Vidareanvändning av hälsodata för vård och klinisk forskning

Del 1

Betänkande av Utredningen om sekundäranvändning av hälsodata

Stockholm 2023

SOU 2023:76

SOU och Ds finns på regeringen.se under Rättsliga dokument.

Svara på remiss – hur och varför

Statsrådsberedningen, SB PM 2021:1.

Information för dem som ska svara på remiss finns tillgänglig på regeringen.se/remisser.

Layout: Kommittéservice, Regeringskansliet

Omslag: Elanders Sverige AB

Tryck och remisshantering: Elanders Sverige AB, Stockholm 2023

ISBN 978-91-525-0768-1 (tryck)

ISBN 978-91-525-0769-8 (pdf)

ISSN 0375-250X

Till statsrådet och chefen för Socialdepartementet Jakob Forssmed

Regeringen tillsatte den 12 maj 2022 en särskild utredare med uppdrag att analysera och lämna förslag på utökade möjligheter för sekundär- användning av hälsodata. I uppdraget har också ingått att redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkommer under utred- ningens gång.

Som särskild utredare förordnades från och med den 12 maj 2022 juristen Katarina Nyström. Utredningen har antagit namnet Utred- ningen om sekundäranvändning av hälsodata.

Som sakkunniga till utredningen förordnades den 19 september 2022 departementssekreterare Evelina Björkegren, Socialdepartementet, Pontus Holm, Näringsdepartementet, och Katarina Nordqvist, Utbild- ningsdepartementet samt ämnesrådet Magnus Enzell.

Som experter till utredningen förordnades den 19 september 2022 vetenskaplig sekreterare Lena Almqvist, Etikprövningsmyndigheten, forskningssekreteraren Sara Belfrage, Stockholms universitet, data- skyddsexperten Per Bergstrand, Vetenskapsrådet, hälsoinformatikern Daniel Karlsson, Socialstyrelsen, enhetschefen Laurent Saunier, Vinnova och enhetschefen Michel Silvestri, E-hälsomyndigheten. Den 20 december 2022 entledigades hälsoinformatikern Daniel Karlsson, Socialstyrelsen som expert. Samma datum förordnades e-hälsostrategen Lotti Barlow, Socialstyrelsen som expert. Den 22 feb- ruari 2022 förordnades områdeschefen Jon Dutrieux, Försäkrings- kassan och handläggaren Petra Hasselqvist, Sveriges kommuner och regioner som experter. Den 26 maj 2023 entledigades områdeschefen Jon Dutrieux, Försäkringskassan som expert. Den 26 maj 2023 förord- nades områdeschefen Ulrika Eriksson, Försäkringskassan som expert.

Utredningens expertgrupp har under utredningsarbetet bidragit med värdefulla och konstruktiva synpunkter och underlag. När be- greppet utredningen används i betänkandet avses den särskilda utre- daren samt sekretariatet. Den särskilda utredaren svarar ensam för innehållet i betänkandet.

Som huvudsekreterare i utredningen anställdes från och med den

13 juni 2022 departementssekreteraren Carl Nilsson. Som sekreterare anställdes från och med den 15 augusti 2022 sjukhusjuristen Anna Hofling Johansson och juristen Laura Eriksson. Den rättsliga experten Ida Frithiof arbetade som sekreterare i utredningen från och med 13 juni 2022 till och med den 30 juni 2023. Regionjuristen Amanda Carlström arbetade som sekreterare i utredningen från och med den 1 mars 2023 till och med den 22 oktober 2023.

Tack till alla aktörer som lagt ner tid och engagemang i utredningen. Tack till Sara Belfrage, Manólis Nymark och Andrea Hemming för era bidrag. Särskilt tack till Linda Larsson för din värdefulla insats. Särskilt tack också till Genomic Medicine Sweden, Karolinska Institutet, Region Stockholm, Västra Götalandsregionen och Göteborgs universitet för den kunskap ni delat med er av till utredningen.

I och med detta betänkande är uppdraget avslutat. Utredningen överlämnar härmed Betänkandet om vidareanvändning av hälsodata för vård och klinisk forskning.

Stockholm i november 2023

Katarina Nyström

/Carl Nilsson

Amanda Carlström

Anna Hofling Johansson

Ida Frithiof

Laura Eriksson

Innehåll

Del 1

 

 

Förkortningar.....................................................................

31

Sammanfattning ................................................................

35

1

Författningsförslag.....................................................

45

1.1Förslag till lag (0000:00) om viss vidareanvändning

av personuppgifter för klinisk forskning ...............................

45

1.2 Förslag till lag om ändring i patientdatalagen (2008:355) ......

52

1.3Förslag till lag om ändring i offentlighets-

och sekretesslagen (2009:400)................................................

64

1.4 Förslag till förordning om vidareanvändning

 

av patientdata i precisionsmedicinsk databas (0000:00) .......

71

1.5Förslag till förordning om ändring

 

i patientdataförordningen (2008:360)

.................................... 74

2

Utredningens uppdrag och arbete................................

75

2.1

Inledning..................................................................................

75

2.2

Övergripande om uppdraget ..................................................

75

2.3Tolkning av uppdraget om att skapa förutsättningar för

sekundäranvändning av hälsodata för patientändamål..........

77

2.4Tolkning av uppdraget att lämna förslag som möjliggör

utökad sekundäranvändning av hälsodata .............................

78

2.4.1

Forskning .................................................................

80

 

 

5

Innehåll

SOU 2023:76

2.4.2

Utveckling och innovation .....................................

81

2.4.3

Utbildning på akademisk nivå ................................

82

2.4.4

Myndigheters beslutsfattande ................................

83

2.4.5

Frågan om inrättande av en nationell datahubb ....

84

2.5 Tolkning av uppdraget att redogöra

 

för tillämpningssvårigheter gällande befintlig reglering.......

86

2.6Begrepp som påverkar tolkningar och avgränsningar

av uppdraget............................................................................

87

2.6.1

Definition av hälso- och sjukvården ......................

87

2.6.2

Begreppet hälsodata ................................................

89

2.6.3

Begreppet patientdata .............................................

94

2.6.4Primär- och sekundäranvändning

i rättsliga sammanhang............................................

96

2.6.5Vidareanvändning i stället

 

för sekundäranvändning .........................................

99

2.6.6

Den enskildes inställning......................................

101

2.6.7

Datahållare och dataanvändare .............................

103

2.7 Utredningens avgränsning av uppdraget.............................

104

2.7.1

Avgränsningar som följer av direktiven...............

104

2.7.2

Avgränsningar som utredningen har gjort ..........

105

2.7.3Utredningens förslag avser vidareanvändning av personuppgifter som finns inom hälso-

och sjukvården.......................................................

107

2.7.4Avgränsningar avseende vidareanvändning

för vårdändamål .....................................................

109

2.7.5Avgränsningar avseende vidareanvändning

för forskning..........................................................

110

2.7.6Avgränsningar avseende vidareanvändning

för utveckling och innovation ..............................

112

2.7.7Avgränsningar avseende undervisning

på akademisk nivå..................................................

113

2.7.8Avgränsningar avseende statliga, regionala

och kommunala myndigheters beslutsfattande... 114

2.8 Aktörer som omfattas av utredningens förslag ..................

114

2.8.1

Vidareanvändning för vårdändamål......................

115

2.8.2

Vidareanvändning för klinisk forskning ..............

116

6

SOU 2023:76

Innehåll

2.9Utredningens uppdrag i förhållande

 

till andra utredningar.............................................................

117

2.10

Utredningens arbete .............................................................

117

2.11

Betänkandets disposition......................................................

118

BAKGRUND

....................................................................

119

3

Vad är data och datadelning?....................................

121

3.1

Inledning................................................................................

121

3.2

Vad är data? ...........................................................................

122

 

3.2.1

Olika typer av data ................................................

123

 

3.2.2

Ostrukturerade data ..............................................

124

 

3.2.3

Strukturerade och standardiserade data ...............

126

 

3.2.4

Aggregerade data ...................................................

127

 

3.2.5

Övriga datatyper....................................................

127

 

3.2.6

Kvalitativ metod och data .....................................

129

 

3.2.7

Kvantitativ metod och data...................................

129

 

3.2.8

Real world data ......................................................

130

 

3.2.9

Realtidsdata ............................................................

130

 

3.2.10

Metadata.................................................................

131

3.3

Behandling, lagring, och strukturering av data ...................

132

 

3.3.1

Datapunkt ..............................................................

133

 

3.3.2

Variabel...................................................................

134

 

3.3.3

Nyckel ....................................................................

134

 

3.3.4

Rad, post eller observation....................................

134

 

3.3.5

Dataset ...................................................................

135

 

3.3.6

Databas...................................................................

135

 

3.3.7

Register ..................................................................

135

 

3.3.8

Datalager ................................................................

137

 

3.3.9

Stordata ..................................................................

138

 

3.3.10

Datasjö ...................................................................

138

 

3.3.11

Poolade data...........................................................

139

 

3.3.12

FAIR ......................................................................

140

3.4

Vad är datadelning?...............................................................

140

 

3.4.1

Tillgängliggörande av data.....................................

141

 

3.4.2

Juridiska begrepp som kopplar till datadelning ...

142

7

Innehåll

SOU 2023:76

3.5 Data som utgör personuppgifter .........................................

144

3.5.1

Personuppgifter.....................................................

144

3.5.2

Känsliga personuppgifter......................................

145

3.5.3

Uppgifter om hälsa ...............................................

145

3.5.4

Genetiska uppgifter...............................................

145

3.5.5Uppgift om en enskilds hälsotillstånd

eller andra personliga förhållanden ......................

146

3.5.6När övergår personuppgifter till att inte längre

 

 

vara personuppgifter?............................................

146

3.6

Skyddsåtgärder......................................................................

149

 

3.6.1

Generalisering av data ...........................................

149

 

3.6.2

Säkra behandlingsmiljöer......................................

154

 

3.6.3

Syntetiska data.......................................................

155

 

3.6.4

Federerade analyser...............................................

156

4

Initiativ inom EU på hälsodataområdet.......................

159

4.1

Inledning ...............................................................................

159

4.2

En europeisk dataekonomi...................................................

160

4.2.1Kommissionens meddelande om att skapa

 

 

en europeisk dataekonomi ....................................

160

 

4.2.2

EU:s dataskyddsförordning .................................

161

 

4.2.3

EU:s datastrategi och dataområde .......................

162

 

4.2.4

Den digitala kompassen ........................................

162

 

4.2.5

Förslaget till AI-förordningen .............................

164

 

4.2.6

EU:s dataförvaltningsförordning .........................

165

 

4.2.7

Förslaget till dataförordningen ............................

166

 

4.2.8

Förslaget till EHDS ..............................................

167

5

Hälso- och sjukvård..................................................

169

5.1

Inledning ...............................................................................

169

5.2

Hälsa och tillgång till sjukvård som mänsklig rättighet .....

