworth, A., Malarstig, A., Thompson, S.G. Use of Mendelian randomisa- tion to assess potential benefit of clinical intervention. BMJ. 2012;345:e7325.

23Hult, M., Tornhammar, P., Ueda, P., Cima, C., Bonamy, A.K., Ozumba, B., Norman, M. Hypertension, diabetes and overweight: looming legacies of the Biafran famine. PloS One. 2010; 5:e13582. doi: 10.1371/journal.pone.0013582.

106

SOU 2014:45

Varför är registeruppgifter bra för forskning?

öppnar vägar för att förstå och förbättra den sociala miljön men också för att utveckla farmakologiska behandlingar.24

4.4.4Att följa upp konsekvenserna av tidigare händelser

Att följa upp konsekvenserna av en genomförd åtgärd är viktigt och borde göras oftare än vad som i dag är fallet. Vad en åtgärd får för konsekvenser kan dock i många fall inte avgöras förrän efter lång tid, ibland decennier. Om emellertid effekten för personer, som i någon form tidigare har utsatts för åtgärden, eller liknande åtgär- der, kan bedömas med hjälp av register, kan det vara möjligt att få en indikation på vilka konsekvenserna kan bli av den aktuella åtgär- den utan att man behöver vänta flera år. För att kunna göra det är det väsentligt att de register där tidigare åtgärder och konsekvenser registrerats är fullständiga.

I en studie av konsekvenserna av den svenska grundskolere- formen kopplade Costas Meghir och Mårten Palme uppgifter från UGU-registret till utbildningsregistret och taxeringsregistret (full- ständiga register som förs av SCB).25 Genom denna sammankopp- ling kunde de visa att i en jämförelse mellan barn som gått i folkskola respektive enhetsskola (grundskola), fick, bland dem som hade fäder med låg utbildning, de sistnämnda i större utsträckning utbildning utöver den obligatoriska och också högre inkomster i vuxen ålder. Enhetsskolans införande innebar alltså att elever med den minst resursstarka sociala bakgrunden fick förbättrade möjligheter senare i livet.

I en amerikansk studie hävdades att gallstensoperationer ökade risken för cancer i tjocktarmen26, men Anders Ekbom med flera kunde, tack vare möjligheten att sammanställa slutenvårdsregistret med cancerregistret (fullständiga register som bägge förs av Social- styrelsen), visa att denna oro var obefogad.27 På motsvarande sätt kunde Hans Ekelund med flera visa att farhågan, enligt en brittisk fall-kontrollstudie, att injektioner av vitamin K som gavs till ny-

24Hansson, M.G., opublicerad PM 2013-09-24.

25Meghir, C., Palme, M. Educational Reform, Ability, and Family Background. The American Economic Review, 2005. 95(1): 414–424.

26Linos, D., Beard, C.M., O'Fallon, W.M., Dockerty, M.D., Beart, R.W., Kurland, L.T. Cholecystectomi and carcinoma of the colon, Lancet, 1981 2: 379–381.

27Ekbom, A., Yuen, J., Adami, H-A, McLaughlin, J.K., Chow, W-H., Persson, I., Fraumeni, J.F. Cholecystectomy and Colorectal Cancer, Gastroenterology, 1993 105: 142–147.

107

Varför är registeruppgifter bra för forskning?

SOU 2014:45

födda ökade risken för cancer i barndomen var obefogad.28 Genom att koppla samman uppgifter från samtliga förlossningskliniker med uppgifter i cancerregistret kunde de visa att något sådant samband inte fanns.

Dessa studier visar att forskning som görs med hjälp av register- uppgifter kan ha en direkt praktisk betydelse för hälso- och sjuk- vårdens verksamhet.

Genom att koppla ihop olika typer av registeruppgifter har man också kunnat visa hur det går för barn i familjehems- och institutions- vård. Dels har man på detta sätt kunnat identifiera vilka bakgrunds- faktorer som påverkar risken för att barnen ska placeras i familjehems- och institutionsvård, dels har man försökt bedöma vilka effekterna blir av familjehems- och institutionsvård. Slutsatsen i Socialstyrelsens Social rapport 2006 var att utvecklingen för de barn som hamnar i social dygnsvård är så dyster att man måste ställa frågan om sådana interventioner över huvud taget har någon positiv påverkan på bar- nens utveckling.29

4.4.5Den sociala omgivningens betydelse för individuella handlingar

Vilka vi omges av, umgås med och arbetar tillsammans med har stor betydelse för våra handlingar. För att kunna studera omgivningens påverkan på det egna beteendet behöver vi uppgifter om flera och helst alla individer i sociala nätverk. I många studier har man kun- nat ta in uppgifter om exempelvis andra familjemedlemmar, men att kunna bedöma betydelsen av ett mer fullständigt socialt nätverk har sällan varit möjligt. Om emellertid registermaterial innehåller information om samtliga individer i olika sociala kontexter blir det möjligt att bättre förstå hur vi påverkas av vår sociala omgivning. På grund av svårigheterna att samla in sådana material är dock relativt få studier av detta slag genomförda.

Peter Hedström med flera kunde emellertid, med hjälp av ett material som sammanställts om alla som levde i Stockholm under 1990-talet, studera hur självmord inom familjen eller på arbets-

28Ekelund H, Finnström O, Gunnarskog J, Källén B., Larsson Y. Administration of vitamin K to newborn infants and childhood cancer, BMJ 1993; 307:89–91.

29Vinnerljung, B. et al. Utsatthet bland barn och unga. Social rapport 2006. Socialstyrelsen 2006.

108

SOU 2014:45

Varför är registeruppgifter bra för forskning?

platsen påverkar risken för att individen själv ska begå självmord.30 De fann att framför allt självmord inom familjekretsen ökar risken, men att även när arbetskamrater begått självmord ökar den egna risken. Studien hade inte varit möjlig att genomföra om inte alla individer i populationen ingått i registermaterialet.

4.4.6Policyskillnader mellan administrativa enheter

Som jag tidigare konstaterat är det ovanligt att åtgärder för enskilda som genomförs av till exempel myndigheter eller kommuner sätts in i statistisk mening helt slumpmässigt. Det förekommer dock att praxis varierar från enhet till enhet, till exempel från kommun till kommun, vilket, i en annan mening, kan sägas innebära att det för den enskilde i viss mån är slumpen som avgör vilken insats han eller hon får. Man kan hävda att det hela tiden pågår ett slags sociala experiment även om de inte utformas på ett sätt som gör att det är enkelt att mäta effekterna. Eventuella skillnader i utfall kan emeller- tid studeras genom jämförelser mellan exempelvis kommuner. De öppna jämförelser som tidigare har nämnts är ett bidrag till sådana jämförelser, men för att förstå innebörden av variationerna krävs givetvis djupare analyser.

Sten-Åke Stenberg kunde genom att sammanställa uppgifter från kronofogdedistrikten visa att andelen vräkningar visserligen varie- rade mellan kommuner, men att skillnaderna föll bort när han kon- trollerade för ett antal relevanta faktorer.31 Socialtjänsten i de olika kommunerna föreföll att agera ungefär lika, givet de vräkningshotades egenskaper. Stenbergs studie hade inte kunnat genomföras på ett tillförlitligt sätt om han inte fått tillgång till information om samt- liga vräkningar från kronofogdedistrikten. Studien visade i detta fall således att det inte var några stora skillnader mellan kommunerna trots att den ojusterade statistiken indikerade det.

Det finns en potential att analysera sådana här ”naturliga experi- ment” i långt större utsträckning än vad som hittills har skett. Till exempel kan den diskussion som sedan ett drygt årtionde pågår om evidensbaserad socialtjänst tänkas stimulera sådana studier.

30Hedstrom, P., Liu, K-Y., Nordvik, M. K. Interaction Domains and Suicide: A Population- based Panel Study of Suicides in Stockholm, 1991–1999. Social Forces 2008, 87(2).

31Stenberg, S-Å. Vräkt ur folkhemmet. Carlssons 2009.

109

Varför är registeruppgifter bra för forskning?

SOU 2014:45

4.4.7Longitudinella studier

Vid tvärsnittsstudier kan man fånga en ögonblicksbild. Det hindrar naturligtvis inte att den kan innehålla frågor till intervjupersonerna om vad som har varit och om deras tro om framtiden. Men svaren speglar vad de just nu minns eller tror om framtiden. Både minnes- bilder och framtidsförhoppningar kan förändras över tid. Vid longi- tudinella studier följer man samma individer över en längre tid för att fånga förändringar i deras liv eller av ett samhälle där befolkningens sammansättning förändras. Det kan handla om förändringar i allt från social status och hälsa till åsikter och värderingar. Den tid de följs kan variera från ett par år till ett helt återstående liv. Flera av de forskningsexempel som ges i detta kapitel bygger på en longitu- dinell design. Likväl finns det skäl att särskilt uppmärksamma registrens betydelse för longitudinell forskning.

En form av longitudinella studier är befolkningsstudier eller, som man ofta säger inom medicinsk och epidemiologisk forskning, kohortstudier. Dessa studier är prospektiva till sin karaktär, det vill säga man väljer ut en grupp individer och följer dem ett antal år framåt för att till exempel lära mer om uppkomsten av sjukdomar. I projekten LifeGene och EpiHealth är man på väg att samla in upp- gifter och prover från flera tiotusentals individer och familjer för att på sikt kunna undersöka hur arv och miljö påverkar hälsan.32 De uppgifter som samlas in direkt från individer kan i forsknings- projekt kompletteras med uppgifter från register.

I andra fall kan ett forskningsregister ha skapats för ett mer kortsiktigt projekt, men många år senare visa sig vara användbart för helt nya forskningsfrågor. Det kanske äldsta forskningsregistret i Sverige, och ett av de äldsta i världen, är den så kallade Malmö- studien. Den gjordes 1938 då en forskare gjorde intelligenstester på alla tioåringar i staden. Från början användes registret för att studera bland annat ”kvarsittningsfrågan” som var aktuell på 1940-talet. Senare har det använts för att studera intelligensens konstans, det vill säga effekterna av utbildning på de kognitiva färdigheterna (cognitive skills), vart 1938 års 10-åringar senare tog vägen i arbetslivet och, i en avhandling från 2011, sambandet mellan de kognitiva färdigheter- na tidigt i livet och dödsrisker. I den sistnämnda studien följdes indi- viderna från Malmöstudien upp med hjälp av dödsorsaksregistret.33

32Se vidare avsnitt 8.4.2.

33Broady, D. Longitudinella studier. PM april 1983; Lager, A. The Role of Education and Cognitive Skills in Understanding Moratlity Inequalities, Karolinska Institutet 2011.

110

SOU 2014:45

Varför är registeruppgifter bra för forskning?

En alternativ design för longitudinell forskning är att med hjälp av register få fram uppgifter om personers förflutna. Om man vill finna förklaringar till en sjukdom som manifesteras i dag, men som kan ha orsakats av händelser långt tillbaka i tiden, kan uppgifter från vårdregister eller gamla prover från biobanker ge viktig information. På det sättet kunde forskare finna ett samband mellan livmoderhals- cancer och så kallade HPV-infektioner (HPV = Human Papilloma Virus). Det har lett fram till utvecklingen av ett vaccin mot HPV som i dag bara i Sverige beräknas spara ett par hundra liv per år.34

Ett liknande exempel avser patienter som nyligen fått diagnosen reumatoid artrit (RA). I Umeå finns sedan många år en biobank som ursprungligen startades med utgångspunkt i frågeställningar rörande hjärtkärlsjukdomar. Forskarna kunde i denna hitta prover från de aktuella patienterna som var tagna för 10–15 år sedan och som innehöll så kallade pre-RA-faktorer. Med hjälp av dessa prover kan man nu arbeta vidare med att försöka utveckla mediciner som kan förebygga sjukdomen långt innan den brutit ut.35

En tredje kategori av longitudinell forskning är där man helt använder redan insamlade uppgifter. Peter Fredriksson, Björn Öckert och Hessel Oosterbeek matchade UGU-data med registerdata om klasstorlek (ett fullständigt register som förs av Skolverket). Vid den tid som undersökningen avsåg var skolorna tvingade att dela på klasser som annars skulle ha fått fler än 30 elever. Forskarna kunde således jämföra elever som hade gått i skolklasser med strax under 30 elever respektive i klasser som på grund av delningen hade be- tydligt färre elever, och därigenom bedöma betydelsen av klasstorlek i åldrarna 10–13 år för barnens kognitiva och övriga utveckling. De fann att barn som gått i mindre klasser hade en mer positiv utveck- ling än barn som gått i större. Även i vuxen ålder hade barn från de mindre klasserna i genomsnitt något högre utbildning och högre inkomster.36

När longitudinella studier görs på ett begränsat urval av personer förvärras ofta det problem med bortfall som finns vid tvärsnitts-

34Lehtinen, M., J. Dillner, P. Knekt, et al. Serologically diagnosed infection with human papillomavirus type 16 and risk for subsequent development of cervical carcinoma: Nested case-control study. British Medical Journal 1996:312(7030): 537–539; Wallin, K.L., F. Wiklund, T. Angström et al. Type-specific persistence of human papillomavirus DNA before the development of invasive cervical cancer. New England Journal of Medicine 1999:341(22): 1633–1638, National Board of Health and Welfare. 2008. Background to a human pa- pillomavirus vaccination in Sweden. Stockholm: National Board of Health and Welfare.

35Eriksson C. et al. Arthritis Res Ther. 2011:13(1):R30.E-pub

36Fredriksson, P., Oosterbeek, H., Öckert, B. Långsiktiga effekter av mindre klasser, IFAU rapport 2012:5

111

Varför är registeruppgifter bra för forskning?

SOU 2014:45

studier och som jag tidigare har berört. Bortfallet tenderar av olika skäl att öka över tid. Därmed ökar också osäkerheten i resultaten. Detta talar för att man där det är möjligt bör göra longitudinella studier med hjälp av registeruppgifter.

4.4.8Mikrosimulering

I utredningsdirektiven nämns att registeruppgifter kan användas för mikrosimulering.37 De exempel på forskning som hittills har redo- visats syftar i regel till att förstå de mekanismer som påverkar hälsa och välfärd. Vid mikrosimulering driver man förståelsen ett steg längre och försöker förutsäga möjliga eller sannolika effekter av en planerad åtgärd, exempelvis en förändring av skatter eller bidrag. Med hjälp av mikrosimuleringsmodeller kan man beräkna åtgärdens effekter både för olika typer av hushåll och för hela befolkningen.38 Med mikro avses att dataunderlaget utgörs av uppgifter om individer (eller till exempel hushåll, arbetsplatser eller bostäder). Med simule- ring avses att man undersöker hur individernas situation påverkas av ändrade regelsystem, till exempel ändrade skatter eller bidrag.

Mikrosimuleringsmodeller har utvecklats bland annat för att kunna göra mer tillförlitliga beräkningar än vad som är möjligt när man utgår från genomsnittliga förhållanden. Ett exempel kan belysa problemet.

För några år sedan fördes en diskussion om möjligheten att genom skattesänkningar minska kostnaderna för socialbidrag. Diskussionen utgick från ett genomsnittligt hushåll som betalar inkomstskatt och också får socialbidrag. En sänkning av skatten för detta tänkta hus- håll skulle således sänka behovet av socialbidrag med lika mycket. Förutsatt att skattesänkningen inte överstiger det genomsnittliga socialbidraget blir med en sådan beräkning en hundraprocentig verk- ningsgrad på socialbidraget av skattesänkningen. Inom ramen för en utredning om socialtjänstlagen vid slutet av 1990-talet gjordes en beräkning med hjälp av mikrosimulering. Verkningsgraden på socialbidragen blev då knappt 10 procent. Den minskade skatte- intäkten resulterade med andra ord i att kostnaderna för socialbidrag minskade med bara en tiondel därav. Resultatet har sin förklaring i att de hushåll som hade socialbidrag ofta inte betalade någon skatt,

37Anders Ekholm m fl har bidragit till utredningen med en underlagsrapport, Vad är mikro- simulering?

38Se http://www.scb.se/Pages/Standard__195232.aspx eller http://www.stat.fi/tup/mikrosimulointi/esittely_sv.html.

112

SOU 2014:45

Varför är registeruppgifter bra för forskning?

något som mikrosimuleringsmodellen beaktade men inte kalkylen baserad på genomsnitt. 39

Mikrosimuleringsmodeller har ofta tagits fram inom regerings- administrationer för att beräkna effekter av planerade politiska åt- gärder, men har också utvecklats och använts i forskningen. Sedan slutet av 1980-talet finns i Sverige en skatte-bidrags-modell, Fördel- ningsAnalytiskt Statistiksystem för Inkomster och Transfereringar (FASIT), som har utvecklats, förvaltas och vidareutvecklas av SCB. Den används flitigt i Regeringskansliet för att bedöma effekterna av olika planerade reformer, men har även, om än i blygsam omfatt- ning, använts i samhällsvetenskaplig forskning.

FASIT är en så kallad statisk tvärsnittsmodell. Det innebär att man inte antar några förändringar i beteenden över tid. För att komma åt detta problem har andra modeller av dynamisk karaktär utveck- lats. I en översiktsartikel från 2013 redovisar Jinjing Li och Cathal O’Donoghue ett sextiotal så kallade dynamiska mikrosimulerings- modeller med inriktning på ekonomi och välfärd som för närvaran- de används i olika delar av världen.40 Några av dessa har tagits fram i Sverige, bland andra Swedish Simulation Model (SESIM). SESIM utvecklades ursprungligen inom finansdepartementet för att analysera studiemedelssystemets långsiktiga effekter, men den har senare kommit att användas för andra analyser, också av forskare. Anders Klevmarken med flera har använt den för att analysera effekter av en åldrande befolkning.41

De har till exempel i sina analyser pekat på risken för att antalet fattiga äldre (med inkomster under 50 procent av medianinkomsten) kommer att öka kraftigt fram till år 2020 för att sedan fortsätta uppåt till år 2040. De har också visat att kostnaderna för äldreomsorgen som andel av summan av de direkta skatter som hushållen betalar kan komma att öka från strax över 20 procent i dag till 25 procent år 2020 och drygt 36 procent år 2040.

Detta slags beräkningar säger naturligtvis inte hur det kommer att bli. Men de utgör ett viktigt underlag när politiken ska utformas.

Ett annat exempel på användning av mikrosimuleringsmodeller är de beräkningar som Smittskyddsinstitutet har gjort av effekterna av vaccinationskampanjen mot influensa 2009. Man sökte där med

39SOU 1999:46.

40Li, J. & O’Donoghue. A survey of dynamic mivrosumulation models: uses, model structure and methodology, International Journal of Microsimulation 2013:6(2) 3-55.

41Klevmarken, A., Lindgren, B. (ed). Simulating an Ageing Population. A microsimulation approach applied to Sweden. Contribution to Economic Analysis No 285, Emerald Group Publishing Lmtd, Bingley, United Kingdom 2008; ISBN 978-0-444-53253-4.

113

Varför är registeruppgifter bra för forskning?

SOU 2014:45

hjälp av en annan modell, Mikrosim, beräkna vad som skulle ha hänt utan vaccinering. Slutsatsen blev att vaccinationen hade sparat hundratalet liv och drygt 1 700 inläggningar i slutenvård, men också att den hade lett till cirka 150 fall av narkolepsi.42

Mikrosimuleringsmodeller kräver stora datamängder för att fun- gera väl. I själva verket är det just datas omfattning som bestämmer hur väl variationsanalysen kan göras. I en rapport till Finanspolitiska rådet skriver professor Daniel Waldenström: ”Om man exempelvis är intresserad av analyser av invandrare uppdelade på födelseland och ålder blir grupperna snart så små att den statistiska osäkerheten gör det svårt att dra meningsfulla slutsatser. Om undersökningen därutöver har ovanligt höga bortfall, vilket särskilt är fallet med gruppen unga invandrare, omöjliggörs praktiskt all form av statistisk analys.”43

4.5Sammanfattning

Som har framgått av detta kapitel innebär det ofta en förutsättning, och än oftare en fördel, för forskare att ha tillgång till stora data- material, till exempel i form av befolkningsregister. Det ger möjlig- heter att få kunskaper som kan vara svåra eller omöjliga att vinna med andra forskningsmetoder.

Att använda personuppgifter av det slag som forskarna behöver kan emellertid i vissa situationer uppfattas som ett hot mot indivi- ders personliga integritet. Hur man ska se på dessa risker och den avvägning mellan intressen som måste göras ska jag återvända till i kapitel 6. Dessförinnan ska jag emellertid, i kapitel 5, redovisa de rättsliga förutsättningarna för registerbaserad forskning.

42 Vaccinationskampanjen mot influensa A(H1N1) 2009, Utvärdering av hälsoeffekter säsongerna 2009/2010 och 2010/2011. Smittskyddsinstitutet 2013; Brouwers, L., Cakici, B., Camitz, M., Tegnell, A., Boman, M. Economic consequences to society of pandemic H1N1 influenza 2009 – premininary results for Sweden. Euro Surveill. 2009:43(37):pii=19333. www.eurosurveillance.org/ViewArticle.aspx?ArticleId=19333.

43 Waldenström, D. Regeringen och ojämlikheten, En granskning av budgetens fördelnings- politiska redogörelser 1992–2011. Rapport till Finanspolitiska Rådet 2012/6.

114

5Rättsliga förutsättningar för registerbaserad forskning

5.1Inledning

I detta kapitel ska jag redovisa de bestämmelser som är av betydelse för förutsättningarna för registerbaserad forskning och som därmed är relevanta för utredningen. De bestämmelser som behandlas mot- svarar i stort de som finns upptagna i kommittédirektiven (Dir. 2013:8, se bilaga 1). Målet är att ge en översiktlig beskrivning av det rättsliga regelverk som reglerar registerforskningen i dag.

Jag har i föregående kapitel visat på vinsterna för forskningen med att använda registeruppgifter. Användningen av personuppgifter för forskningsändamål kan emellertid vara känsligt för individerna. Det finns en omfattande lagstiftning som har till syfte att skydda den personliga interiteten. Samtidigt ger lagstiftningen stöd för forska- re att behandla personuppgifter för forskningsändamål.

Kapitlet inleds med en genomgång av de regelverk som styr be- handlingen av personuppgifter och skyddet för den personliga inte- griteten. Här finns reglering på både internationell och nationell nivå. Därefter beskrivs några av de internationella instrument som införts till skydd för enskilda inom hälso- och sjukvård samt forsk- ning. För att möta Sveriges internationella åtaganden på detta om- råde infördes 2004 en särskild lag om etikprövning av forskning som avser människor. Forskares möjlighet att få tillgång till personupp- gifter och skyddet för personuppgifterna hos forskningshuvudman som är en statlig myndighet regleras av bestämmelserna om offent- lighet och sekretess och av personuppgiftslagen (1998:204) (PUL). Sättet för utlämnande av personuppgifter regleras bland annat i en särskild bestämmelse i lagen (2001:99) om den officiella statistiken som beskrivs översiktligt i kapitlet. I det avslutande avsnittet redo- görs närmare för de bestämmelser som bland annat rör bevarandet av allmänna handlingar, däribland forskningsunderlag.

115

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

5.2Internationell reglering till skydd för den personliga integriteten vid behandling av personuppgifter

5.2.1FN:s allmänna förklaring om de mänskliga rättigheterna m.m.

Den allmänna förklaringen om mänskliga rättigheter antogs år 1948 av FN:s generalförsamling. Förklaringen omfattar politiska och med- borgerliga rättigheter men även sociala, ekonomiska och kulturella. Den allmänna förklaringen är inte bindande för medlemsstaterna men ses numera som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12. Där stadgas att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Vidare anges i artikel 29 att en person endast får underkastas sådana inskränkningar som har fast- ställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

FN har också antagit den internationella konventionen om med- borgerliga och politiska rättigheter. Konventionen antogs 1966 och trädde i kraft 1976. För närvarande är cirka 150 stater, däribland Sverige, anslutna till konventionen. I artikel 17 i konventionen upp- repas innehållet i ovannämnda artikel 12 i den allmänna förklaringen. För att öka respekten för konventionens rättigheter har vissa kon- troller införts, band annat rapporteringsskyldighet för medlemsstater- na. Kommittén för mänskliga rättigheter (Human Rights Committee) har inrättats för att övervaka att medlemsstaterna efterlever sina skyldigheter enligt konventionen.