170

5.3

Mål och principer för hälso- och sjukvården ......................

171

 

5.3.1

God vård ................................................................

172

5.3.2Säker vård och hälso- och sjukvårdspersonalens

allmänna skyldigheter ...........................................

174

8

SOU 2023:76

Innehåll

5.4

Hälso- och sjukvårdens skyldigheter

 

 

från ett patientperspektiv......................................................

174

5.5

Utveckling och säkring av verksamhetens kvalitet .............

175

5.6Ansvaret för hälso- och sjukvården och övergripande

om dess organisation ............................................................

177

5.6.1

Staten......................................................................

177

5.6.2

Regionerna och kommunerna...............................

178

5.6.3

Privata aktörer som vårdgivare .............................

180

5.7 Speciallagstiftning på hälso- och sjukvårdsområdet ...........

180

5.7.1

Biobankslagen ........................................................

181

5.7.2Lagen om psykiatrisk tvångsvård och lagen

 

 

om rättspsykiatrisk vård........................................

183

 

5.7.3

Smittskyddslagen...................................................

184

 

5.7.4

Lagen om genetisk integritet ................................

186

6

Forskning ...............................................................

189

6.1

Inledning................................................................................

189

6.2

Begrepp inom medicinsk forskning.....................................

190

 

6.2.1

Forskningsbegrepp i lagstiftningen ......................

192

6.3

Ansvaret för forskning .........................................................

195

 

6.3.1

Statens ansvar.........................................................

195

 

6.3.2

Regionernas och kommunernas ansvar ................

196

 

6.3.3

Övriga aktörer .......................................................

197

6.4

Regler vid klinisk forskning..................................................

198

 

6.4.1

Inledning ................................................................

198

 

6.4.2

Internationellt........................................................

198

6.4.3Lag om ansvar för god forskningssed

 

och prövning av oredlighet i forskning ................

199

6.4.4

Lag om etikprövning av forskning

 

 

som avser människor .............................................

200

6.4.5EU-förordningen om kliniska prövningar

av humanläkemedel................................................

204

6.4.6EU-förordningarna om medicintekniska

produkter ...............................................................

207

9

Innehåll

SOU 2023:76

7

Dataskydd...............................................................

211

7.1

Generella regler om behandling av personuppgifter ..........

211

 

7.1.1

Inledning................................................................

211

7.1.2Integritetsskydd som en grundläggande

 

mänsklig rättighet..................................................

212

7.1.3

Allmänt om EU:s dataskyddsförordning ............

218

7.2 Dataskyddsförordningens grundläggande principer.............

224

7.2.1

Inledning................................................................

224

7.2.2

Särskilt om principen om uppgiftsminimering ...

225

7.2.3

Särskilt om principen ändamålsbegränsning .......

225

7.2.4Särskilt om finalitetsprincipen

och dess undantag .................................................

226

7.3Dataskyddsförordningens rättsliga grunder

 

för behandling av personuppgifter ......................................

226

 

7.3.1

Särskilt om samtycke ............................................

228

 

7.3.2

Särskilt om rättslig förpliktelse ............................

229

 

7.3.3

Särskilt om uppgift av allmänt intresse................

229

7.4

Dataskyddslagen...................................................................

231

7.5

Patientdatalagen....................................................................

231

 

7.5.1

Inledning................................................................

231

 

7.5.2

Patientdatalagens syfte och tillämpningsområde...

232

 

7.5.3

Personuppgiftsansvar............................................

233

 

7.5.4

Tillåtna ändamål ....................................................

234

 

7.5.5

Inre sekretess och behörighetsregler ...................

238

 

7.5.6

Olika former för elektroniska utlämnanden .......

240

 

7.5.7

Kort om kvalitetsregister......................................

243

7.5.8Den enskildes inställning i förhållande

 

till behandling av personuppgifter inom

 

 

hälso- och sjukvården ...........................................

244

7.5.9

Kort om journalföring ..........................................

245

7.6 Lag om sammanhållen vård- och omsorgsdokumentation ..

246

7.6.1

Inledning................................................................

246

7.6.2

Kort om förutsättningarna för

 

 

tillgängliggörande och åtkomst ............................

247

7.6.3Kort om säkerhetsåtgärderna och andra

integritetsstärkande åtgärder ................................

249

10

SOU 2023:76

 

Innehåll

7.7 Regler om dataskydd inom forskning .................................

250

7.7.1

Inledning ................................................................

250

7.7.2

Termen forskningsändamål...................................

250

7.7.3

Ändamålsbegränsning och forskningsundantaget...

251

7.7.4

Rättslig grund ........................................................

251

7.7.5Behandling av känsliga personuppgifter

 

 

och särskilda skyddsåtgärder.................................

252

 

7.7.6

Undantag från vissa rättigheter ............................

254

8

Offentlighet, sekretess och tystnadsplikt ....................

257

8.1

Inledning................................................................................

257

8.2

Offentlighetsprincipen .........................................................

258

 

8.2.1

Rätten att ta del av allmänna handlingar ..............

258

 

8.2.2

Vad som är en allmän handling .............................

259

8.2.3Begränsningar i rätten att ta del av allmänna

 

handlingar ...............................................................

261

8.2.4

Utlämnande av allmänna handlingar ....................

261

8.3 Offentlighets- och sekretesslagen........................................

261

8.3.1

Allmänt om sekretess ............................................

262

8.3.2

Behandling i strid med dataskyddsregleringen ....

269

8.3.3Sekretess i verksamhet som avser

 

hälso- och sjukvård med mera...............................

270

8.3.4

Sekretess inom forskning......................................

274

8.3.5

Överföring av sekretess i forskningsverksamhet...

277

8.4Tystnadsplikt för personal inom den enskilda

 

hälso- och sjukvården ...........................................................

278

8.5

Brott mot tystnadsplikten ....................................................

279

9

Övrig lagstiftning .....................................................

281

9.1

Inledning................................................................................

281

9.2

Dataförvaltningsförordningen .............................................

281

9.3

Nationell lagstiftning om bevarande och gallring...............

285

11

Innehåll

SOU 2023:76

ANALYS, ÖVERVÄGANDEN OCH FÖRSLAG .......................

287

10

Internationell jämförelse...........................................

289

10.1

Inledning ...............................................................................

289

10.2

Allmänna utgångspunkter....................................................

290

10.3

Bedömning av Sveriges position i förhållande

 

 

till relevanta jämförelseländer ..............................................

291

 

10.3.1

OECD ...................................................................

294

 

10.3.2

EU ..........................................................................

294

 

10.3.3

Global digital health partnership..........................

295

 

10.3.4

TEHDAS...............................................................

295

 

10.3.5

Myndighetsrapporter ............................................

296

 

10.3.6

Estland ...................................................................

302

 

10.3.7

Danmark ................................................................

303

 

10.3.8

Norge .....................................................................

305

 

10.3.9

Tyskland ................................................................

306

 

10.3.10

Storbritannien........................................................

307

 

10.3.11

Frankrike ...............................................................

310

10.4

Särskilt om Finland och Findata..........................................

311

 

10.4.1

Den finska sekundäranvändningslagen,

 

 

 

Findata och Finlands nationella datahubb ...........

312

 

10.4.2

När får sekundäranvändning ske? ........................

313

 

10.4.3

Rättslig grund enligt dataskyddsförordningen....

313

 

10.4.4

Hur den finska datahubben fungerar i praktiken ..

314

 

10.4.5

För- och nackdelar med den finska

 

 

 

sekundäranvändningslagen ...................................

315

10.5

Sammanfattning....................................................................

316

10.6

Avslutande kommentarer.....................................................

317

 

10.6.1

Scenario 1 – Utvecklingstakten ligger

 

 

 

kvar oförändrat eller försämras ............................

320

10.6.2Scenario 2 – Utvecklingstakten ökar

till att matcha föregångsländerna..........................

321

10.6.3 Scenario 3 – Utvecklingstakten ökar

 

till en nivå där Sverige kommer i kapp eller

 

går om föregångsländerna.....................................

322

12

SOU 2023:76Innehåll

11

Övergripande beskrivning av utmaningar

 

 

och behov på hälsodataområdet .................................

323

11.1

Inledning................................................................................

323

11.2

Regelverken upplevs som svåra att tillämpa ........................

324

 

11.2.1 Utmaningar kopplat till begreppen

 

 

 

primär- och sekundäranvändning .........................

325

 

11.2.2 Utlämnande av hälsodata varierar inom

 

 

 

och mellan organisationer .....................................

326

11.3

Utmaningar med omställningen till en mer datadriven

 

 

hälso- och sjukvård ...............................................................

327

 

11.3.1 Digital infrastruktur för hälsodata .......................

327

 

11.3.2

Automatiserad datainsamling ...............................

331

 

11.3.3 Datamängderna fortsätter att växa .......................

332

 

11.3.4 En uppgift en gång ................................................

334

 

11.3.5 Kompetensbristen är en stor utmaning

 

 

 

i omställningsarbetet .............................................

335

 

11.3.6 Datakvalitet och tillgång till data..........................

335

 

11.3.7 Behovet av direkt identifierbara individdata ........

341

 

11.3.8 Tillit är en grundförutsättning för att kunna

 

 

 

dela data..................................................................

342

11.4

Nya förutsättningar på hälsodataområdet...........................

343

 

11.4.1

Precisionsmedicin..................................................

344

 

11.4.2 Ökad reglering ökar behovet av data....................

348

 

11.4.3 Hälsodata som krävs för att hantera kriser ..........

348

11.5

Övriga utmaningar som följer av den tekniska

 

 

utvecklingen ..........................................................................

349

 

11.5.1

AI............................................................................

349

 

11.5.2

Datautvinning ........................................................

349

12

Problemanalys kopplad till utredningens

 

 

författningsförslag ...................................................

351

12.1

Inledning................................................................................

351

12.2

Vidareanvändning för vårdändamål .....................................

352

 

12.2.1

Inledning ................................................................

352

 

12.2.2

Juridiska förutsättningar .......................................

353

13

Innehåll

SOU 2023:76

12.3

Vidareanvändning för klinisk forskning .............................

358

 

12.3.1

Inledning................................................................

358

 

12.3.2

Juridiska förutsättningar.......................................

359

13

Reglering av vidareanvändning för vårdändamål

 

 

– utgångspunkter och inriktning ................................

365

13.1

Inledning ...............................................................................

365

13.2

Att hitta relevant hälsodata för vårdändamål......................

366

 

13.2.1 Om sökning och utfall..........................................

367

 

13.2.2

Gränsen mot forskning.........................................

370

 

13.2.3 Övergripande om etiska aspekter.........................

372

 

13.2.4 Den praktiska gången vid sökning

 

 

 

för vårdändamål.....................................................

373

13.3

Valet av databas som nav för vidareanvändningen..............

377

 

13.3.1 Hur behöver sökning kunna utföras

 

 

 

för att möta behoven? ...........................................

377

 

13.3.2 Sökning i befintliga informationsmängder ..........

378

 

13.3.3

Nya uppgiftssamlingar..........................................

381

 

13.3.4 Vad som menas med ”databas”.............................

382

13.3.5Databas som begrepp för den nya samlingen

av personuppgifter.................................................

383

13.4 Den övergripande modellen.................................................

385

13.4.1 Urval och tillgängliggörande till

 

precisionsmedicinsk databas (steg 1)...................

386

13.4.2Inrättande och förande av precisionsmedicinsk

databas (steg 2)......................................................

386

13.4.3 Tillgång till personuppgifter

 

i precisionsmedicinsk databas

 

för sökning (steg 3)...............................................

387

13.4.4Begäran om kompletterande personuppgifter

 

från patientjournal (steg 4)...................................

387

13.5 Hur bör en precisionsmedicinsk databas få inrättas? .........

388

13.5.1

Aspekter på inrättandet av en databas

 

 

för vidareanvändning för vårdändamål.................

388

13.5.2

Olika sätt att reglera inrättandet av databaser.....

391

14

SOU 2023:76

Innehåll

13.5.3Precisionsmedicinska databaser bör regleras

i författning och begränsas i antal.........................

394

13.6 Skyldighet eller frivillighet?..................................................

398

13.6.1 Övergripande skäl för frivillighet .........................

399

13.6.2Kostnader och finansieringsprincipen i relation

till de precisionsmedicinska databaserna ..............

400

13.7 Reglering av vidareanvändning för vårdändamål.................

403

13.7.1På vilken normgivningsnivå ska regleringen ske? ... 404

13.7.2Reglerna ska föras in i patientdatalagen

 

 

och en ny kompletterande förordning .................

411

 

13.7.3 Förhållandet till European Health Data Space ....

413

13.8

Behovet av en ny ändamålsbestämmelse .............................

415

 

13.8.1

Befintliga ändamålsbestämmelser

 

 

 

i patientdatalagen ...................................................

415

 

13.8.2

Finalitetsprincipen.................................................

419

 

13.8.3 Samtycke enligt 2 kap. 3 § patientdatalagen ........

423

 

13.8.4 Närmre om uppdelningen i primära och

 

 

 

sekundära ändamål och EHDS förslag rörande

 

 

 

”personlig hälso- och sjukvård” ............................

424

 

13.8.5

Sammanvägd bedömning ......................................

425

13.9

Behovet av nya befogenhetsbestämmelser ..........................

426

14

Nya regler om vidareanvändning

 

 

av personuppgifter för vårdändamål............................

431

14.1

Inledning................................................................................

431

14.2

Precisionsmedicinsk databas ................................................

432

 

14.2.1 Syftet med en precisionsmedicinsk databas .........

433

14.3

Rättslig grund och stöd för behandling

 

 

av känsliga personuppgifter ..................................................

434

 

14.3.1 Om den rättsliga grunden uppgift av allmänt

 

 

 

intresse och hälso- och sjukvård ...........................

435

 

14.3.2 Kraven på den rättsliga grunden ...........................

436

 

14.3.3 Rättsligt stöd för behandling

 

 

 

av känsliga personuppgifter...................................

437

15

Innehåll

SOU 2023:76

14.4 Ett nytt ändamål för personuppgiftsbehandling för vården

 

av en annan patient än den som personuppgifterna avser .....

439

14.4.1

En ny ändamålsbestämmelse ................................

439

14.4.2

Vidareanvändning av personuppgifter

 

 

som behandlas enligt 2 kap. 4 § första

 

 

stycket 1 och 2 patientdatalagen...........................

442

14.4.3

Begränsning av finalitetsprincipen .......................

444

14.4.4Uppgiftsskyldighet som följer av lag

eller förordning .....................................................

446

14.4.5Tillåten behandling av personuppgifter

 

för ändamålet vården av en annan patient

 

 

än den som uppgifterna avser ska preciseras .......

447

14.4.6

Skyldighet att dokumentera

 

 

att vidareanvändning har skett .............................

453

14.4.7 Information enligt 8 kap. 5 § patientdatalagen....

454

14.4.8

Undantag från ändamålet .....................................

458

14.4.9

Inre sekretess.........................................................

463

14.5 Personuppgiftsansvar ...........................................................

463

14.5.1

Allmänt om personuppgiftsansvar .......................

464

14.5.2Personuppgiftsansvar för central behandling

 

i en precisionsmedicinsk databas..........................

465

14.5.3

Personuppgiftsansvar i övrigt...............................

469

14.5.4

Generella krav på informationssäkerhet ..............

469

14.6 Urval och tillgängliggörande av personuppgifter

 

till precisionsmedicinsk databas ..........................................

471

14.6.1Alla vårdgivare omfattas av möjligheten till urval och tillgängliggörande till precisionsmedicinsk

 

databas....................................................................

471

14.6.2

Urval och tillgängliggörande ................................

474

14.6.3

Vilka uppgifter ska omfattas?...............................

480

14.6.4Vilken eller vilka precisionsmedicinska

 

databaser som tillgängliggörande får göras till ....

486

14.6.5

Pseudonymisering eller annat likvärdigt skydd...

491

14.6.6

Behörighet, befogenhet och kontroll...................

494

16

SOU 2023:76Innehåll

14.7 Inrättande och förande av precisionsmedicinsk databas .... 498

14.7.1Behovet av en generell bestämmelse om inrättande och förande av precisionsmedicinsk

 

databas ....................................................................

498

14.7.2

Regional myndighet inom hälso- och sjukvården...

500

14.7.3

Den Nationella Genomikplattformen

 

 

och precisionsmedicinsk databas

 

 

i varje samverkansregion .......................................

504

14.7.4Tillåten behandling av personuppgifter

i precisionsmedicinsk databas ...............................

511

14.7.5Behörighet, befogenhet och kontroll hos myndigheten som för precisionsmedicinsk

databas ....................................................................

512

14.7.6Uppgifter i en precisionsmedicinsk databas

kan vara allmänna handlingar ................................

515

14.8 Tillgång till personuppgifter i precisionsmedicinsk databas... 517

14.8.1Behoven av tillgång till personuppgifter

i databasen ..............................................................

518

14.8.2 Tillgång till personuppgifter genom

 

direktåtkomst eller annat elektroniskt

 

utlämnande.............................................................

520

14.8.3Till vilken eller vilka precisionsmedicinska

databaser ska tillgång ges?.....................................

523

14.8.4Behörighet för tillgång till precisionsmedicinsk

databas ....................................................................

524

14.8.5Villkor för behandling av personuppgifter

 

i precisionsmedicinsk databas och inre sekretess...

532

14.8.6

Sökbegrepp.............................................................

538

14.8.7 Hantering av tillgängliggjorda uppgifter

 

 

vid patientjournalföring ........................................

538

14.9 Begäran om kompletterande personuppgifter

 

från patientjournal ................................................................

540

14.9.1 Begäran om kompletterande personuppgifter .....

542

14.9.2

Tillgängliggörande av kompletterande

 

 

personuppgifter .....................................................

546

14.9.3 Behandling av mottagna personuppgifter ............

549

14.9.4 Pseudonymisering eller annat likvärdigt skydd ...

549

14.9.5 Behörighet, befogenhet och kontroll ...................

552

17

Innehåll

SOU 2023:76

14.10 Betydelsen av den enskildes inställning

 

till personuppgiftsbehandlingen ..........................................

555

14.10.1 Den enskildes inställnings betydelse

 

för integritetsskyddet............................................

555

14.10.2 Former för frivillig medverkan.............................

556

14.10.3 Rättsläget för frivillig medverkan

 

vid personuppgiftsbehandling inom

 

hälso- och sjukvården ...........................................

557

14.10.4 Hur skulle den enskildes inställning

 

till personuppgiftsbehandling kunna

 

tillmätas betydelse? ...............................................

558

14.10.5 Möjlighet att motsätta sig urval och

 

tillgängliggörande till precisionsmedicinsk

 

databas....................................................................

562

14.10.6 Barn och deras vårdnadshavare.............................

565

14.10.7 Personer som inte endast tillfälligt

 

saknar förmåga att ta ställning..............................

569

14.10.8 Information om möjligheten att motsätta sig

 

tillgängliggörande till en precisionsmedicinsk

 

databas....................................................................

571

14.11 Bevarande och gallring .........................................................

572

14.11.1 Gallring i precisionsmedicinsk databas................

573

14.11.2 Ansvar för bevarande när handlingar

 

är tillgängliga för flera myndigheter .....................

577

14.12 Ytterligare föreskrifter om precisionsmedicinska

 

databaser och bemyndiganden .............................................

579

14.12.1 Ytterligare föreskrifter i förordning

 

om precisionsmedicinsk databas ..........................

579

14.12.2 Bemyndigande till Socialstyrelsen avseende

 

närmare föreskrifter om tilldelning

 

av behörighet till precisionsmedicinsk databas ...

581

14.12.3 Eventuella ytterligare ändringar i

 

HSLF-FS 2016:40..................................................

581

14.13 Följdändringar ......................................................................

582

14.14 Ikraftträdande och övergångsbestämmelser .......................

584

18

SOU 2023:76Innehåll

14.15

En avvägning mellan behov och risker avseende

 

 

förslagen på ändringar i patientdatalagen.............................

585

 

14.15.1

Inledning ................................................................

585

 

14.15.2

Sammanfattning av behoven .................................

586

 

14.15.3 Specifika integritetsrisker med förslaget om

 

 

 

inrättande av precisionsmedicinska databaser .....

588

 

14.15.4

Föreslagna integritetsstärkande åtgärder .............

593

 

14.15.5

Den sammanvägda bedömningen

 

 

 

av behoven och riskerna ........................................

596

 

14.15.6

Reglering i lag ........................................................

604

15

Reglering av vidareanvändning för forskningsändamål

 

 

– utgångspunkter och inriktning................................

605

15.1

Inledning................................................................................

605

15.2

Olika typer av författningsförslag .......................................

606

15.2.1Fristående ändring i offentlighets-

och sekretesslagen .................................................

606

15.2.2Införande av forskning som ändamål

 

i patientdatalagen ...................................................

608

15.2.3

Pseudonymisering som skyddsåtgärd ..................

609

15.3 Förenklad tillgång till personuppgifter

 

för klinisk forskning .............................................................

611

15.3.1 Befintliga regler avseende formerna

 

 

för utlämnande.......................................................

611

15.3.2 Behovet av nya regler om tillgängliggörande .......

612

15.3.3

Vidareanvändning enligt utredningens

 

 

förslag ska vara frivilligt.........................................

613

15.3.4Regler om förenklad tillgång

 

 

är en del i en helhet................................................

615

15.4

På vilken normgivningsnivå ska regleringen ske? ...............

616

 

15.4.1

Rättsliga utgångspunkter ......................................