I sammanhanget bör också nämnas att FN:s generalförsamling år 1990 antog riktlinjer om datoriserade register med personuppgifter (Guidelines concerning computerized personal data files). Riktlinjer- na anger tio grundläggande principer som medlemsstaterna ska ta hänsyn till vid lagstiftning avseende datoriserade register med person- uppgifter. Det anges bland annat att personuppgifter inte får samlas in eller behandlas på ett olagligt sätt eller användas för syften som står i strid med FN:s stadga. Ändamålet med registret ska vara spe- cificerat, berättigat och på något sätt uttryckligt angivet för den

116

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

som berörs. Detta är för att försäkra att alla personuppgifter som samlas in och behandlas är relevanta och adekvata för det angivna ändamålet, att uppgifterna inte används i strid med det angivna ända- målet och att uppgifterna inte bevaras längre än som krävs för att uppfylla det angivna ändamålet. Enligt riktlinjerna ska var och en ha rätt att få reda på om information om henne eller honom är registre- rad och i så fall vilken. Var och en ska vidare ha rätt till rättelse eller utplåning av onödiga eller felaktiga uppgifter. Uppgifter som kan ge upphov till diskriminering, till exempel information om ras eller etniskt ursprung, sexualliv, politiska åsikter eller religiös eller filoso- fisk övertygelse bör inte registreras. Den som för registret ansvarar för att tillbörliga åtgärder vidtas för att skydda uppgifterna från obehörig åtkomst, missbruk och smitta av datavirus. Det ska i varje land finnas en myndighet med ansvar att övervaka att lagstiftningen på området efterlevs. Överträdelse av bestämmelserna ska leda till sanktioner.

5.2.2Europakonventionen

Den europeiska konventionen av den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) inkorporerades i svensk rätt den 1 januari 1995 och gäller sedan dess som lag i Sverige. Av 2 kap. 19 § rege- ringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen.

Det är framför allt artikel 8 i konventionen som har betydelse för skyddet av den personliga integriteten. I bestämmelsen anges att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Av andra punkten följer att en offentlig myndighet inte får inskränka denna rätt annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förbyggande av oordning eller brott eller till skydd för hälsa och moral eller för andra personers fri och rättigheter.

Behandling av personuppgifter kan falla inom tillämpningsom- rådet för artikel 8 i Europakonventionen, dock endast i de fall be- handlingen avser uppgifter om privatliv, familjeliv, hem eller korre- spondens. Artikel 8 innebär att staten ska avhålla sig från ingrepp i den skyddade rättigheten, men också en skyldighet för staten att

117

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

vidta åtgärder för att skydda den enskildes privata sfär.1 Bestäm- melsen innebär således en skyldighet att upprätthålla skyddet för privatlivet genom lagstiftning, men kan också medföra en skyldig- het för myndigheter att agera i enskilda fall.

För att vara förenligt med artikel 8 måste ett ingrepp i den kon- ventionsskyddade rättigheten ha stöd i inhemsk lag. Lagen ska vara tillgänglig för allmänheten och utformad med sådan precision att inskränkningarna är förutsebara.2 Ingreppet ska vidare vara nödvän- digt. Det krävs således att det finns ett ”angeläget samhälleligt behov”. Slutligen ska inskränkningen i den grundläggande rättigheten stå i rimlig proportion till det syfte som ska tillgodoses genom inskränk- ningen. Varje konventionsstat har viss frihet att avgöra om en in- skränkning är nödvändig, men Europadomstolen förbehåller sig rätten att övervaka om friheten utnyttjas på ett rimligt sätt.

5.2.3Europarådets Dataskyddskonvention

Europarådets ministerkommitté antog år 1981 en konvention (nr 108) till skydd för enskilda vid automatisk databehandling av person- uppgifter, den så kallade dataskyddskonventionen. Konventionen trädde i kraft den 1 oktober 1985. Samtliga medlemsstater i EU har ratificerat konventionen. Konventionen är bindande för de länder som tillträtt den. Till konventionen ansluter en rad rekommenda- tioner om hur personuppgifter bör behandlas inom olika områden, till exempel rekommendation nr R (83) 10 till skydd för person- uppgifter som används för vetenskaplig forskning och statistik. Rekommendationerna är inte direkt bindande.

Konventionen har enligt artikel 1 till syfte att säkerställa respek- ten för grundläggande fri- och rättigheter, särskilt rätten till personlig integritet i samband med automatisk databehandling av personupp- gifter.3 Konventionens tillämpningsområde är enligt artikel 2 automa- tiserade personregister och automatisk databehandling av person- uppgifter i allmän och enskild verksamhet. Varje konventionsstat kan dock göra vissa allmänna inskränkningar eller utvidgningar i tillämpningsområdet. Den centrala delen av konventionen är kapi- tel II (artikel 4–11) som innehåller de grundläggande principerna för dataskydd. Det finns bland annat krav på att personuppgifter

1Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012, s. 347 f.

2Danelius, H., Mänskliga rättigheter i europeisk praxis, 4 uppl., 2012 s. 351.

3Begreppet ”automatisk databehandling” behandlas i avsnitt 5.3.4.4.

118

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

som undergår automatisk databehandling ska erhållas och behand- las på ett korrekt och lagligt sätt, vara ändamålsenliga, relevanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt (artikel 5). Uppgifter som avslöjar ras, politiska åsikter, hälsa och sexualliv samt att någon dömts för brott får inte behandlas om inte nationell lag ger ett ändamålsenligt skydd (artikel 6). Konventionen innehåller också bestämmelser om bland annat krav på säkerhetsåtgärder, information till den registrerade samt sanktioner och rättsmedel.

Europarådet inledde år 2010 en översyn av konventionen som fortfarande pågår.

5.2.4OECD:s riktlinjer

Inom Organisationen för ekonomiskt samarbete och utveckling (OECD) har en expertgrupp utarbetat riktlinjer avseende integri- tetsskyddet och flödet av personuppgifter över gränserna: Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data. Riktlinjerna antogs år 1980 av OECD:s råd. Samtidigt antogs en rekommendation till medlemsländernas regeringar att beakta riktlinjerna i nationell lagstiftning. Sverige har liksom samtliga andra medlemsländer godtagit rekommendationerna och därmed åtagit sig att följa riktlinjerna. Syftet med dessa är att försöka undvika de risker för intrång i den personliga integriteten och individens frihet som personuppgifter kan utgöra på grund av det sätt på vilket de behand- las, deras natur eller det sammanhang i vilket de används.4 Rikt- linjerna är tillämpliga på personuppgifter inom både den offentliga och den privata sektorn och avser både uppgifter som lagras auto- matiskt och uppgifter som förs manuellt. Riktlinjerna är att uppfatta som minimiregler. Det är således inget som hindar att det nationella skyddet görs mer omfattande än riktlinjerna anger. Riktlinjerna inne- håller en särskild avdelning som anger åtta grundläggande principer till skydd för den personliga integriteten på det nationella planet. Här anges bland annat att personuppgifter ska vara relevanta för de ändamål för vilka de ska användas och vara riktiga och fullständiga samt hållas aktuella. En annan grundläggande princip är att de ända- mål för vilka personuppgifterna samlades in ska vara preciserade senast vid insamlingen.

4 SOU 1997:39 s. 170 f.

119

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

5.2.5Europeiska unionens stadga om de grundläggande rättigheterna

Vid Europeiska rådets möte i Nice år 2000 antog medlemsstaterna Europeiska unionens stadga om de grundläggande rättigheterna (EU- stadgan).5 Stadgans syfte är att kodifiera de grundläggande fri-och rättigheter som EU redan dessförinnan har erkänt. I stadgan anges de grundläggande rättigheterna under sex huvudrubriker: värdighet, frihet, jämlikhet, solidaritet, medborgarskap och rättvisa. Liksom Europakonventionen förbjuder stadgan bland annat tortyr, slaveri och tvångsarbete och ger ett skydd för människans rätt till frihet och säkerhet och rätten till en rättvis rättegång. Stadgan innehåller dessutom ytterligare rättigheter som inte finns med i Europakonven- tionen, till exempel personuppgiftsskydd och rätten till god förvalt- ning.

När det gäller skyddet för den personliga integriteten anges i stadgan att var och en har rätt till fysisk och mental integritet (arti- kel 3). Alla har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer (artikel 7) samt skydd för person- uppgifter som rör honom eller henne (artikel 8). I artikel 8 anges vidare att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim grund. Vidare ska var och en ha rätt att få till- gång till insamlade uppgifter och att få rättelse av dem. I artikeln stadgas också att en oberoende myndighet ska kontrollera att regler- na efterlevs.

Enligt artikel 35 har var och en rätt till tillgång till förebyggande hälsovård och till medicinsk vård på de villkor som fastställs i natio- nell lagstiftning och praxis. En hög nivå av skydd för människors hälsa ska säkerställas vid utformning och genomförande av all unionspolitik och alla unionsåtgärder.

Lissabonfördraget innebär att Europeiska unionens stadga om de grundläggande rättigheterna numera är rättligt bindande när EU-institutionerna och medlemsländerna tillämpar EU:s lagar och regler.6

5SOU 2010:4 s. 104.

6Prop. 2007/08:168 s. 58.

120

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

5.2.6Sammanfattning

Av redogörelsen framgår att Sverige förbundit sig att säkerställa respekten för grundläggande fri- och rättigheter, däribland rätten till personlig integritet i samband med automatisk databehandling av personuppgifter. När det gäller hur skyddet för den personliga integriteten i samband med databehandling ska utformas är det vissa principer som återkommer i de olika dokumenten och riktlinjerna. Av central betydelse är kravet att personuppgifter endast får samlas in för ett eller flera angivna ändamål. Uppgifterna ska erhållas och behandlas på ett korrekt och lagligt sätt, vara ändamålsenliga, rele- vanta och inte onödiga för de ändamål för vilka de lagras och inte bevaras längre tid än nödvändigt. Uppgifter av särskilt känslig natur, vanligtvis sådana som avslöjar ras eller etnicitet, politiska åsikter, facklig tillhörighet, hälsa och sexualliv eller att någon har dömts för brott, får endast behandlas under särskilda omständigheter som regleras i lag. Vanligtvis finns också krav på bestämmelser om bland annat säkerhetsåtgärder, information till den registrerade samt sank- tioner och rättsmedel. I sammanhanget bör påpekas att det i vissa av de angivna dokumenten också finns rättigheter som delvis måste tillgodoses genom forskning, till exempel rätten till förebyggande hälsovård och till medicinsk vård i EU-stadgan.

De principer som redovisas ovan återkommer i dataskyddsdirek- tivet som redovisas i avsnitt 5.3.2.

5.3Nationell reglering till skydd för den personliga integriteten vid behandling av personuppgifter

5.3.1Regeringsformen

Regeringsformen (RF) innehåller vissa grundläggande bestämmelser till skydd för den personliga integriteten. Enligt målsättningsstad- gandet i 1 kap. 2 § första stycket ska den offentliga makten utövas med respekt band annat för den enskilda människans frihet. I fjärde stycket samma paragraf anges att det allmänna ska värna om den enskildes privat- och familjeliv. Målsättningsstadgandet anger några av de viktigaste målen för samhällets verksamhet men har inte någon bindande verkan för det allmänna.7 Bestämmelsen kan således inte ligga till grund för några individuella rättigheter. I 2 kap. 4 och 5 §§

7 Prop. 1975/76:209 s. 128, prop. 2009/10:80 s. 173.

121

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

finns bestämmelser om förbud mot allvarliga fysiska integritets- intrång såsom döds- och kroppsstraff och enligt 2 kap. 6 § är var och en skyddad gentemot det allmänna mot påtvingade kroppsliga in- grepp.