616

 

15.4.2 Regleringen bör ske i lag .......................................

618

15.5

Den övergripande lagtekniska utformningen......................

621

 

15.5.1

Ändring av patientdatalagen .................................

621

 

15.5.2

En ny lag.................................................................

625

19

Innehåll

SOU 2023:76

15.6

Forskning som ett led i vården och patientnära

 

 

forskning ...............................................................................

626

 

15.6.1 De övergripande rättsliga frågeställningarna .......

626

 

15.6.2 Vård och forskning som självständiga

 

 

 

verksamhetsgrenar enligt sekretesslagstiftningen ..

627

 

15.6.3

Praktiska exempel .................................................

634

16

En ny lag om viss vidareanvändning

 

 

av personuppgifter för klinisk forskning ......................

639

16.1

En ny lag om viss vidareanvändning av personuppgifter

 

 

för klinisk forskning.............................................................

639

 

16.1.1

Inledning................................................................

639

 

16.1.2 Tillåtligheten av en kompletterande särreglering ..

640

16.1.3Den rättsliga grunden vid vidareanvändning

av personuppgifter enligt lagen ............................

642

16.1.4Undantag för behandling av känsliga

 

 

personuppgifter .....................................................

647

16.2

Lagens namn .........................................................................

648

16.3

Uttryck

..................................................................................

650

 

16.3.1

EU-förordningar ...................................................

651

 

16.3.2

Hälso- och sjukvård ..............................................

651

 

16.3.3

Regional myndighet ..............................................

652

 

16.3.4

Lärosäte..................................................................

656

16.4

Lagens tillämpningsområde och ändamålet

 

 

för vidareanvändningen ........................................................

657

 

16.4.1

Begreppet vidareanvändning.................................

658

16.4.2Endast personuppgifter som behandlas hos

en regional myndighet som bedriver hälso- och sjukvård ska omfattas av den föreslagna lagen .... 660

16.4.3Verksamhet som ska omfattas

av lagens tillämpningsområde...............................

662

16.4.4Personuppgifter som behandlas enligt 2 kap.

4 § första stycket 1–6 patientdatalagen omfattas .. 668

16.4.5Regional myndighet eller lärosäte

som bedriver klinisk forskning.............................

670

16.4.6 Ändamålet klinisk forskning ................................

671

20

SOU 2023:76Innehåll

16.5

Förhållandet till annan närliggande reglering......................

675

 

16.5.1

EU:s dataskyddsförordning..................................

675

 

16.5.2

Dataskyddslagen....................................................

676

 

16.5.3

Patientdatalagen.....................................................

677

 

16.5.4

Biobankslagen ........................................................

679

16.6

Personuppgiftsansvar enligt den föreslagna lagen ..............

680

16.6.1Personuppgiftsansvar för regional myndighet

som bedriver hälso- och sjukvård .........................

681

16.6.2Personuppgiftsansvar för regionala myndigheter och lärosäten som bedriver

 

klinisk forskning....................................................

682

16.6.3

Personuppgiftsansvar för informationssäkerhet ...

683

16.7 Tillgängliggörande av personuppgifter ................................

685

16.7.1

Begreppet tillgängliggörande ................................

685

16.7.2Formerna för det elektroniska

tillgängliggörandet.................................................

686

16.7.3Den begränsade direktåtkomsten

ska vara tidsbestämd ..............................................

692

16.7.4Endast en regional myndighet eller ett lärosäte

 

som bedriver klinisk forskning får ges tillgång

 

 

till personuppgifter ................................................

694

16.7.5 Urval av uppgiftsmängder vid tillgängliggörande ...

700

16.8 Villkoren för tillgängliggörande...........................................

702

16.8.1

Forskning som personuppgifterna

 

 

ska användas i.........................................................

702

16.8.2 Krav på samtycke till att delta i forskningen .......

706

16.8.3 Integritetshöjande samtycke och information ....

710

16.8.4 Integritetshöjande samtycke när den

 

 

registrerade inte kan samtycka..............................

717

16.9 Behandling av personuppgifter som gjorts tillgängliga.......

720

16.9.1

Begränsad kompletterande reglering

 

 

på dataanvändarsidan .............................................

721

16.9.2

Behörighetsstyrning ..............................................

722

16.9.3 Endast personuppgifterna som behövs

 

 

för forskningen får tillföras forskningen..............

724

21

Innehåll

SOU 2023:76

16.10

Bevarande och gallring .........................................................

726

 

16.10.1 Uppgifter som tillförs forskningen......................

728

 

16.10.2 Uppgifter som inte tillförs forskningen ..............

729

 

16.10.3 Potentiella handlingar och begränsningsregeln...

730

16.11

Följdändringar ......................................................................

731

 

16.11.1 Förhållande till annan dataskyddsreglering .........

731

 

16.11.2

Direktåtkomst eller annat

 

 

 

elektroniskt utlämnande .......................................

732

16.12

Ikraftträdande och övergångsbestämmelser .......................

733

16.13

En avvägning mellan behov och risker ................................

734

 

16.13.1

Inledning................................................................

734

 

16.13.2

Sammanfattning av behoven.................................

734

16.13.3Specifika integritetsrisker med förslaget om begränsad direktåtkomst och annat elektroniskt utlämnande för ändamålet

 

klinisk forskning ...................................................

735

16.13.4

Föreslagna integritetsstärkande åtgärder.............

737

16.13.5

Den sammanvägda bedömningen

 

 

av behoven och riskerna........................................

740

16.13.6

Reglering i lag ........................................................

743

17 Ändring av sekretessregler ........................................

745

17.1Sekretessbrytande bestämmelse för tillgängliggörande av personuppgifter för vården av en annan patient

än den som uppgifterna avser ..............................................

746

17.1.1 Behovet av en sekretessbrytande bestämmelse ...

747

17.1.2Finns det någon tillämplig sekretessbrytande

bestämmelse?.........................................................

753

17.1.3Är det lämpligt med en sekretessbrytande

grund? ....................................................................

755

17.1.4Utformningen av en sekretessbrytande

 

bestämmelse...........................................................

757

17.1.5

Utlämnande från privata vårdgivare.....................

758

17.2 Sekretess för uppgift om personliga förhållanden

 

i precisionsmedicinsk databas ..............................................

760

17.2.1

Behovet av sekretessbestämmelser.......................

760

22

SOU 2023:76

 

Innehåll

17.2.2 Finns det en tillämplig sekretessgrund?...............

763

17.2.3 Behövs en ny sekretessbestämmelse?...................

764

17.2.4

Intresseavvägning ..................................................

764

17.2.5

Utformning av sekretessbestämmelserna ............

765

17.2.6 Rätten att meddela och offentliggöra uppgifter....

769

17.3Sekretessbrytande bestämmelse för tillgängliggörande enligt förslaget om ny lag om viss vidareanvändning

av personuppgifter för klinisk forskning.............................

770

17.3.1

Behovet av en sekretessbrytande bestämmelse....

771

17.3.2

Finns det någon tillämplig sekretessbrytande

 

 

bestämmelse? .........................................................

772

17.3.3Är det lämpligt med en sekretessbrytande

grund?.....................................................................

776

17.3.4Utformningen av en sekretessbrytande

 

 

bestämmelse ...........................................................

785

17.4

Sekretess för uppgift om personliga förhållanden

 

 

inom klinisk forskning vid vidareanvändning

 

 

av personuppgifter från hälso- och sjukvården ...................

788

 

17.4.1 Finns det en tillämplig sekretessgrund?...............

792

 

17.4.2

Behövs nya sekretessbestämmelser? ....................

792

 

17.4.3

Intresseavvägning ..................................................

795

 

17.4.4

Utformning av sekretessbestämmelserna ............

797

 

17.4.5 Rätten att meddela och offentliggöra uppgifter....

799

17.5

Följdändringar.......................................................................

800

 

17.5.1 Ändringar i 25 kap. 7 och 10 §§ OSL ...................

800

 

17.5.2 Ändringar i 10 kap. OSL .......................................

801

18

Konsekvensutredning...............................................

803

18.1

Inledning................................................................................

803

18.2

Konsekvenser av förslaget som rör ändamålet vården

 

 

av annan patient än den som personuppgifterna avser........

803

 

18.2.1 Ekonomiska konsekvenser av förslagen...............

803

 

18.2.2 Utredningens förslag i förhållande

 

 

 

till Nationella genomikplattformen......................

808

 

18.2.3 Konsekvenser av att inrättandet av

 

 

 

precisionsmedicinska databaser är frivilligt .........

809

23

Innehåll

SOU 2023:76

18.2.4Konsekvenser av att enskilda kan motsätta

sig personuppgiftsbehandlingen...........................

810

18.2.5Konsekvenser av att vissa referenser inte kan

 

ingå i de precisionsmedicinska databaserna .........

811

18.2.6

Konsekvenser för patienterna ..............................

811

18.2.7

Risken för ändamålsglidning ................................

813

18.2.8

Konsekvenser för forskning .................................

815

18.2.9Konsekvenser av användningen

 

av de precisionsmedicinska databaserna...............

816

18.2.10

Konsekvenser av ändamålsbegränsningarna

 

 

för precisionsmedicinska databaserna..................

817

18.2.11

Samkörning av personuppgifter kommer

 

 

inte att vara möjligt ...............................................

818

18.2.12

Konsekvenser för det kommunala självstyret .....

819

18.2.13

Konsekvenser för brottsligheten..........................

819

18.2.14

Konsekvenser för sysselsättning och offentlig

 

 

service i olika delar av landet ................................

819

18.2.15

Konsekvenser för cybersäkerhet

 

 

och informationssäkerhet ......................................

819

18.2.16

Konsekvenser för företag .....................................

820

18.2.17

Konsekvenser för jämställdheten

 

 

mellan kvinnor och män........................................

821

18.2.18

Konsekvenser för administrationen

 

 

och dataförsörjningen ...........................................

821

18.3Konsekvenser som följer av förslagen om en ny lag om viss vidareanvändning av personuppgifter

för klinisk forskning.............................................................

821

18.3.1Kostnadsberäkningar samt ekonomiska

effektiviteten .........................................................

822

18.3.2Konsekvenser av att nationella kvalitetsregister inte omfattas

 

av utredningens förslag .........................................

829

18.3.3

Konsekvenser för det kommunala självstyret .....

830

18.3.4

Konsekvenser cybersäkerhet

 

 

och informationssäkerhet .....................................

830

18.3.5Konsekvenser för aktörer

som bedriver forskning.........................................

831

18.3.6 Konsekvenser för företag .....................................

832

24

SOU 2023:76

 

Innehåll

18.3.7

Konsekvenser för jämställdheten

 

 

mellan kvinnor och män ........................................

833

18.3.8

Konsekvenser för dataförsörjningen ....................

833

18.3.9Konsekvenser av att integritetshöjande samtycke krävs för tillgängliggörande

enligt lagen .............................................................

833

18.3.10 Observationsstudier omfattas inte .......................

834

18.4 Övriga konsekvenser som rör utredningens

 

båda förslag............................................................................

834

18.4.1Konsekvenser för verksamhet som bedriver

 

 

vård, forskning, utveckling och innovation .........

834

 

18.4.2

Konsekvenser avseende regeltätheten

 

 

 

när det gäller samtycken ........................................

835

Del 2

 

 

 

FRÅGOR FÖR FORTSATT UTREDNING..............................

837

19

En nationell datahubb..............................................

839

19.1

Inledning................................................................................

839

19.2

Utmaningarna på hälsodataområdet ....................................

841

 

19.2.1 Hälsodataområdet är ett komplext ekosystem....

842

 

19.2.2

Allmänna utgångspunkter.....................................

843

19.3

Avgränsningar och begränsningar........................................

845

 

19.3.1

Interoperabilitet.....................................................

846

 

19.3.2

Kompetensbrist och kompetensväxling...............

846

 

19.3.3

Förändrad demografi.............................................

847

 

19.3.4 Kriser och oväntade händelser ..............................

847

 

19.3.5

Förändrad ansvarsfördelning ................................

847

19.4

Alternativ till en datahubb som utredningen övervägt .......

848

19.5

Vad är en datahubb?..............................................................

849

 

19.5.1

Hälsodataområdet .................................................

850

 

19.5.2

EU:s och Sveriges hälsodataområde.....................

850

 

19.5.3

Nationell datahubb................................................

851

 

19.5.4 Regionala och lokala datahubbar ..........................

855

25

Innehåll

SOU 2023:76

 

19.5.5 Integrera den nationella datahubben

 

 

 

med befintlig digital infrastruktur........................

856

 

19.5.6

Medborgares data ..................................................

857

19.6

Ansvar för styrning och samordning

 

 

på hälsodataområdet .............................................................

859

 

19.6.1 Förändrad ansvarsfördelning styrning och

 

 

 

samordning inom hälsodataområdet....................

861

20

En nationell datahubb för ändamålen

 

 

i utredningens direktiv ..............................................

871

20.1

Inledning ...............................................................................

871

20.2

Vården av en annan patient än den

 

 

som personuppgifterna avser ...............................................

871

20.3

Forskningsändamålet ...........................................................

872

 

20.3.1 Behov av att kunna dela data inom EU................

875

20.4

Ändamålet utveckling- och innovation...............................

876

 

20.4.1 Utveckling som kräver datadelning mellan

 

 

 

kommuner och regioner .......................................

877

 

20.4.2 Utveckling som kräver datadelning mellan

 

 

 

regioner och andra aktörer....................................

878

20.5

Ändamålet myndighetsbeslut ..............................................

879

 

20.5.1

Tandvårds- och läkemedelsförmånsverket ..........

880

 

20.5.2

Försäkringskassan .................................................

881

 

20.5.3

Sammanfattande kommentar................................

882

20.6

Privata aktörers behov..........................................................

885

 

20.6.1

Riskdelningsavtal...................................................

886

21

Byggstenar för den nationella datahubben ..................

889

21.1

Byggstenar.............................................................................

889

21.1.1En inloggningstjänst för att hjälpa medborgare

 

att få en ökad kontroll över sina hälsodata ..........

890

21.1.2

En tjänst för att hantera samtycken.....................

890

21.1.3

Säker behandlingsmiljö .........................................

893

21.1.4Rådgivning om tillgång och delning

av hälsodata............................................................

894

26

SOU 2023:76Innehåll

 

21.1.5

Gemensam menprövning ......................................

895

 

21.1.6

Metadatakatalog.....................................................

896

 

21.1.7

Certifiering av datahållare och dataanvändare .....

897

 

21.1.8

Årlig rapport om status på hälsodataområdet .....

899

 

21.1.9

Tjänst för att underlätta antalsberäkningar..........

899

 

21.1.10

Möjlighet att kontakta individer

 

 

 

i registerstudier ......................................................

901

 

21.1.11

En plattform för innovation .................................

902

22

Frågeställningar för fortsatt utredning ........................

905

22.1

Inledning................................................................................

905

22.2

Utmaningar kopplade till registerbaserad forskning ..........

906

22.2.1Menprövningar och möjligheten att kontakta

 

 

potentiella forskningspersoner .............................

906

 

22.2.2

Handläggningstider ...............................................

909

 

22.2.3 Skapande av egna villkor vid utlämnande

 

 

 

av hälsodata ............................................................

910

22.3

Utökat behov av precisionsmedicinska databaser...............

911

 

22.3.1

1+ Million Genomes.............................................

912

22.4

Begränsningar i rätten att ta del av data från hälso-

 

 

och sjukvården med stöd av offentlighetsprincipen ...........

917

22.5

Tydliggörande av organisatoriska och tekniska åtgärder....

919

22.6

Avsaknad av rättsmedicinska ändamål

 

 

och rättspsykiatriska ändamål ..............................................

919

22.7

Övriga behov inom hälsodataområdet.................................

921

 

22.7.1 Kroppsnära teknik och hälsofrämjande

 

 

 

insatser....................................................................

921

 

22.7.2 Behovet av syntetiska data ....................................

922

 

22.7.3 Nationella data av regionalt intresse ....................

923

 

22.7.4 Ökade möjligheter att följa upp reformer

 

 

 

med hjälp av data....................................................

924

22.7.5Ökad aktualitet och förbättrad

 

dataförsörjning.......................................................

925

22.7.6

Lagrings- och beräkningskapacitet.......................

925

22.7.7

Datamängder..........................................................

927

27

Innehåll

SOU 2023:76

 

22.7.8

Kompetensförsörjning..........................................

934

22.8

Undervisning på akademisk nivå .........................................

935

22.9

Översyn av begrepp..............................................................

936

22.10

Föråldrad lagstiftning av vårdgivares behandling

 

 

av personuppgifter inom hälso- och sjukvården.................

938

 

22.10.1

Utmaningar med en utdaterad lagstiftning .........

938

 

22.10.2

Privata företags behov av ändamål

 

 

 

i patientdatalagen ..................................................

939

 

22.10.3

Teknisk utveckling och nya behov.......................

940

 

22.10.4

Antalsberäkningar och behovet att kontakta

 

 

 

de som räknats fram ..............................................

941

23

Särskilt om frågeställningar för fortsatt utredning

 

 

avseende utveckling och innovation ...........................

943

23.1

Ändamålet utveckling och innovation ................................

943

23.2

Utveckling och innovation ..................................................

943

 

23.2.1

Inledning................................................................

943

 

23.2.2

Juridiska förutsättningar.......................................

943

23.2.3Behov av personuppgifter från

andra vårdgivare.....................................................

945

23.2.4 Begreppet utveckling ............................................

947

23.2.5Oklarheter kring vad utvecklingsbegreppet

omfattar .................................................................

947

23.2.6 Begreppet innovation............................................

948

23.2.7Utveckling och innovation

i kommunal verksamhet........................................

949

23.2.8 Privata vårdgivare ..................................................

951

23.2.9Vård, klinisk forskning och utveckling inom

 

hälso- och sjukvården sker samtidigt ...................

952

23.2.10 Gränserna mellan klinisk forskning,

 

 

utveckling och innovation ....................................

953

23.2.11

Skillnaden mellan utveckling och uppföljning ....

954

23.2.12

Beslutsstöd ............................................................

954

28

SOU 2023:76Innehåll

24

Författningskommentar ............................................

957

24.1

Förslaget till lag (0000:00) om viss vidareanvändning

 

 

av personuppgifter för klinisk forskning .............................

957

24.2

Förslaget till lag om ändring i patientdatalagen

 

 

(2008:355)..............................................................................

978

24.3

Förslaget till lag om ändring i offentlighets-

 

 

och sekretesslagen (2009:400)............................................

1021

Bilagor

 

Bilaga 1 Kommittédirektiv 2022:41 .........................................

1033

Bilaga 2 Tilläggsdirektiv till Utredningen

 

 

om sekundäranvändning av hälsodata........................

1045

Bilaga 3 Samtycken inom vård och klinisk forskning.............

1047

Bilaga 4 Promemoria med förslag om ändring

 

 

av E-hälsomyndighetens uppdrag inom

 

 

hälsodataområdet ........................................................

1059

29

Förkortningar

Arkivlagen

Arkivlagen (1990:782)

Barnkonventionen

FN:s konvention om barnets

 

rättigheter

Biobankslagen

Biobankslagen (2023:38)

Biomedicinkonventionen

Europarådets konvention om

 

mänskliga rättigheter och bio-

 

medicin

CTR

Europaparlamentets och rådets

 

förordning (EU) nr 536/2014

 

av den 16 april 2014 om kli-

 

niska prövningar av humanläke-

 

medel och om upphävande av

 

direktiv 2001/20/EG

Datalagen

Lag (2022:218) om den offent-

 

liga sektorns tillgängliggörande

 

av data

Dataskyddslagen

Lagen (2018:218) med komplet-

 

terande bestämmelser till EU:s

 

dataskyddsförordning

DIGITAL

Programmet för ett digitalt

 

Europa

EDPB

European Data Protection

 

Board eller Europeiska Data-

 

skyddsstyrelsen

EPL

Lagen (2003:460) om etik-

 

prövning av forskning som

 

avser människor

Europakonventionen

Europeiska konventionen om

 

skydd för de mänskliga

31

Förkortningar

SOU 2023:76

 

rättigheterna och de grund-

 

läggande friheterna

EU:s dataförvaltningsförordning

Europaparlamentets och rådets

eller dataförvaltningsförord-

förordning (EU) 2022/868 av

ningen

den 30 maj 2022 om europeisk

 

dataförvaltning och om ändring

 

av förordning (EU) 2018/1724

 

(dataförvaltningsakten)

EU:s dataskyddsförordning eller

Europaparlamentets och rådets

dataskyddsförordningen

förordning (EU) 2016/679 av

 

den 27 april 2016 om skydd för

 

fysiska personer med avseende

 

på behandling av personupp-

 

gifter och om det fria flödet av

 

sådana uppgifter och om upp-

 

hävande av direktiv 95/46/EG

 

(allmän dataskyddsförordning)

Findata

Tillståndsmyndigheten enligt

 

lagen om sekundäranvändning

 

av personuppgifter inom social-

 

och hälsovården (552/2019)

Finska sekundäranvändnings-

Lagen om sekundäranvändning

lagen

av personuppgifter inom social-

 

och hälsovården (552/2019)

Förslaget till EHDS

Europeiska kommissionens

 

förslag till Europaparlamentets

 

och Rådets förordning om ett

 

europeiskt hälsodataområde,

 

COM(2022) 197 final av den

 