För att stärka skyddet för den personliga integriteten infördes den 1 januari 2011 ett nytt andra stycke i 2 kap. 6 § RF. I bestäm- melsen anges att var och en är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär över- vakning eller kartläggning av den enskildes personliga förhållanden. Bestämmelsen får enligt 2 kap. 20 § RF begränsas genom lag, men endast för att tillgodose ändamål som är godtagbara i ett demokra- tiskt samhälle. Begränsningen får inte gå utöver vad som är nödvän- digt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsikts- bildningen (2 kap. 21 § RF). Begränsningen får inte heller göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskåd- ning.

I förarbetena till grundlagsändringen anförs att resultatet av Integritetsskyddskommitténs kartläggning och analys av lagstiftning som rör den personliga integriteten ger belägg för slutsatsen att lag- stiftning som innefattar intrång i den enskildes personliga integritet i viss utsträckning uppvisar brister, bland annat i att de avvägningar mellan olika motstående intressen som normalt ska göras i lagstift- ningsärenden i vissa fall är bristfälligt redovisade. 8 Det anförs vidare att kommittén konstaterar att grundlagarna starkt betonar vikten av yttrande- och informationsfrihet och att den fria åsiktsbildningen intar en privilegierad ställning. När det gäller grundlagsbestämmelser som har betydelse för integritetsskyddet finns endast förbud mot politisk åsiktsregistrering och ett förbud mot husrannsakan, hemlig avlyssning med mera utan stöd i lag, bestämmelser vars främsta syfte är att skydda den fria åsiktsbildningen. Kommittén konstaterar att lagstiftaren inte lägger tillräcklig vikt vid integritetsskydds- aspekterna när ny lagstiftning arbetas fram.

I propositionen anförs att respekten för individens självbestäm- mande är grundläggande för en demokrati. Vidare anges att vikten av respekt för individens rätt att själv förfoga över och ta ställning till det allmännas tillgång till sådan information som rör hans eller hennes privata förhållanden kommer att betonas på ett tydligare sätt om skyddet för den personliga integriteten i 2 kap. RF stärks. En

8 Prop. 2009/10:80 s. 176.

122

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

sådan förstärkning kan även förväntas främja intresset av en fri åsiktsbildning och antas öka Sveriges trovärdighet som fördrags- slutande part till Europakonventionen. Målet med regleringen är enligt propositionen att tvinga lagstiftaren att tydligt redovisa vilka avvägningar som gjorts vid proportionalitetsbedömningen och att öka förutsättningarna för att avvägningarna i fråga om identitets- intrånget blir mer ingående belysta.9

Bestämmelserna i 2 kap. 6 § andra stycket RF medför att behand- lingar av information om enskildas personliga förhållanden som sker utan den enskildes samtycke som innebär övervakning eller kart- läggning av den enskilde och som innebär ett betydande intrång i den personliga integriteten måste anges i lag. Med enskildas personliga förhållanden avses enligt förarbetena vitt skilda slag av information som är knuten till den enskildes person, till exempel uppgifter om namn och andra personliga identifikationsuppgifter, adress, familje- förhållanden, hälsa och vandel.10 Även fotografisk bild samt uppgifter som inte är direkt knutna till den enskildes privata sfär, exempelvis uppgift om anställning, omfattas av uttrycket. Även en uppgift om en persons ekonomi torde omfattas.

När det gäller frågan om samtycke anförs i motiven att integri- tetsskyddet bör ta sikte på sådana åtgärder som den enskilde själv inte kan få kännedom om eller påverka genom ett krav på frivilligt godkännande.11 Om åtgärderna däremot förutsätter den enskildes godkännande kan det intrång som åtgärden innebär normalt inte anses vara av så allvarlig beskaffenhet att det bör omfattas av ett stärkt grundlagsskydd. Detta gäller oberoende av vilka slags uppgifter åt- gärden eller behandlingen avser. PUL bör enligt förarbetena kunna tjäna som vägledning vid bedömningen av vad som krävs för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke.

Avseende begreppen övervakning och kartläggning anförs i för- arbetena att en åtgärd från det allmännas sida som vidtas primärt i syfte att ge myndigheterna underlag för beslutsfattande i enskilda fall, exempelvis insamling av uppgifter av visst slag för beslut om beskattning eller liknande, i många fall kan anses innebära kartlägg- ning av enskildas förhållanden även om avsikten inte är att kartlägga enskilda.12 Så torde fallet vara i fråga om ett stort antal uppgifts-

9Prop. 2009/10:80 s. 177.

10Ibid.

11Prop. 2009/10:80 s. 178 f.

12Prop. 2009/10:80 s. 180.

123

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

samlingar som det allmänna förfogar över. En mycket stor mängd information som rör enskildas personliga förhållanden finns till exempel lagrad i Skatteverkets, Tullverkets, Försäkringskassans och Kronofogdemyndighetens olika databaser. Även Statistiska central- byrån (SCB) och andra statistikansvariga myndigheter lagrar och bearbetar stora mängder uppgifter om enskildas personliga förhål- landen i sina databaser.13 Flera av dessa uppgiftssamlingar omfattar en stor andel av landets hela befolkning och flera av dem innehåller också till viss del mycket integritetskänsliga uppgifter. Myndighets- specifika verksamhetsregister och databaser med information som är knuten till en myndighets ärendehantering förekommer inom i stort sett all statlig och kommunal förvaltning. Särskilda föreskrifter som anger de närmare förutsättningarna för informationshante- ringen finns för till exempel socialtjänsten, studiestödsverksamheten, Kriminalvården och den brottsbekämpande verksamheten hos såväl polismyndigheterna, Tullverket och åklagarmyndigheterna som Skatteverket och Kustbevakningen samt hos domstolarna. I flertalet fall är uppgifterna tillgängliga för myndigheterna på sådant sätt att lagringen och behandlingen av uppgifterna kan sägas innebära att enskilda kartläggs, även om det huvudsakliga ändamålet med behand- lingen är ett helt annat. Det förekommer även att uppgiftssamlingar inrättas och utformas i syfte att fungera som mer utpräglade person- register. Som exempel nämns polisens belastningsregister. Vidare kon- stateras att en rad åtgärder som innefattar insamling av information om enskildas personliga förhållanden i andra situationer kan anses innebära övervakning, till exempel hemlig kameraövervakning, tele- avlyssning och teleövervakning. Det betonas att det är åtgärdens effekter som är av avgörande betydelse vid bedömningen av om den ska anses falla under grundlagsbestämmelsens tillämpningsområde, inte det huvudsakliga syftet med åtgärden.

Grundlagsskyddet omfattar endast betydande integritetsintrång och i förarbetena betonas att grundlagsbestämmelsen bara omfattar vissa kvalificerade intrång i den personliga integriteten.14 Vid bedöm- ningen av hur ingripande intrånget i den personliga integriteten kan anses vara i samband med insamling, lagring och bearbetning eller utlämnande av uppgifter om enskildas personliga förhållanden är det enligt förarbetena naturligt att stor vikt läggs vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt anses vara. Även

13Se kapitel 3.

14Prop. 2009/10:80 s. 183.

124

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

hantering av ett litet fåtal uppgifter kan med andra ord innebära ett betydande intrång i den personliga integriteten om uppgifterna är av mycket känslig karaktär. Vid bedömningen av intrångets karaktär är det också naturligt att stor vikt läggs vid ändamålet med be- handlingen. En hantering som syftar till att utreda brott kan således normalt anses vara mer känslig än till exempel en hantering som uteslutande sker för att ge en myndighet underlag för förbättringar av kvaliteten i handläggningen. Därutöver kan givetvis mängden uppgifter vara en betydelsefull faktor i sammanhanget. I detta sam- manhang anförs det att konstitutionsutskottet i flera lagstiftnings- ärenden som rört myndigheters personuppgiftsbehandling framfört att målsättningen bör vara att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i form av lag och att regeringen vid flera tillfällen har instämt i denna bedöm- ning.15 Regeringen har också uttalat att behovet av lagstiftning är särskilt stort om uppgifterna sprids externt i en inte obetydlig om- fattning.16

Vid bedömningen av vad som kan anses utgöra ett betydande in- trång bör flera omständigheter vägas in. Förutom de ovan angivna nämns i förarbetena att även omfattningen av utlämnandet av upp- gifter till andra som sker utan omedelbart stöd av offentlighetsprin- cipen kan vara av betydelse vid bedömningen. Däremot bör den närmare avgränsningen av grundlagsbestämmelsens tillämpnings- område inte påverkas av sekretesslagstiftningens utformning. Den omständigheten att sekretesslagstiftningen innehåller en presumtion för offentlighet, det vill säga ett rakt skaderekvisit, för uppgifter i en viss myndighets verksamhet bör således inte i sig utgöra skäl för bedömningen att myndighetens behandling av uppgifterna faller utan- för det utvidgade grundlagsskyddet. Även om intresset av insyn är så stort att det inte är motiverat att införa långtgående begränsningar i allmänhetens rätt att få tillgång till handlingar, kan uppgifterna och hanteringen av dem således vara så integritetskänslig att den bör omfattas av grundlagsskyddet. Det förhållandet att de uppgifter som behandlas av en myndighet omfattas av sekretess med ett om- vänt skaderekvisit bör inte heller utgöra en omständighet som med automatik innebär att en bestämmelse om uppgiftsskyldighet måste anses omfattas av den nya grundlagsbestämmelsens tillämpningsom-

15 Prop. 1990/91:60 s. 58, bet. 1990/91:KU 11 s. 11, bet. 1997/98:KU 18 s.43, prop. 1997/98:44 s. 41 och prop. 1999/2000:39 s. 78. Se även till exempel prop. 1990/91:60 s. 58, prop. 1997/98:108 s. 39 och prop. 2011/12:176 s.20.

16 Prop. 1990/91:60 s. 58.

125

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

råde. Även andra omständigheter måste beaktas vid bedömningen av hur långtgående intrång uppgiftsskyldigheten innebär när ställning tas till om föreskrifterna omfattas av den nya bestämmelsen. En sådan omständighet kan vara på vilket sätt och för vilka syften mottaga- ren av uppgifterna hanterar utlämnade uppgifter.

I förarbetena anges att det är förenat med svårigheter att peka ut vilka specifika företeelser som är av sådant slag att de innebär ett betydande intrång i integriteten.17 I sista hand är det riksdagen som får avgöra vilka företeelser som är av så ingripande karaktär att de inte bör kunna begränsas på annat sätt än genom lag.

5.3.2Dataskyddsdirektivet

5.3.2.1Syfte

Inom EU regleras behandling av personuppgifter i Europaparlamen- tets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om behandling av det fria flödet av sådana uppgifter, det så kallade dataskyddsdirek- tivet. Syftet med direktivet är enligt artikel 1.1 att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privat- liv, i samband med behandling av personuppgifter. Det anges i arti- kel 1.2 att medlemsstaterna inte får begränsa eller förbjuda det fria flödet av personuppgifter mellan medlemsstaterna på grund av detta skydd. Målet med direktivet är att skapa en gemensam, hög nivå på integritetsskyddet för att därigenom möjliggöra ett fritt flöde av personuppgifter mellan medlemsländerna.18 Medlemsstaterna får inom den ram som ges i direktivet närmare precisera villkoren för när be- handling av personuppgifter får förekomma. Dessa preciseringar får dock inte hindra det fria flödet av personuppgifter inom unionen.

5.3.2.2Huvuddragen i direktivet

Huvuddragen i direktivet är sammanfattningsvis följande.19 Direk- tivet är tillämpligt på all behandling av personuppgifter som sker helt eller delvis på automatisk väg. Direktivet omfattar även icke automa- tisk behandling av personuppgifter om de ingår eller är avsedda att

17Prop. 2009/10:80 s. 185.

18Prop. 1997/98:44 s. 34.