3 maj 2022

Förslaget till EU:s dataförord-

Europeiska kommissionens för-

ning

slag till Europaparlamentets och

 

rådets förordning om harmoni-

 

serade regler för skälig åtkomst

 

till och användning av data (data-

 

akten) COM(2022) 68 final av

 

den 23 februari 2022

GCP

Good Clinical Practice

32

SOU 2023:76

Förkortningar

GMS

Genomic Medicine Sweden

Helsingforsdeklarationen

Helsingforsdeklarationen om

 

etiska principer för medicinsk

 

humanforskning, fastställd av

 

World Medical Association

HSF

Hälso- och sjukvårdsförord-

 

ningen (2017:80)

HSL

Hälso- och sjukvårdslagen

 

(2017:30)

HSLF-FS 2016:40

Socialstyrelsens föreskrifter

 

och allmänna råd (HSLF-FS

 

2016:40) om journalföring och

 

behandling av personuppgifter

 

i hälso- och sjukvården

IVDR

Europaparlamentets och rådets

 

förordning (EU) 2017/746 av

 

den 5 april 2017 om medicin-

 

tekniska produkter för in vitro-

 

diagnostik och om upphävande

 

av direktiv 98/79/EG och kom-

 

missionens beslut 2010/227/EU

Kastreringslagen

Den upphävda lagen (1944:133)

 

om kastrering

KL

Kommunallagen (2017:725)

KOMET

Kommittén för teknologisk

 

innovation och etik

LPT

lag (1991:1128) om psykiatrisk

 

tvångsvård

LRV

lag (1991:1129) om rättspsykia-

 

trisk vård

MDR

Europaparlamentets och rådets

 

förordning (EU) 2017/745 av

 

den 5 april 2017 om medicin-

 

tekniska produkter, om ändring

 

av direktiv 2001/83/EG, förord-

 

ning (EG) nr 178/2002 och för-

 

ordning (EG) nr 1223/2009 och

33

Förkortningar

SOU 2023:76

 

om upphävande av rådets direk-

 

tiv 90/385/EEG och 93/42/EEG

NGP

Nationella

 

Genomikplattformen

OECD

Organisation for Economic

 

Co-operation and Development

OSF

Offentlighets- och sekretessför-

 

ordningen (2009:641)

OSL

Offentlighets- och sekretess-

 

lagen (2009:400)

PDL

Patientdatalagen (2008:355)

PL

Patientlagen (2014:821)

PSL

Patientsäkerhetslagen

 

(2010:659)

RF

Regeringsformen

JO

Riksdagens ombudsmän

Rättighetsstadgan

Europeiska unionens stadga om

 

de grundläggande rättigheterna

Smittskyddslagen

Smittskyddslagen (2004:168)

SolPul

Lagen (2001:454) om behand-

 

ling av personuppgifter inom

 

socialtjänsten

SCB

Statistiska centralbyrån

SVOD

Lagen (2022:913) om samman-

 

hållen vård- och omsorgsdoku-

 

mentation

Tandvårdslagen

Tandvårdslagen (1985:125)

Utredningen om en långsiktig

En långsiktig reglering av

reglering av forsknings-

forskningsdatabaser,

databaser

Dnr U2022/04089

TF

Tryckfrihetsförordningen

 

(1949:105)

Vårdanalys

Myndigheten för vård- och

 

omsorgsanalys

34

Sammanfattning

Behovet och viljan att dela eller ta del av hälsodata är stort. Regel- verket som styr hur hälsodata får delas upplevs dock av många som svårnavigerat och komplext, vilket skapar utmaningar och ibland oönskade begränsningar avseende vilka data som får och kan delas. Regelverket ställer också i viss utsträckning upp hinder för datadel- ning till förmån för angelägna ändamål.

I utredningens direktiv framgår det att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nöd- vändiga författningsförslag för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för

att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer,

forskning,

utvecklings- och innovationsverksamhet,

undervisning på akademisk nivå samt,

statliga, regionala och kommunala myndigheters beslutsfattande.

I uppdraget ingår också att redogöra för konkreta tillämpningssvårig- heter när det gäller den befintliga regleringen av hälsodata som even- tuellt framkommer under utredningens gång.

Utredningen redogör i kapitel 2 för utredningens tolkning av direk- tiven samt vilka avgränsningar utredningen gjort.

35

Sammanfattning

SOU 2023:76

Utredningens författningsförslag

Utredningen har haft ett omfattande uppdrag med begränsade tids- ramar. Eftersom det krävs genomgripande utredning för att lämna för- fattningsförslag som ska gå att genomföra, har utredningen varit tvungen att göra betydande avgränsningar. Utredningen lämnar därför författningsförslag avseende två av direktivens uppräknade ändamål. Utredningen har dock utrett samtliga ändamål och försökt att så detal- jerat som möjligt redogöra för en väg framåt, utan att göra en mer djupgående juridisk analys som författningsförslag kräver.

Vidareanvändning för vårdändamål

Av direktiven följer att det finns ett behov att se över regleringen för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer. Utred- ningen benämner detta vidareanvändningen av personuppgifter för vård- ändamål.

Utredningen bedömer att det behövs författningsändring för att möjliggöra den typ av vidareanvändning av personuppgifter för vård- ändamål som behövs för att precisionsmedicin ska kunna användas på ett ändamålsenligt sätt i svensk hälso- och sjukvård. Utredningen före- slår därför ändringar i patientdatalagen (2008:355), förkortad PDL, och offentlighets- och sekretesslag (2009:400), förkortad OSL, samt en ny förordning som kompletterar föreslagna bestämmelser i PDL. Ut- redningen föreslår att kapitel 6 i PDL används för reglering av vidare- användning av personuppgifter för vårdändamål. Utredningens förslag innebär att det på regional nivå inom hälso- och sjukvården skapas förutsättningar för vidareanvändning av personuppgifter för vårdända- mål. Utredningen föreslår att det, i beaktande av det kommunala själv- styret, ska vara frivilligt att tillämpa reglerna.

Ett nytt ändamål som avser behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser

Utredningen föreslår att det införs ett nytt ändamål i PDL som avser behandling av personuppgifter för vård av en annan patient än den som personuppgifterna avser. Personuppgifter som behandlas för vården

36

SOU 2023:76

Sammanfattning

av en annan patient än den som uppgifterna avser får inte behandlas för något annat ändamål.

Datadelning för det nya ändamålet ska, med vissa avgränsningar, kunna ske över vårdgivar- och myndighetsgränser. Utredningen förslår därför en ny sekretessbrytande grund med koppling till föreslagna regler i 6 kap. PDL. Utredningens förslag i övrigt har utformats med utgångspunkt i att behandling av personuppgifter för ändamålet ska kunna ske under så likartade villkor som möjligt, oavsett om det sker inom en myndighet eller över myndighetsgränser.

Precisering av ändamålet och integritetsskyddande åtgärder

Det integritetsintrång som utredningen förslag om vidareanvändning för vårdändamål innebär, behöver vägas upp av preciseringar av ända- målet, avgränsningar och skyddsåtgärder. Utredningens förslag innebär att behandling av personuppgifter för ändamålet preciseras i fyra steg:

1.Urval och tillgängliggörande av personuppgifter till precisions- medicinsk databas

2.Inrättande och förande av precisionsmedicinsk databas

3.Tillgång till uppgifter i precisionsmedicinsk databas genom direkt- åtkomst eller annat elektroniskt utlämnande

4.Begäran om kompletterande personuppgifter från patientjournal

Utredningen föreslår att navet för behandling av personuppgifter för vård av en annan patient än den som uppgifterna avser utgörs av en ny, begränsad, uppgiftssamling kallad precisionsmedicinsk databas. En precisionsmedicinsk databas syftar till att skapa underlag för behand- ling av personuppgifter för det nya ändamålet. Det är ett urval av de personuppgifter som behövs för ändamålet som ska tillgängliggöras till en precisionsmedicinsk databas. Utredningens förslag lämnar möj- lighet för samtliga vårdgivare att tillgängliggöra personuppgifter till en precisionsmedicinsk databas (steg 1).

Utredningen föreslår att patienten ska kunna motsätta sig tillgäng- liggörande av personuppgifter till en precisionsmedicinsk databas. Innan uppgifter tillgängliggörs till en precisionsmedicinsk databas ska patienten få information om bland annat vad personuppgiftsbehand- ling i precisionsmedicinsk databas innebär samt möjligheten att mot-

37

Sammanfattning

SOU 2023:76

sätta sig att uppgifter görs tillgängliga. Särskilda regler om information och samtycke föreslås för personer som inte endast tillfälligt saknar förmåga att ta ställning. Vårdnadshavare kan motsätta sig tillgänglig- görande av uppgifter rörande barn. Barn som utifrån ålder och mog- nad kan ta ställning kan själva motsätta sig tillgängliggörande.

Som en ytterligare skyddsåtgärd föreslår utredningen att person- uppgifter i samtliga fyra steg ska vara pseudonymiserade eller skyddade på likvärdigt sätt. Det är endast regionala myndigheter inom hälso- och sjukvården som får inrätta och föra precisionsmedicinska databaser samt vara personuppgiftsansvarig för central behandling av person- uppgifter i en precisionsmedicinsk databas (steg 2). Det är också endast regionala myndigheter inom hälso- och sjukvården som får ha till- gång, genom direktåtkomst eller annat elektroniskt utlämnande, till uppgifter i en sådan databas (steg 3). Hos regionala myndigheter inom hälso- och sjukvården är det endast den som arbetar inom den spe- cialiserade hälso- och sjukvården och som behöver tillgång till en pre- cisionsmedicinsk databas för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter som ska kunna till- delas behörighet till en sådan databas.

Kopplat till förslaget om direktåtkomst eller annat elektroniskt utlämnande (steg 3) föreslår utredningen en regel om absolut sekretess.

Precisionsmedicinsk databas

Det hade enligt utredningens mening funnits fördelar med att ha en nationell precisionsmedicinsk databas eller en federerad lösning som möjliggör jämförelser över hela landet. Utredningen bedömer dock att det inte finns någon sådan infrastruktur på plats i dag och att det för närvarande saknas organisatoriska förutsättningar för att skapa en sådan infrastruktur som samtidigt är försvarbar ur ett rimligt tids- perspektiv för att skapa nytta inom en närtid. Utredningen har därför valt att lämna författningsförslag som skapar förutsättningar för dels, en precisionsmedicinsk databas per samverkansregion, dels att en precisionsmedicinsk databas får föras inom den Nationella Genomik- plattformen, förkortad NGP. Den precisionsmedicinska databasen inom NGP möjliggör datadelning mellan landets sju regionsjukhus (universitetssjukhus), vilket innebär nödvändig täckning för till exem- pel diagnostisering och behandling av sällsynta diagnoser som fångas

38

SOU 2023:76

Sammanfattning

upp av regionsjukhusen (universitetssjukhusen) i dagsläget. NGP som it-infrastruktur finns redan i dag, men används endast för forskning. De samverkansregionala precisionsmedicinska databaserna täcker sammantaget alla landets regioner och där finns möjlighet till ett bre- dare angreppsätt vad avser datamängder.