19Prop. 1997/98:44 s. 35

126

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

ingå i ett register. Med register avses i sammanhanget varje struk- turerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden.20 Direktivet är inte tillämpligt på sådan behandling av personuppgifter som faller utanför gemenskapsrätten, till exempel den som gäller allmän säkerhet, statens säkerhet eller statens verksamhet på straff- rättens område och inte heller på register för privat bruk. Även be- handling av personuppgifter för uteslutande journalistiska, konstnär- liga och litterära ändamål undantas.

Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål och uppgifterna får inte senare an- vändas på ett sätt som är oförenligt med ursprungsändamålet. Senare behandling av uppgifter för historiska, statistiska eller vetenskapliga ändamål ska inte anses oförenlig med dessa ändamål, förutsatt att medlemsstaterna beslutar om lämpliga skyddsåtgärder.

Personuppgifter får behandlas när den enskilde lämnat sitt sam- tycke. Därutöver får personuppgifter behandlas endast när det är nödvändigt för att fullgöra ett avtal i vilket den registrerade är part, när det finns en författningsreglerad förpliktelse att behandling av uppgifterna ska ske, när det är nödvändigt för att skydda den en- skildes grundläggande intressen, när det är nödvändigt att utföra en arbetsuppgift i det allmännas intresse eller om det i övrigt skett en intresseavvägning som resulterat i att behandling av personuppgifter ska få ske.

Medlemsstaterna ska förbjuda behandling av känsliga personupp- gifter, det vill säga uppgift som avslöjar ras21, religion, politisk åsikt, facklig tillhörighet eller som rör hälsa och sexualliv. Det finns dock vissa undantag från denna huvudregel, bland annat vid den enskil- des uttryckliga samtycke, för ideella föreningars medlemsregister och för hälso- och sjukvårdens administration. Medlemsstaterna får i sin nationella lagstiftning eller genom ett beslut av tillsynsmyndig- heten besluta om andra undantag från förbudet än dem som anges i direktivet, dock endast under förutsättning att det sker av hänsyn till ett viktigt allmänt intresse och att lämpliga skyddsåtgärder vidtas. Medlemsstaterna ska vidare bestämma på vilka villkor nationella identifikationsnummer får behandlas.

20I punkt 27 i ingressen till direktivet anges att innehållet i ett register måste vara struktu- rerat enligt särskilda kriterier som avser den enskilda personen, för att lätt ge tillgång till personuppgifterna. Akter eller grupper av akter eller deras omslag som inte är strukturerade efter särskilda kriterier faller inte inom direktivets tillämpningsområde.

21Användningen av begreppet ”ras” kommenteras i avsnitt 5.3.4.8.

127

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

När personuppgifter samlas in ska den registrerade informeras om bland annat vem som är registeransvarig och vad uppgifterna ska användas till. Har uppgifterna inte samlats in från den registrerade själv behöver den registeransvarige emellertid inte lämna någon in- formation, om den registrerade redan känner till informationen eller om det skulle visa sig omöjligt eller innebära en arbetsinsats som inte står i proportion till nyttan. Den registrerade har dock rätt att på begäran få information om de registrerade uppgifterna. Den re- gistrerade har också rätt att få sådana uppgifter som inte har behand- lats i enlighet med direktivet rättade, utplånade eller blockerade. Direktivet innehåller vidare regler om säkerhet vid behandlingen.

All behandling av personuppgifter ska enligt huvudregeln anmälas till en tillsynsmyndighet. Medlemsstaten kan dock genom bransch- och sektorsreglering eller motsvarande undanta sådan behandling av personuppgifter som inte kränker enskildas fri- och rättigheter från anmälningsskyldigheten. Behandling av personuppgifter som innebär särskilda integritetsrisker får inte förekomma utan att till- synsmyndigheten först gett tillstånd till detta.

Den registrerade ska ha rätt att få sina rättigheter enligt den natio- nella lagen prövad av tillsynsmyndigheten och av domstol. Tillsyns- myndigheten ska vara ett oberoende organ. Den ska ha undersök- ningsbefogenheter och befogenheter att effektivt ingripa mot otillåten behandling av personuppgifter.

Överföring av personuppgifter till ett tredje land, som i detta sammanhang innebär ett land utanför EU, får i princip endast ske om det mottagande landet har en acceptabel skyddsnivå.

5.3.2.3Kompletterande rättsakter

Inom EU finns också vissa kompletterande rättsakter till data- skyddsdirektivet, bland annat rådets rambeslut 2008/977/RIF av den 27 november 2008 om skydd av personuppgifter som behandlas inom ramen för polissamarbete och straffrättsligt samarbete (data- skyddsrambeslutet) med särskilda regler om skydd för personupp- gifter i frågor som rör polisiärt och straffrättsligt samarbete.

128

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

5.3.2.4Reformarbete

Europeiska kommissionen presenterade i november 2010 meddelan- det Ett samlat grepp på skyddet av personuppgifter i Europeiska unionen (KOM/2010/0609) som innehöll en strategi för att stärka EU:s regler om dataskydd. Både rådet och parlamentet uttryckte sitt stöd för kommissionens strategi. I januari 2012 lade kommis- sionen fram ett förslag till reform av EU:s regler om skydd för per- sonuppgifter. Förslaget innebär bland annat att dataskyddsdirektivet ska ersättas av en allmän dataskyddsförordning. En förordning har direkt effekt i medlemsländerna. Det innebär att förslaget, om det genomförs, inte bara kommer att ersätta dataskyddsdirektivet utan även PUL.

I Europaparlamentet behandlades förslaget i LIBE-utskottet (Committee for Civil Liberties, Justice and Home Affairs). Rapportören Jan Philipp Albrecht lade fram ett förslag till betän- kande i december 2012. Ett förslag med parlamentets ändringar antogs av parlamentet den 12 mars 2014 med 621 ja-röster mot 10 nej-röster och 22 nedlagda. I Ministerrådet behandlar rådsarbets- gruppen för dataskydd (DAPIX) kommissionens förslag. Ett stort antal möten har hållits under våren 2014. Det grekiska ordförande- skapet planerar att nå en partiell allmän inriktning om kapitlet som rör överföring av personuppgifter till tredje land till ministermötet i juni 2014. På grund av valet till Europaparlamentet i maj 2014 kommer förhandlingar mellan Ministerrådet och Europaparlamentet att inledas tidigast under andra halvan av 2014.

5.3.3Kommissionens förordning om tillgång till konfidentiella uppgifter för vetenskapliga syften

EU-kommissionen antog 2013 en förordning om tillämpning av Europaparlamentets och rådets förordning om europeisk statistik vad gäller tillgång till konfidentiella uppgifter för vetenskapliga syften.22 I ingressen (preamble) till förordningen slås fast att rätt- visande svar på många ekonomiska, sociala, miljörelaterade och poli- tiska frågor endast kan nås med hjälp av relevanta och detaljerade uppgifter som möjliggör djupgående analyser. Kvaliteten på och

22 Kommissionens förordning (EU) nr 557/2013 av den 17 juni 2013 om tillämpning av Europaparlamentets och rådets förordning (EG) nr 223/2009 om europeisk statistik vad gäller tillgång till konfidentiella uppgifter för vetenskapliga syften och om upphävande av kommis- sionens förordning (EG) nr 831/2002.

129

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

aktualiteten hos de detaljerade uppgifter som är tillgängliga för forsk- ning har därför blivit ett viktigt inslag i en vetenskapligt underbyggd förståelse och styrning av samhället. Vidare anges att forskar- världen därför bör få bättre möjligheter att ta del av konfidentiella uppgifter som används för utveckling, framställning och spridning av europeisk statistik, för analys i den vetenskapliga utvecklingens intresse, utan att det äventyrar den höga skyddsnivå som krävs för konfidentiella statistikuppgifter. I förordningen fastställs villkoren för när tillgång till konfidentiella uppgifter som översänts till EU:s statistikmyndighet Eurostat får beviljas för att möjliggöra statistiska analyser för vetenskapliga syften. I förordningen anges också reglerna för samarbetet mellan Eurostat och de nationella statistikansvariga myndigheterna för att underlätta sådan tillgång.

Enligt artikel 3 ska vissa krav vara uppfyllda för att Eurostat ska få lämna ut uppgifter för forskningsändamål. Den som begär tillgång till uppgifterna ska vara en erkänd forskningsenhet och ett lämpligt forskningsförslag ska lämnas in. I ansökan ska anges vilken typ av konfidentiella uppgifter för vetenskapliga syften som begärs. Till- gången ska ges antingen genom kommissionen (Eurostat) eller genom en annan åtkomstplats som kommissionen (Eurostat) godkänt. Den nationella statistikansvariga myndighet som lämnat uppgifterna ska också ge sitt medgivande till utlämnande. I artikel 4 anges vilka kriterier en forskningsenhet ska uppfylla för att bli en erkänd forsk- ningsenhet. Förordningen innehåller också definitioner av vissa be- grepp samt bestämmelser om vad forskningsförslag ska innehålla, de nationella statistikansvariga myndigheternas ståndpunkt, lämpliga skyddsåtgärder, tillgången till konfidentiella uppgifter genom åt- komstplatser och organisatoriska frågor. Till förordningen hör särskil- da riktlinjer23 med närmare bestämmelser om den praktiska tillämp- ningen av förordningen när det gäller bland annat bedömning av forskningsenheter, upprättande av forskningsförslag och godkän- nande av åtkomstplatser och lämpliga säkerhetsåtgärder.

23 Guidelines for the assessment of research entities, reserach proposals and access facilities.

130

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

5.3.4Personuppgiftslagen

5.3.4.1Personuppgiftslagens syfte och förhållande till annan lagstiftning

Dataskyddsdirektivet har genomförts i svensk rätt genom PUL och personuppgiftsförordningen (1998:1191), PUF. PUL följer i stort sett dataskyddsdirektivets text och disposition och innehåller bland annat bestämmelser om behandling av personuppgifter, personupp- giftsansvar, information till den registrerade, skadestånd och straff. Syftet med PUL är, enligt 1 §, att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Av 2 § PUL framgår att lagen är subsidiär i förhållande till andra författningar. Det innebär att om det finns en annan lag eller förordning som avviker från PUL, ska de bestämmelserna tillämpas i stället. Sådana avvikande bestämmelser finns ofta i så kallade re- gisterförfattningar som reglerar inrättandet och förfarandet av vikti- gare register på det offentliga området. Även bestämmelser som föreskriver att myndigheter eller enskilda får eller ska lämna ut upp- gifter avses i paragrafen. Bestämmelser om så kallad uppgiftsskyl- dighet går således före bestämmelserna i PUL.

5.3.4.2Några viktiga begrepp

3 § PUL innehåller definitioner av vissa grundläggande begrepp. Avsikten är att definitionerna i PUL ska ha samma innebörd som enligt dataskyddsdirektivet.24

Behandling (av personuppgifter) avser varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, oavsett om det sker på automatisk väg eller inte. Som exempel på behandling anges i be- stämmelsen insamling, registrering, organisering, lagring, bearbet- ning eller ändring, återvinning, inhämtande, användning, utlämnan- de genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller sambearbetning, blockering, utplå- ning eller förstöring. Så snart personuppgifter på något sätt hanteras är det enligt förarbetena fråga om en behandling som faller inom PUL:s tillämpningsområde, om behandlingen är automatisk eller avser ett manuellt personregister.25 Avsikten är att alla former av hante- ring ska omfattas.

24SOU 1997:39 s. 327.

25SOU 1997:39 s. 332.

131

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

Mottagare definieras som den till vilken personuppgifter lämnas ut. När personuppgifter lämnas ut för att en myndighet ska kunna utföra sådan tillsyn, kontroll eller revision som den är skyldig att sköta, anses dock inte myndigheten som mottagare.

Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Defini- tionen av personuppgifter innebär att behandling av uppgifter om avlidna eller ännu inte födda personer inte omfattas av lagen. Det bör dock tilläggas att en uppgift om en avliden person i vissa fall kan säga något om en levande person och därmed också utgöra en personuppgift. I förarbetena anförs att en uppgift om en persons arvsanlag (DNA) kan vara en uppgift som avser flera personer efter- som denna uppgift i kombination med andra uppgifter kan ge upp- lysning om den personens föräldrar och avkomma.26

Enligt förarbetena omfattas även kodade personuppgifter av PUL, så länge någon kan göra uppgifterna läsbara och därmed identifiera individer.27 Även sådana uppgifter som i sig är anonyma men som möjliggör identifikation genom så kallad bakvägsidentifikation av en fysisk person omfattas. I förarbetena tolkas begreppet så att det endast krävs att en fysisk person kan identifieras med hjälp av upp- gifterna, inte att den personuppgiftsansvarige själv förfogar över samt- liga uppgifter som gör identifieringen möjlig. I förarbetena anges som exempel ett trafikföretag som kan registrera när ett personligt och numrerat så kallat månadskort används vid resor. Även om trafikföretaget inte registrerat vem som innehar månadskortet, kan det ändå vara fråga om en personuppgift eftersom den uppgiften kan finnas registrerad på något annat håll, till exempel hos den skola eller socialförvaltning som delat ut kortet.

Som exempel på personuppgifter kan nämnas personnummer, registreringsnummer för fordon, kundnummer och lägenhetsnum- mer.

Personuppgiftsansvarig är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart det förekommer en behandling av person- uppgifter i lagens mening finns det en eller flera personuppgifts- ansvariga för den behandlingen. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att behandlingen av person- uppgifter sker i enlighet med bestämmelserna i PUL. Som huvud- regel kan därför bara fysiska personer, juridiska personer, utländska

26SOU 1997:39 s. 338.

27Ibid. I förarbetena används begreppet krypterade i stället för kodade.

132

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

filialer eller myndigheter betraktas som personuppgiftsansvariga, inte några andra ”organ” som saknar rättskapacitet och således inte kan ådömas skadestånd.28

Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Både fysiska och juridiska personer kan vara personuppgiftsbiträde. Den personuppgiftsan- svarige har skadeståndsansvar gentemot de registrerade för person- uppgiftsbiträdets behandling av personuppgifter. Personuppgifts- biträden har inte enligt lagen något eget skadeståndsansvar gentemot de registrerade, men de kan genom avtal eller allmänna regler bli skadeståndsskyldiga gentemot den personuppgiftsansvarige för sina handlingar.

Ett personuppgiftsombud är en fysisk person som, efter förord- nande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.

Den registrerade är den som en personuppgift avser. Av defini- tionen av personuppgifter framgår att den registrerade måste vara en fysisk person som är i livet.

Med samtycke avses enligt definitionen varje slag av frivillig, sär- skild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. Det krävs inte att samtycket är skriftligt.29 Vid en tvist torde dock den personuppgiftsansvarige ha bevisbördan för att den registrerade har lämnat sitt samtycke. Ett skriftligt sam- tycke kan därför ändå vara lämpligt.

Enligt definitionen ska det vara den registrerade som blir infor- merad och godtar behandlingen av sina personuppgifter. Det är så- ledes den registrerade själv som ska lämna sitt samtycke. Att till exem- pel en organisation som den registrerade tillhör godtar behandling av uppgifter om sina medlemmar är inte tillräckligt. Samtycket måste vara individuellt.30

Frågan om samtycket i alla lägen måste avges personligen, det vill säga av den registrerade själv, har diskuterats i förarbetena.31 Datalagskommittén konstaterade att det verkar klart att ett ombud, en ställföreträdare eller en god man kan framföra den registrerades frivilliga, särskilda och informerade viljeyttring till den personupp- giftsansvarige (eller dennes ombud), och enligt kommittén bör ett

28SOU 1997:39 s. 336.

29SOU 1997:39 s. 341.

30Ibid.

31Ibid.

133

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

ombud eller en ställföreträdare kunna lämna samtycke på den re- gistrerades vägnar.

Det har inte ställts upp några särskilda, rättsliga krav för att någon ska få avge ett samtycke. Det anges i förarbetena att ett samtycke ska vara en informerad viljeyttring från den registrerade och att den som faktiskt kan tillgodogöra sig information om vad en behand- ling innebär och som faktiskt kan avge en frivillig viljeyttring, som innebär att han eller hon godtar behandlingen, kan lämna ett rätts- ligt giltigt samtycke. Det anses naturligt att en lagstiftning som avser att skydda och inskärpa respekt för individers rättigheter i fråga om personlig integritet också respekterar individen i den meningen att den som förstår vad det handlar om får bestämma själv.32 Frågan om när någon har sådan mognad att han eller hon förstår vad sam- tycket innebär får avgöras med beaktande av omständigheterna i varje särskilt fall. Föräldrar och andra ställföreträdare bör kunna lämna samtycke för den som inte själv kan bli informerad eller kan avge en egen viljeyttring.

Datalagskommittén tar vidare upp frågan om vad kravet på fri- villighet innebär. I förarbetena nämns som exempel den situation att samtycke till viss uppgiftsbehandling uppställs som en förutsätt- ning för att den registrerade ska få något som han eller hon önskar eller behöver, till exempel ett telefonabonnemang, en livsnödvändig sjukvårdsbehandling eller en anställning. Det konstateras att om situ- ationen är sådan att den registrerade i praktiken inte kan avstå, kan samtycket inte gärna vara ”frivilligt”. Det anförs dock att undantag får göras om det kan visas att den registrerade skulle ha lämnat sam- tycket även utan ”tvånget”. Även omständigheten att en registrerad kan ha en underordnad eller beroende ställning i förhållande till den personuppgiftsansvarige bör beaktas vid bedömningen av om ett samtycke har lämnats frivilligt.

Kravet på att samtycket ska vara särskilt medför att ett generellt samtycke till uppgiftsbehandling inte accepteras. Den registrerade ska informeras om vilken eller vilka behandlingar som ska göras och de är dessa, och inga andra, som det särskilda samtycket avser.33 Definitionen av begreppet samtycke innebär också att ett så kallat hypotetiskt samtycke inte kan godtas. Med hypotetiskt samtycke avses att man på olika grunder antar att individen i fråga skulle ha samtyckt om han eller hon hade ställts inför frågan.

32Ibid.

33SOU 1997:39 s. 342.

134

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

Tillsynsmyndigheten är den myndighet som regeringen utser för att utöva tillsyn. Enligt 2 § PUF är Datainspektionen tillsynsmyn- dighet.

5.3.4.3Det territoriella tillämpningsområdet

Det följer av 4 § PUL att lagen gäller för sådana personuppgifts- ansvariga som är etablerade i Sverige. Det framgår vidare av bestäm- melsen att lagen som huvudregel också tillämpas när den person- uppgiftsansvarige är etablerad i en stat som inte ingår i Europeiska unionen eller är ansluten till Europeiska ekonomiska samarbets- området men för behandlingen av personuppgifter använder sig av utrustning som finns i Sverige. Undantag gäller dock om utrustningen bara används för att överföra uppgifter mellan två sådana länder.

5.3.4.4Behandling av uppgifter som omfattas av lagen

Det framgår av 5 § PUL vilka personuppgifter som omfattas av lagen. Bestämmelsen har följande lydelse.

5 §

Denna lag gäller för sådan behandling av personuppgifter som helt eller delvis är automatiserad.

Lagen gäller även för annan behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

I bestämmelsens första stycke slås det fast att lagen gäller för all behandling av personuppgifter som är helt eller delvis automatise- rad. Enligt förarbetena är behandling i datorer av personuppgifter som finns i datorformat (i binär form), inklusive överföringen av personuppgifter till sådant format, som regel att betrakta som auto- matiserad behandling.34 Så snart en personuppgift har kommit in i en dator eller motsvarande maskin skulle det alltså vara fråga om sådan automatiserad behandling som omfattas av lagen. Av punkt 14 och 15 i ingressen till dataskyddsdirektivet framgår att även ljud- eller bilduppgifter om fysiska personer omfattas om det sker med hjälp av automatisk databehandling eller om uppgifterna ingår eller

34 SOU 1997:39 s. 344.

135

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

avses att ingå i ett register. Däremot är det enligt förarbetena mera osäkert om och i vilken utsträckning reglerna om automatiserad behandling ska tillämpas på behandling av personuppgifter som inte finns i datorformat, till exempel bilder och ljud avseende individer som tas upp och lagras i något analogt format, såsom på ett negativ eller ett ljud- eller videoband.

Även delvis automatiserad behandling av personuppgifter om- fattas av lagen. Det innebär bland annat att lagen tillämpas redan när någon samlar in personuppgifter manuellt, till exempel via enkäter, med syfte att senare registrera uppgifterna i datorformat. Det inne- bär vidare att muntligt utlämnande eller utlämnande på papper av personuppgifter som finns i datorformat omfattas av lagen. Det gör även manuell, intern användning av sådana personuppgifter.35

Av 5 § andra stycket PUL framgår att lagen i vissa fall gäller även för sådan behandling av personuppgifter som inte är automati- serad. Den behandling som avses är manuellt behandlade person- uppgifter som ingår i eller är avsedda att ingå i ett register. I lagen används inte begreppet register utan i stället definitionen av ett re- gister, det vill säga en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Ett register är enligt förarbetena en samling av personuppgifter.36 Samlingen ska, för att utgöra ett register, innehålla uppgifter om fler än en person. En omfattande samling uppgifter om en enda person är således inte något register. För att något ska kunna sägas vara en samling krävs det vidare en viss beständighet. En hög med lösa papper på ett skrivbord omfattas således inte, även om papperen tillfälligt- vis råkar vara sorterade i bokstavsordning efter efternamn. Däremot krävs det inte att alla handlingar i ett register finns på ett och samma ställe. Om personuppgifter i pappershandlingar som är utspridda, till exempel på olika håll i landet eller inom ett företag, är tillgäng- liga med hjälp av ett centralt index, kan det ändå vara fråga om ett enda register. Ett annat exempel är att ett företag kan ha ett kort- register som innehåller kundernas namn och en hänvisning till det ställe, till exempel en filial, där kundens akt med ytterligare per- sonuppgifter finns.

35Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 122

f.

36SOU 1997:39 s. 339.

136

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

Uppgiftssamlingen måste också vara strukturerad.37 Det innebär att uppgifterna måste vara sorterade enligt något slags system. Det krävs dessutom att uppgifterna i samlingen är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Man måste alltså kunna söka bland uppgifterna i samlingen för att det ska vara fråga om ett register. Av punkt 15 och 27 i ingressen till dataskyddsdirektivet fram- går att kriterierna ska avse enskilda personer och vara utformade för att lätt ge tillgång till personuppgifterna. Ett manuellt register som visserligen innehåller personuppgifter men som inte är sökbart med hjälp av någon personuppgift (namn, personnummer et cetera) om- fattas således inte. Det kan till exempel vara fråga om akter som har ordnats efter löpnummer utan möjlighet att söka fram uppgifter om enskilda personer.

I dataskyddsdirektivet och PUL talas det om kriterier i pluralis. Enligt förarbetena skulle det innebära att registret måste vara sök- bart på mer än ett kriterium. En förteckning i bokstavsordning över personer skulle således inte vara ett register, om namnet är den enda sökingången. Om alla kriterier eller bara ett kriterium måste avse personuppgifter är dock mera oklart.38

5.3.4.5Undantag från personuppgiftslagen

Undantag för behandling av personuppgifter i ostrukturerat material

Enligt 5 a § PUL behöver vissa i bestämmelsen angivna hanterings- regler i PUL inte tillämpas på behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter, så kallat ostrukturerat material. Av andra stycket i samma bestämmelse framgår att sådan behand- ling emellertid inte får utföras om den innebär en kränkning av den registrerades personliga integritet.

Bestämmelsen infördes den 1 januari 2007 som ett resultat av en översyn av PUL. Personuppgiftslagsutredningens uppdrag var att analysera förutsättningarna för en reglering med inriktning på miss- bruk av personuppgifter snarare än varje slags hantering av sådana uppgifter. Syftet var att underlätta vardaglig hantering av person-

37SOU 1997:39 s. 339.

38SOU 1997:39 s. 340.