Den främsta anledningen till utredningens val av lösning är att det är det alternativ som skulle kunna komma på plats fortast och som utredningen bedömt vara proportionerlig ur ett integritetsperspektiv. På längre sikt ser utredningen dock att det bör övervägas och utredas om en nationell precisionsmedicinsk databas genom en federerad lösning som möjliggör jämförelser över hela landet kan införas. Ut- redningen bedömer att aktuella förslag går i linje med en sådan mer långsiktig lösning och att förslagen därmed inte bör innebära stora extra kostnader eller för den delen senarelägga den långsiktiga lös- ningen. Det här är en insats som, enligt utredningens bedömning, behöver anpassas efter förslaget till EHDS, när det är klart hur en slutlig version ser ut för det regelverket. Utredningen bedömer också att det är bättre att bygga infrastrukturen stegvis och att den skapar nytta succesivt, hellre än att bygga hela infrastrukturen i ett svep och sedan se om den fungerar och levererar enligt de behov som finns. Utredningen resonerar kring hur en mer långsiktig lösning skulle kunna se ut (se kapitel 19–23). Den delen av betänkandet består dock endast av bedömningar och inte färdiga förslag som går att ta vidare utan fortsatt utredning.

Kompletterande personuppgifter från patientjournal

Utredningen lämnar även förslag om att regionala myndigheter inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk data- bas ska kunna begära och få ta del av kompletterande personuppgifter från patientjournal (steg 4). Kompletterande uppgifter ska även kunna tillgängliggöras internt inom en myndighet.

Syftet är att göra det möjligt att hämta in mer information om specifika patienter när uppgifterna i den precisionsmedicinska data- basen inte är tillräckliga. Detta kan bli aktuellt i situationer där det endast finns enstaka andra patienter med samma eller liknande hälso- tillstånd.

39

Sammanfattning

SOU 2023:76

Vidareanvändning för ändamålet klinisk forskning

Av direktiven framgår att utredningen ska bedöma om det behövs för- fattningsändringar för att möjliggöra vidareanvändning av hälsodata från hälso- och sjukvården för ändamålet forskning. Avseende ända- målet forskning har utredningen gjort en avgränsning till vidare- användning av personuppgifter för klinisk forskning där samtycke till att delta i forskningen inhämtas.

Utredningen konstaterar att det kan vara en betungande uppgift att få tillgång till de uppgifter som behövs för att bedriva klinisk forsk- ning. En specifik situation som utredningen sett över är när forskarna själva rent praktiskt kan logga in i patientjournaler, i egenskap av behandlande vårdpersonal, och då se uppgifter som behövs för forsk- ningen. Enligt dagens lagstiftning krävs då, som huvudregel, att upp- gifterna måste begäras ut. Det innebär att ett utlämnande av uppgif- terna kan ske först efter föregående menprövning. Det här innebär en administrativ börda för både utlämnande myndighet och forskare som kan vara tidskrävande och kan upplevas omständlig. Utredningen gör bedömningen att möjlighet till en förenklad åtkomst skulle kunna underlätta för såväl forskare som utlämnande myndigheter och undan- röja en del av problematiken.

En ny lag om vidareanvändning av personuppgifter för klinisk forskning

Utredningen har bedömt att det behövs författningsändring för att möjliggöra en förenklad åtkomst till personuppgifter från hälso- och sjukvården. I dag finns ingen lag som reglerar personuppgiftsbe- handling inom forskning på samma sätt som motsvarar PDL inom hälso- och sjukvården. Det är enligt utredningens bedömning inte lämpligt att inför regler om förenklad åtkomst för ändamålet klinisk forskning i PDL. Utredningen föreslår därför en ny lag, lagen (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning och ändringar i OSL. Den nya lagen tar sin systematiska utgångspunkt i vidareanvändning för ändamålet klinisk forskning. Utredningen ser möjligheter att utreda vidare en eventuell utvidgning av lagen, dels avseende datamängder på datahållarsidan, dels om förenklade regler i någon form kan införas för klinisk forskning som inte bygger på samtycke till att delta i forskningen.

40

SOU 2023:76

Sammanfattning

Den nya lagens tillämpningsområde avser, på datahållarsidan, regio- nala myndigheter som bedriver hälso- och sjukvård och, på data- användarsidan, regionala myndigheter och lärosäten som bedriver kli- nisk forskning. De personuppgifter som får tillgängliggöras enligt lagen är uppgifter som regionala myndigheter som bedriver hälso- och sjukvård behandlar enligt 2 kap. 4 § första stycket 1–6 PDL.

Begränsad direktåtkomst och villkor för tillgängliggörande och behandling av personuppgifter

Tillgängliggörande enligt lagen föreslås få ske genom en så kallad be- gränsad direktåtkomst eller annat elektronisk utlämnande. Begräns- ningen i direktåtkomsten innebär att de uppgifter som tillgängliggörs ska avse de personer som omfattas av ett aktuellt forskningsprojekt.

I praktiken innebär möjligheten till begränsad direktåtkomst att det finns rättsligt stöd för en region att skapa en modul eller liknande i sina it-system som kan visa vissa fält med sådana uppgifter som behövs för forskningen. Dessa fält kommer forskarna åt med en forskar- behörighet, utan att behöva begära utlämnande med föregående men- prövning enligt allmänna regler. Den begränsade direktåtkomsten ska vara tidsbestämd.

Som villkor för tillgängliggörande föreslås att uppgifterna ska an- vändas endast vid sådan klinisk forskning som är godkänd enligt tillämpligt etiskt regelverk samt där samtycke inhämtas för att delta i forskningen. Utöver samtycke till att delta i forskningen, ska enligt villkor i den nya lagen, även samtycke som en integritetshöjande åtgärd för den förenklade åtkomsten inhämtas från den registrerade. Den registrerade ska få information om vad den förenklade åtkomsten innebär. Särskilda regler om information och samtycke föreslås för barn och försökspersoner som inte är beslutskompetenta.

Utredningen föreslår att regionala myndigheter eller lärosäten som bedriver klinisk forskning endast ska få tillföra forskningen de person- uppgifter som behövs för den kliniska forskningen.

Kopplat till den nya lagen föreslår utredningen en sekretessbrytande grund och en regel om absolut sekretess i forskningen för uppgifter som inte får tillföras forskningen.

41

Sammanfattning

SOU 2023:76

Övriga ändamål

Utvecklings och innovationsverksamhet

Utredningen har resonerar kring utveckling och innovation och lämnar bedömningar avseende olika behov som identifierats. Utredningen för också resonemang kring hur utredningen uppfattar innebörden av begreppen.

Utredningen har konstaterar att frågorna är komplexa och behöver utredas vidare. Utredningen gör bedömningen att tillräcklig utredning för att kunna lämna författningsförslag för dessa ändamål inte kunnat rymmas inom de tidsramar som utredningen haft att förhålla sig till. Utredningen lämnar därför inte några författningsförslag avseende utveckling- och innovation, vilket förklaras mer utförligt i avsnitt 2.7.

Eftersom utredningen lämnar författningsförslag på en helt ny reglering av ändamålet vård är det en brist att sådan ny verksamhet inte ges rättsliga möjligheter att bedriva utveckling som inte ryms under dagens regler i PDL. Utredningens bedömning är därför att det är angeläget att dessa behov ses över.

Utredningen bedömer även att vissa av de behov som finns av utvecklings- och innovationsverksamhet ställer krav på organisato- riska och infrastrukturella lösningar som i dag inte finns för att det ska gå att använda känsliga personuppgifter för dessa ändamål, utan att intrånget i den personliga integriteten blir för stort i förhållande till nyttan. Se vidare resonemang i avsnitt 20.4 och kapitel 23.

Undervisning på akademisk nivå

Utredningen bedömer att de behov som framkommit, som avser undervisning på akademiska nivå, har en nära koppling till primär- användningen av hälsodata. Undervisning som inte kan genomföras utan att behandling av personuppgifter uppstår inom hälso- och sjuk- vården innebär ofta en nära koppling till patienterna och vården som behöver utföras. Utredningen bedömer att dessa frågor behöver ut- redas gemensamt och inte avgränsat till sekundäranvändning. Utred- ningen lämnar därför inga författningsförslag för undervisning på akademisk nivå. Utredningens bedömning är att det behöver utredas varför olika regioner löser behoven på olika sätt och vad som krävs

42

SOU 2023:76

Sammanfattning

för att lösa de behov som finns som är nära kopplade till primär- användningen.

Statliga, regionala och kommunala myndigheters beslutsfattande

Utredningens har valt att inte lämna några författningsförslag avseende statliga, regionala och kommunala myndigheters beslutsfattande. Ut- redningens uppfattning är att dessa ändamål kan omfatta en ansenlig mängd olika behov. Utredningen har därför avgränsat den utredning som gjorts till vissa av de behov som omfattas.

Utredningens bedömning är att en del behov kopplat till regionala myndigheters beslutsfattande som uppstår i samband med vård bör kunna omhändertas av det författningsförslag avseende vårdändamålet som utredningen lämnar. Det är även möjligt att vissa behov kan om- händertas inom ändamålet utveckling som utredningen skriver om i avsnitt 2.7.6. Utredningen bedömer vidare att det saknas organisa- toriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedömningar i avsnitt 20.5.

Konkreta tillämpningssvårigheter

Utredningen har haft i uppdrag att redogöra för olika tillämpnings- svårigheter som identifierats under arbetets gång. Utredningen redogör därför för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Tre kapitel rör behov som ut- redningen bedömer helt eller delvis kan lösas med hjälp av en nationell datahubb (kapitel 19–21). Ytterligare två kapitel rör frågor för fortsatt utredning som utredningen bedömer behöver ses över och utredas vidare, utan att det behövs en nationell datahubb (kapitel 22–23).

43

Sammanfattning

SOU 2023:76

Konsekvenser av förslagen

De främsta positiva konsekvenserna av utredningens författnings- förslag avseende vårdändamålet är ökad patientnytta till följd av bättre möjlighet till införande av ett precisionsmedicinskt arbetssätt i hälso- och sjukvården och ett mer jämlikt införande. Den främsta positiva nyttan som följer av utredningens författningsförslag avseende klinisk forskning avser minskad administration och därmed kostnadsbespar- ingar kopplat till utlämnande för klinisk forskning.