137

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

uppgifter samtidigt som den enskilde skulle ges ett effektivt skydd mot missbruk av uppgifterna.39

Bestämmelsen innebär en förenklad reglering för behandling av personuppgifter i ostrukturerat material såsom löpande text samt ljud och bild. Behandling får i sådana fall i princip utföras fritt så länge det inte uppkommer en kränkning av den registrerades personliga integritet.

Med ostrukturerat material avses sådant som inte framstår som något regelrätt personregister eller någon annan form av system som upprättats för att påtagligt underlätta sökning efter eller samman- ställning av just personuppgifter. I det undantagna området ingår till exempel produktion av löpande text i ordbehandlingsprogram, publicering av löpande text på Internet, användning av ljud- och bildupptagningar och korrespondens med e-post under förutsättning att materialet inte ingår i eller ska infogas i en databas med en per- sonuppgiftsanknuten struktur såsom ett ärendehanteringssystem.40

Enligt bestämmelsens andra stycke får en sådan behandling av personuppgifter i ostrukturerat material som avses i första stycket inte utföras om den innebär en kränkning av den registrerades per- sonliga integritet. Det har inte ansetts möjligt eller lämpligt att i lagen införa en uttömmande uppräkning av alla de fall av behandling av personuppgifter som kan utgöra missbruk av personuppgifter och därmed en kränkning av en enskilds personliga integritet. Det kon- staterades i förarbetena att det är bäst att ha en allmänt hållen be- stämmelse om vad som utgör missbruk, som mot bakgrund av för- arbetena får uttolkas i rättspraxis och vägledning från till exempel Datainspektionen.41 Det har således lämnats åt rättstillämpningen att i varje enskilt fall, med beaktande av samtliga omständigheter, väga det intrång som kan ha skett i den personliga integriteten mot eventuella motstående intressen. I förarbetena lämnas ändå vissa riktlinjer för behandling av personuppgifter i ostrukturerat material. Av dessa framgår bland annat att personuppgifter inte ska behandlas för otillbörliga syften, så som förföljelse eller skandalisering, eller att man inte utan godtagbara skäl ska samla en stor mängd uppgifter om en person.42

39SOU 2004:6 s. 33.

40SOU 2004:6 s. 12, prop. 2005/06:173 s. 21.

41SOU 2004:6 s. 144.

42SOU 2004:6 s. 148, prop. 2005/06:173 s. 29.

138

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

Det bör i sammanhanget noteras att undantagsbestämmelsen i 5 a § PUL i princip aldrig torde bli tillämplig vid behandling av personuppgifter för registerforskning.

Undantag för privat behandling av personuppgifter

Det framgår av 6 § PUL att lagen inte gäller för sådan behandling av personuppgifter som en fysisk person utför som ett led i en verk- samhet av rent privat natur.

Förhållandet till tryck- och yttrandefriheten

Enligt 7 § PUL tillämpas inte bestämmelserna i lagen i den utsträck- ning det skulle strida mot bestämmelserna om tryck- och yttrande- frihet i tryckfrihetsförordningen (TF) eller yttrandefrihetsgrund- lagen (YGL).

Genom bestämmelsen undantas den grundlagsskyddade rätten att framställa yttranden. Undantaget gäller för behandling av person- uppgifter som syftar till att framställa ett sådant yttrande som avses i TF eller YGL, till exempel en tryckt skrift eller ett radioprogram. Behandling som syftar till att uppgifter samlas in av till exempel en journalist för att göra ett TV-program eller av en författare om- fattas av undantaget.43 Även behandling av personuppgifter i utkast, koncept eller minnesanteckningar som upprättas i syfte att framställa ett yttrande omfattas. Det gör även behandling för bevarande och spridning av redan grundlagsskyddat material, till exempel klipp- arkiv.

Den behandling av personuppgifter som sker inom statistisk och vetenskaplig verksamhet har ofta som mål att utmynna i en publika- tion av resultaten. Regeringen har dock gjort den bedömningen att även om forskningsresultat ofta offentliggörs i olika publikationer, så kan inte forskningen sägas syfta till ett offentliggörande i grund- lagens mening utan i stället till att nå ett visst resultat. Den bedrivna forskningen kan därför enligt regeringen inte anses åtnjuta grund- lagsskydd under åberopande av att forskningsresultaten ska publi- ceras.44

43SOU 1997:39 s. 258 ff.

44Prop. 2002/03:50 s. 119, jämför Ds 2001:62 s. 54 och 128.

139

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

Bestämmelsen innebär vidare undantag för den grundlagsskyddade rätten att sprida yttranden, meddelarfriheten och anskaffarfriheten.

Enligt bestämmelsens andra stycke ska vissa bestämmelser i PUL inte tillämpas på sådan behandling av personuppgifter som sker ute- slutande för journalistiska ändamål eller konstnärligt eller litterärt skapande. Bestämmelsen innebär att endast de bestämmelser i lagen som rör säkerhet ska tillämpas på sådan behandling. I förarbetena be- tonas att det är viktigt att det även vid behandling för journalistiska ändamål eller konstnärligt eller litterärt skapande finns en lämplig säkerhetsnivå så att personuppgifter inte till exempel läcker ut eller annars sprids på ett icke avsett vis.45

Förhållandet till offentlighetsprincipen

Det följer av 8 § PUL att lagen inte ska tillämpas i den utsträckning det skulle inskränka en myndighets skyldighet enligt bestämmel- serna om offentlighetsprincipen i 2 kap. TF att lämna ut person- uppgifter.

Offentlighetsprincipen beskrivs närmare i avsnitt 5.6.2. Den inne- bär kortfattat bland annat en rätt för var och en att hos myndigheter ta del av allmänna handlingar med personuppgifter i den utsträck- ning handlingarna inte innehåller uppgifter som är sekretessbelagda. Av betydelse för principen är också myndigheternas skyldighet en- ligt lag och andra författningar att bevara allmänna handlingar. Den som begär att få ta del av allmänna handlingar har vidare i allmänhet rätt att få vara anonym. Offentlighetsprincipen innebär således att myndigheterna i vissa fall är skyldiga att ge ut personuppgifter till en obestämd krets av mottagare som kan utnyttja uppgifterna för okända ändamål.46

Förhållandet mellan dataskyddsdirektivet och offentlighetsprin- cipen diskuterades i förarbetena till PUL.47 Att personuppgifter lämnas ut med stöd av den grundlagsfästa offentlighetsprincipen är enligt propositionen i och för sig att anse som en sådan behandling av personuppgifter som omfattas av direktivet. En myndighets ut- lämnande av personuppgifter med stöd av offentlighetsprincipen kan dock inte anses vara oförenligt med de ändamål för vilka uppgifter- na ursprungligen samlades in. Offentlighetsprincipen framgår av

45Prop. 1997/98:44 s. 52.

46Öman, S. och Lindblom H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 184.

47Prop. 1997/98:44 s. 43 ff.

140

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

grundlagen och får anses utgöra en integrerad del av all förvalt- ningsverksamhet som myndigheterna ägnar sig åt. I propositionen anfördes ett antal ytterligare skäl för tolkningen att offentlighets- principen inte var oförenlig med dataskyddsdirektivet. Lagrådet invände mot att direktivet gick att förena med offentlighetsprin- cipen och anförde bland annat att det mot bakgrund av syftet med direktivet (skapandet av en gemensam hög skyddsnivå som skapar förutsättningar för ett fritt flöde av uppgifter mellan länderna) inte är sannolikt att EG-domstolen skulle godta en tolkning av direk- tivet i den riktning som regeringen har gjort och att det finns en påtaglig risk för att domstolen skulle finna offentlighetsprincipen oförenlig med direktivet. För att vara säker på att den svenska lag- stiftningen står sig vid en prövning i EG-domstolen ansåg Lagrådet att bestämmelserna i TF och den dåvarande sekretesslagen (1980:100) behövde ändras.

Regeringen delade inte Lagrådets farhågor rörande EG-direk- tivets förenlighet med offentlighetsprincipen och anförde att det rörde sig om en svensk grundlagsskyddad rättighet med lång tradition som är en viktig del av det svenska statsskicket. Vidare anfördes att den svenska offentlighetsprincipens starka ställning och grundläggande betydelse för det svenska förvaltningssystemet också är väl känd i de övriga medlemsstaterna. Under det förhandlingsarbete som ägde rum efter att Sverige blivit medlem i EU förändrades direktivet på flera punkter av särskilt stor betydelse för frågan om hur det förhåller sig till offentlighetsprincipen. Det förslag till direktiv som Datalagsutredningen hade att ta ställning till skiljde sig alltså på avgörande punkter från direktivet i dess slutliga form. Det anförs vidare att det är av betydelse att förändringarna till stor del föranled- des av den svenska inställningen och att förändringarna alltså syftade till att göra det möjligt för medlemsstaterna att förena regler om skydd för personuppgifter med en offentlighetsprincip. Detta har slagits fast i punkt 72 i ingressen till direktivet.48 Konstitutions- utskottet gjorde liksom regeringen bedömningen att det inte fanns någon bestämmelse i direktivet som inte gick att förena med offent- lighetsprincipen, men framhöll att man först genom EG-domstolens prövning kan veta hur EG-direktivet egentligen ska tolkas och tilläm- pas.49

48I punkt 72 anges att direktivet gör det möjligt att vid genomförandet av dessa bestämmel- ser ta hänsyn till principen om allmänhetens rätt till tillgång av allmänna handlingar.

491997/98:KU 18 s. 26 f.

141

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

Förhållandet till arkivlagstiftningen

Enligt 8 § andra stycket PUL hindrar inte bestämmelserna i lagen att en myndighet arkiverar och bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet.

Utgångspunkten i arkivlagstiftningen är att bevara uppgifter och att inte korrigera dem på ett sådant sätt att ursprungsuppgifterna utplånas. Myndigheternas skyldighet att spara allmänna handlingar i arkiv innebär att en stor mängd personuppgifter bevaras för evigt. Frågan är hur arkivlagens krav på bevarande kan förenas med PUL:s krav på att uppgifter som inte längre behövs för sitt ändamål ska förstöras och att uppgifter ska vara riktiga och aktuella.

I förarbetena till PUL anfördes att de ändamål som bevarandet av myndighetsarkiven ska tillgodose kan hänföras till vad som i EG- direktivet kallas ”historiska, statistiska och vetenskapliga ändamål”.50 Det är således inte nödvändigt att myndigheterna redan när person- uppgifterna samlas in uttryckligen anger arkivering och bevarande som ett ändamål för behandlingen. Är en myndighets primära han- tering av uppgifterna tillåten, kan det inte anses oförenligt med den primära hanteringen att bevara uppgifterna. Det kan inte heller anses oförenligt med de ursprungligen angivna ändamålen att myndigheten efter en tid lämnar över sina handlingar till en arkivmyndighet för långtidsförvaring. Myndigheterna är rättsligt förpliktade att bevara allmänna handlingar och bevarandet är också en arbetsuppgift av allmänt intresse. Den behandling av icke känsliga personuppgifter som bevarandet utgör är således enligt propositionen tillåten enligt dataskyddsdirektivet. För myndigheternas bevarande av känsliga personuppgifter behövs det däremot ett undantag enligt artikel 8.4. I propositionen anförs att de svenska myndigheternas bevarande även av känsliga personuppgifter utgör ett sådant viktigt allmänt intresse som berättigar en medlemsstat att göra ett undantag. Detta undantag måste omfatta också den insamling och det långtidsbevarande av personuppgifter som sker vid de särskilda arkivmyndigheterna som tar emot arkivmaterial från myndigheter och enskilda.

Lagrådet uttalade att undantagen i fråga om bevarande och arkive- ring av allmänna handlingar endast var motiverade med hänsyn till undantagens betydelse för offentlighetsprincipen och drog slutsatsen att undantagen stred mot det övergripande syftet med direktivet. Regeringen ansåg dock att offentlighetsprincipen var förenlig med direktivet och att undantagen var av väsentlig betydelse för offent-

50 Prop. 1997/98:44 s. 47 f.

142

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

lighetsprincipen. Det ansågs dessutom att det var ett viktigt allmänt intresse i sig att de syften som ligger till grund för arkiven, och som redovisats ovan, kan tillgodoses.

Lagrådet har även i senare lagstiftningsärenden haft invändningar i fråga om bevarande av allmänna handlingar enligt arkivlagstift- ningen.51

Regeringens möjlighet att meddela föreskrifter om undantag

8 a § PUL bemyndigar regeringen att meddela föreskrifter om undan- tag från en rad bestämmelser i PUL om det är nödvändigt med hänsyn till vissa intressen, såsom rikets säkerhet, försvaret, allmän säkerhet och skyddet för fri- och rättigheter.

5.3.4.6Krav på behandlingen av personuppgifter

9 § PUL innehåller vissa grundläggande krav på behandlingen av personuppgifter. Bestämmelsen har följande lydelse.

9 §

Den personuppgiftsansvarige skall se till att

a.personuppgifter behandlas bara om det är lagligt,

b.personuppgifter alltid behandlas på ett korrekt sätt och i enlighet med god sed,

c.personuppgifter samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål,

d.personuppgifter inte behandlas för något ändamål som är oför- enligt med det för vilket uppgifterna samlades in,

e.de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen,

f.inte fler personuppgifter behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen,

g.de personuppgifter som behandlas är riktiga och, om det är nöd- vändigt, aktuella,

h.alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen, och

i.personuppgifter inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

I fråga om första stycket d gäller dock att en behandling av per- sonuppgifter för historiska, statistiska eller vetenskapliga ändamål inte

51 Prop. 1997/98:108 s. 126 f. och 59 f.

143

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

skall anses som oförenlig med de ändamål för vilka uppgifterna sam- lades in.

Personuppgifter får bevaras för historiska, statistiska eller veten- skapliga ändamål under längre tid än som sagts i första stycket i. Personuppgifterna får dock i sådana fall inte bevaras under en längre tid än vad som behövs för dessa ändamål.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får användas för att vidta åtgärder i fråga om den registrerade bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen.

Det är den personuppgiftsansvarige som ansvarar för att kraven är uppfyllda, även om den personuppgiftsansvarige anlitat ett person- uppgiftsbiträde eller utsett ett personuppgiftsombud. Uppfylls inte kraven är behandlingen olaglig. Bestämmelsen är tillämplig även om den registrerade gett sitt samtycke till att personuppgifter behandlas i strid med bestämmelsen. Den registrerades samtycke befriar alltså inte den personuppgiftsansvarige från att se till att kraven i bestäm- melsen är uppfyllda.

Enligt 9 § punkt a och b har den personuppgiftsansvarige ansvar för att personuppgifter endast behandlas om det är lagligt och alltid behandlas på ett korrekt sätt och i enlighet med god sed. När det är lagligt att behandla personuppgifter framgår av PUL, till exempel 10 och 13–20 §§, och anknytande lagstiftning.52 I vilka fall det är olagligt att behandla personuppgifter kan vidare framgå av annan lagstiftning, till exempel brottsbalken och marknadsföringslagen. Dessa rättskällor kan också ange riktlinjer för vad som är ett korrekt sätt att behandla personuppgifter. Vad som är god sed vid behand- ling av personuppgifter får avgöras i rättstillämpningen mot bakgrund av bland annat de mer preciserade föreskrifter som kan utfärdas med stöd av PUL, de branschregler på området som kan ha utarbetats av etablerade branschorganisationer eller andra representativa samman- slutningar och hur ansvarsfulla personuppgiftsansvariga som regel beter sig.53

En av de centrala bestämmelserna i PUL är 9 § punkt c, enligt vilken personuppgifter enbart får samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Bestämmelsen innebär att ända- målen med en behandling av personuppgifter måste bestämmas redan när uppgifterna samlas in.54 Ändamålen måste då anges uttryckligen.

52SOU 1997:39 s. 350.

53Prop. 1997/98:44 s. 143

54SOU 1997:39 s. 350, prop. 1997/98:44 s. 120 f.

144

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

Det finns inte något krav på att ändamålsangivelsen ska nedtecknas. Bestämmelserna i 23–25 §§ PUL om skyldigheten att lämna informa- tion till den registrerade när personuppgifterna samlas in medför emellertid ofta att ändamålen måste uppges redan när behandlingen påbörjas. Den personuppgiftsansvarige är vidare alltid skyldig att uppge ändamålen antingen i en anmälan till tillsynsmyndigheten (36 § PUL) eller till var och en som begär en sådan upplysning (42 § PUL). Om den personuppgiftsansvarige har anmält ett personuppgifts- ombud till Datainspektionen behöver den personuppgiftsansvarige inte göra en anmälan enligt 36 § PUL. Det följer dock av 39 § PUL att personuppgiftsombudet ska göra en förteckning över de behand- lingar som den personuppgiftsansvarige genomför och att förteck- ningen ska omfatta åtminstone de uppgifter som en anmälan enligt 36 § PUL skulle ha innehållit. Även här ska ändamålen med behand- lingen således anges. Ändamålen ska vidare anges i ett sådant besked som den personuppgiftsansvarige är skyldig att tillhandahålla den registrerade enligt 26 § PUL. Bestämmelsen medför en skyldighet för den personuppgiftsansvarige att en gång per år till den som an- söker om det lämna besked om personuppgifter som rör den sökande behandlas eller inte. Om uppgifter om den sökande behandlas ska beskedet, utöver ändamålet med behandlingen, innehålla bland annat uppgift om vilka uppgifter som behandlas och varifrån de hämtats.

Ändamålen ska vidare vara särskilda. Det innebär enligt förarbetena att en alltför allmänt hållen ändamålsangivelse inte godtas.55 Hur pass detaljerad ändamålsangivelsen ska vara för att uppfylla lagens krav på att vara särskild får emellertid avgöras i praxis. Enligt för- arbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten kan man när det gäller tolkningen av begreppet sär- skilda få viss ledning av kraven i artikel 6 i Dataskyddsdirektivet och 9 § punkten e och f i PUL att personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålet med behandlingen och att inte fler uppgifter får behandlas än som är nöd- vändigt med hänsyn till ändamålet med behandlingen.56 Om inte ändamålet har en viss grad av precision kan det vara svårt att avgöra om personuppgifterna är adekvata och relevanta eller om för många personuppgifter behandlas. Kan man inte avgöra vilka personupp- gifter som behövs för att ändamålet ska kunna uppfyllas är ända- målet inte särskilt utan allmänt. Det är möjligt att ange flera ända-

55Ibid.

56SOU 1999:109 s. 156.

145

Rättsliga förutsättningar för registerbaserad forskning

SOU 2014:45

mål när uppgifterna samlas in, även om de olika ändamålen inte är förenliga med varandra.

De ändamål som personuppgifterna ska samlas in för ska också vara berättigade. I vilka fall det är berättigat att samla in och behandla personuppgifter framgår av PUL och anknytande lagstiftning. Det anförs i förarbetena att det är osäkert om bestämmelsen om berät- tigade ändamål har någon självständig betydelse.57 Den har dock tagits med i den svenska lagen för säkerhets och fullständighets skull.

Enligt 9 § punkt d får personuppgifter inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Denna så kallade finalitetsprincip är av central betydelse vid be- handling av personuppgifter. Den innebär att det, när behandling för nya ändamål ska ske, måste göras en prövning av om dessa ända- mål är oförenliga med de ursprungligen angivna. Bestämmelsen gör det extra viktigt att tänka efter före och vid insamlingen av upp- gifterna ange alla de ändamål för vilka man kan tänkas behöva använda de insamlade uppgifterna.58 Vad som är oförenligt med de ursprung- liga ändamålen får enligt förarbetena bestämmas genom praxis och kompletterande föreskrifter.59 Det bör dock finnas ett visst spelrum vid tolkningen av begreppet oförenligt.60 Senare behandling behöver alltså inte direkt motsvaras av ett från början angivet ändamål.

Det anges inte i förarbetena till PUL vad som ska beaktas vid prövningen av om de nya ändamålen är oförenliga med ursprung- ligen bestämda. I förarbetena till lagen (2001:454) om behandling av personuppgifter inom socialtjänsten uttalades följande.

Enligt utredningens uppfattning bör man vid denna ”oförenlighets- prövning”, hypotetiskt utgå från hur en registrerad typiskt sett (inte den registrerade i det enskilda fallet) skulle se på saken. Kommer man vid en sådan bedömning fram till att den registrerade rimligen har att räkna med att de insamlade personuppgifterna också får behandlas för det nya ändamålet, kan det nya ändamålet inte anses vara oförenligt med det ursprungliga ändamålet. Detta är, menar utredningen, en rimlig utgångspunkt med tanke på syftet bakom EG-direktivet, dvs. att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatlivet, i samband med behandling av personuppgifter. Vid sådant förhållande blir det fråga om en restriktiv tillämpning av bestämmelsen i 9 § första stycket d personuppgiftslagen och utrymmet för att be-

57SOU 1997:39 s. 350.

58Öman, S. och Lindblom, H.-O., Personuppgiftslagen En kommentar, 4 uppl., 2011, s. 203.

59SOU 1997:39 s. 351.

60SOU 1999:105 s. 253.

146

SOU 2014:45

Rättsliga förutsättningar för registerbaserad forskning

handla redan insamlade personuppgifter för andra ändamål blir följakt- ligen litet.61

Behandlingen av personuppgifterna för de nya ändamålen måste, liksom behandlingen för de ursprungliga, vara tillåten enligt 10 § och, om det rör sig om känsliga personuppgifter, dessutom enligt 13–20 §§.62 Det krävs inte i sig att den registrerade samtycker till behandlingen för de nya ändamålen eller att ny information till de registrerade lämnas enligt bestämmelserna i 23–25 §§.

Även ett utlämnande av personuppgifter till någon annan är en typ av behandling och måste vara förenligt med de ursprungliga ända- målen. Den som utlämnar personuppgifterna måste beakta vad den som vill ha ut uppgifterna ska använda dem till och jämföra den till- tänkta användningen med de ursprungliga ändamålen. Det är därför inte möjligt att kringgå finalitetsprincipen genom att en personupp- giftsansvarig lämnar ut uppgifterna till någon annan, som vid sin insamling bestämmer ändamål som är oförenliga med de ursprung- liga.63 Det bör dock noteras att den som fått ut uppgifterna inte är bunden av de ändamål som den utlämnande personuppgiftsansva- rige bestämt utan bara av de ändamål som han eller hon själv har bestämt för sin behandling innan de begärdes ut.

Finalitetsprincipen har också betydelse för möjligheten att sam- bearbeta uppgifter. Med sambearbetning av uppgifter avses maskinell bearbetning av uppgifter i ett personregister tillsammans med upp- gifter i ett annat personregister hos den registeransvarige eller hos annan registeransvarig.64 PUL innehåller inte något uttryckligt förbud mot sambearbetning av uppgifter. Däremot begränsar bestämmelsen i praktiken möjligheten till sambearbetning, eftersom en uppgift inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in. Ändamålsbestämmelsen anger således inte bara ramen för vilka uppgifter som får behandlas utan också när sambearbetning av uppgifter får ske.65

Artikel 29-gruppen66 har i april 2013 gett ut en rapport avseende ändamålsprincipen (the principle of purpose limitiation), det vill

61SOU 1999:109 s. 160.

62SOU 1997:39 s. 351.

63Ibid.

64Prop. 2002/03:135 s. 58 f.

65Prop. 2000/01:126 s. 33 f. och 59 f, prop. 2001/02:144 s. 41, prop. 2004/05:70 s. 75.

66Artikel 29-gruppen (Article 29 Working Party on Data Protection) består av en företrä- dare för varje nationell tillsynsmyndighet i EU-medlemsstaterna, en företrädare för EU- kommissionen samt den europeiske datatillsynsmannen. Gruppen har bildats för att data- skyddsdirektivet ska tillämpas på ett enhetligt sätt i medlemsstaterna och har fått sitt namn av artikel 29 i dataskyddsdirektivet. I artikel 30 finns bestämmelser om gruppens uppgifter.

147