De främsta negativa effekterna består av ett ökat intrång i den per- sonliga integriteten för vissa patienter, vilket utredningen lämnat förlag för att balansera i form av integritetshöjande åtgärder. Förslagen inne- bär också viss kostnadsökning för regionerna avseende precisions- medicinska databaser. Utredningens bedömning är dock att regionerna redan i dag spenderar mycket pengar på precisionsmedicin och att mycket medel läggs ner på lösningar som ska fungera med nuvarande regelverk. Enligt utredningens bedömning är dessa lösningar inte lika kostnadseffektiva som de lösningar som utredningens förslag möjliggör. Förslagen innebär i sig inga negativa konsekvenser för privata företag, men bidrar inte till några nya möjligheter att använda hälsodata. Utifrån att regeringen har en ambition om att Sverige ska vara en ledande life science-nation, gör utredningen bedömningen att uteblivna förslag för denna målgrupp är en negativ konsekvens. Utredningen har försökt att så långt det varit möjligt utreda hur dessa och andra behov som utredningen har fått till sig, skulle kunna omhändertas framgent, vilket redovisas i kapitel 19–23.

44

1 Författningsförslag

1.1Förslag till lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning

Härigenom föreskrivs följande.

1 kap. Inledande bestämmelser

Uttryck i lagen

1 § I denna lag används följande uttryck med nedan angiven be- tydelse.

Uttryck

Betydelse

EU:s dataskyddsförordning

Europaparlamentets och rådets

 

förordning (EU) 2016/679 av

 

den 27 april 2016 om skydd för

 

fysiska personer med avseende

 

på behandling av personupp-

 

gifter och om det fria flödet av

 

sådana uppgifter och om upp-

 

hävande av direktiv 95/46/EG

 

(allmän dataskyddsförordning).

Förordning (EU) nr 536/2014

Europaparlamentets och rådets

 

förordning (EU) nr 536/2014 av

 

den 16 april 2014 om kliniska

 

prövningar av humanläkemedel

 

och om upphävande av direktiv

 

2001/20/EG.

 

45

Författningsförslag

SOU 2023:76

Förordning (EU) 2017/745

Europaparlamentets

och

rådets

 

förordning

(EU) 2017/745 av

 

den 5 april 2017 om medicintek-

 

niska produkter, om ändring av

 

direktiv 2001/83/EG, förordning

 

(EG) nr 178/2002 och förord-

 

ning (EG) nr 1223/2009 och om

 

upphävande

av rådets direktiv

 

90/385/EEG och 93/42/EEG.

Förordning (EU) 2017/746

Europaparlamentets

och

rådets

 

förordning

(EU) 2017/746 av

 

den 5 april 2017 om medicintek-

 

niska produkter för in vitrodia-

 

gnostik och om upphävande av

 

direktiv 98/79/EG och kommis-

 

sionens beslut 2010/227/EU.

Hälso- och sjukvård

Verksamhet som avses i hälso-

 

och

sjukvårdslagen

(2017:30),

 

lagen (1991:1128) om psykiatrisk

 

tvångsvård,

lagen

(1991:1129)

 

om rättspsykiatrisk vård, smitt-

 

skyddslagen

(2004:168),

lagen

 

(1972:119)

om fastställande av

 

könstillhörighet i vissa fall, lagen

 

(2006:351) om genetisk integri-

 

tet m.m., lagen (2018:744) om för-

 

säkringsmedicinska

utredningar,

 

lagen (2019:1297) om koordiner-

 

ingsinsatser för sjukskrivna pati-

 

enter samt den upphävda lagen

 

(1944:133) om kastrering.

 

Lärosäte

Ett

statligt

universitet eller en

 

statlig högskola som har rätt att

 

utfärda examen på

forskarnivå,

 

eller en enskild utbildningsan-

 

ordnare som har tillstånd att ut-

 

färda examen på forskarnivå en-

ligt lagen (1993:792) om tillstånd att utfärda vissa examina och som

46

SOU 2023:76

Författningsförslag

enligt 2 kap. 4 § offentlighets- och sekretesslagen (2009:400) är ett organ som jämställs med myndig- het i sin forskningsverksamhet.

Regional myndighetMyndighet i en region. Aktie- bolag, handelsbolag, ekonomiska föreningar och stiftelser där en region utövar ett rättsligt be- stämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretess- lagen (2009:400) ska vid tillämp- ningen av denna lag jämställas med en myndighet.

Tillämpningsområde

2 § Bestämmelserna i denna lag får tillämpas när personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1–6 patientdatalagen (2008:355) av en regional myndighet som bedriver hälso- och sjuk- vård vidareanvänds av en regional myndighet eller ett lärosäte som bedriver klinisk forskning.

Ändamål

3 § Personuppgifter som anges i 2 § får, under de förutsättningar som anges i denna lag, vidareanvändas om det behövs för ändamålet klinisk forskning.

Förhållandet till annan dataskyddsreglering

4 § Denna lag kompletterar EU:s dataskyddsförordning.

Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds- förordning och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag.

47

Författningsförslag

SOU 2023:76

Personuppgiftsansvar

5 § En regional myndighet som bedriver hälso- och sjukvård och som tillgängliggör personuppgifter enligt denna lag är personupp- giftsansvarig för den behandling av personuppgifter som myndig- heten utför enligt lagen.

6 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning och som ges tillgång till personuppgifter enligt denna lag är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten eller lärosätet utför enligt lagen.

Behandling av känsliga personuppgifter

7 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av arti- kel 9.2 j i förordningen.

2 kap. Tillgängliggörande av personuppgifter

Tillgång genom begränsad direktåtkomst eller annat elektroniskt utlämnande

1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning får, under de förutsättningar som anges i detta kapitel, ges tillgång, genom begränsad direktåtkomst eller annat elektroniskt ut- lämnande, till personuppgifter som behandlas av en regional myn- dighet som bedriver hälso- och sjukvård.

2 § När personuppgifter görs tillgängliga genom begränsad direkt- åtkomst, ska åtkomsten vara tidsbestämd. När den bestämda tids- perioden har löpt ut, ska den begränsade direktåtkomsten upphöra.

Den regionala myndigheten inom hälso- och sjukvården som till- gängliggör personuppgifterna kan, efter begäran, förlänga den tids- period som har bestämts enligt första stycket.

Den totala tidsperioden enligt första och andra styckena får inte överskrida sex månader.

48

SOU 2023:76

Författningsförslag

3 § Tillgång enligt 1 § får endast avse uppgiftsmängder som kan antas ha betydelse för forskningen.

Villkor för tillgängliggörande

4 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om 1. uppgifterna ska användas i

a)forskning som har godkänts av Etikprövningsmyndigheten eller Överklagandenämnden för etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor,

b)en klinisk läkemedelsprövning som har beviljats eller anses ha beviljats tillstånd i enlighet med förordning (EU) nr 536/2014,

c)en klinisk prövning som får påbörjas eller genomföras i en- lighet med bestämmelser i förordning (EU) 2017/745 eller enligt lagen (2021:600) med kompletterande bestämmelser till EU:s förord- ningar om medicintekniska produkter eller föreskrifter meddelade i anslutning till den lagen, eller

d)en prestandastudie som får påbörjas eller genomföras i enlig- het med bestämmelser i förordning (EU) 2017/746, och

2. den registrerade har samtyckt till att delta i forskningen. Villkoret enligt första stycket 2 om samtycke till att delta i forsk-

ningen är också uppfyllt om vårdnadshavare samtycker till forskning på barn enligt 18 § andra stycket lagen (2003:460) om etikprövning av forskning som avser människor. Detsamma gäller om lagligen ut- sedd ställföreträdare samtyckt till forskning på barn eller försöks- personer som inte är beslutskompetenta enligt artiklarna 32 och 31 i Förordning (EU) nr 536/2014, artiklarna 65 och 64 i Förordning (EU) 2017/745 eller artiklarna 61 och 60 i Förordning (EU) 2017/746.

5 § Tillgängliggörande av personuppgifter enligt 1 § får endast ske om den registrerade, utöver samtycke enligt 4 § första stycket 2, har samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.

Innan samtycke lämnas ska den registrerade, utöver vad som fram- går av artiklarna 13 och 14 i EU:s dataskyddsförordning, informeras om

1.vad begränsad direktåtkomst eller annat elektroniskt utlämnade enligt lagen innebär, och

2.rätten att återkalla ett samtycke till att uppgifter görs tillgängliga.

49

Författningsförslag

SOU 2023:76

6 § Om vårdnadshavare eller lagligen utsedd ställföreträdare har läm- nat samtycke till forskning enligt vad som anges i 4 § andra stycket, får tillgängliggörande enligt 1 § endast ske om vårdnadshavare eller lag- ligen utsedd ställföreträdare samtyckt till tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande.

Innan samtycke lämnas ska vårdnadshavare eller lagligen utsedd ställföreträdare få information enligt 5 § andra stycket.

7 § Om den registrerade återkallar samtycke som har lämnats en- ligt 5 § ska tillgängliggörandet upphöra så snart som möjligt.

Om vårdnadshavare eller lagligen utsedd ställföreträdare återkallar samtycke som har lämnats enligt 6 § ska tillgängliggörandet upphöra så snart som möjligt.

3 kap. Behandling av personuppgifter som gjorts tillgängliga

Tilldelning av behörighet för elektronisk åtkomst

1 § En regional myndighet eller ett lärosäte som bedriver klinisk forskning ska bestämma villkor för tilldelning av behörighet inom den egna organisationen för åtkomst till de personuppgifter som gjorts tillgängliga enligt 2 kap. 1 §. Sådan behörighet ska begränsas till vad som behövs för att den behörige ska kunna fullgöra sina arbetsuppgifter inom forskningen.

Villkor för att uppgifternas ska få tillföras forskningen

2 § En regional myndighet eller ett lärosäte som getts tillgång till personuppgifter enligt 2 kap. 1 § får endast tillföra forskningen de uppgifter som behövs för sådan forskning som anges i 2 kap. 4 § första stycket 1.

4 kap. Bevarande och gallring

1 § När en handling är tillgänglig enligt denna lag för en regional myndighet som bedriver hälso- och sjukvård och en regional myn- dighet eller ett lärosäte som bedriver klinisk forskning gäller skyl-

50

SOU 2023:76

Författningsförslag

digheten att bevara handlingen endast för den regionala myndighet inom hälso- och sjukvården som har tillgängliggjort handlingen.

Denna lag träder i kraft den 1 januari 2025.

51

Författningsförslag

SOU 2023:76

1.2Förslag till lag om ändring i patientdatalagen (2008:355)

Härigenom föreskrivs i fråga om patientdatalagen (2008:355)

dels att 1 kap. 4 §, 2 kap. 2, 4 och 6 §§, 4 kap. 1 och 2 §§, 5 kap. 4 § och 8 kap. 5, 6 och 7 §§ ska ha följande lydelse,

dels att det ska införas ett nytt kapitel, 6 kap., av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

1 kap.

4 §1

Denna lag innehåller bestämmelser som kompletterar EU:s data- skyddsförordning, vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställ- ning enligt särskilda kriterier.

Vid behandling av personuppgifter som avses i första stycket gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslut- ning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Ilagen (2022:913) om sammanhållen vård- och omsorgsdoku- mentation finns ytterligare bestämmelser om vårdgivares behandling av personuppgifter inom hälso- och sjukvården.

I lag (0000:000) om viss vidare- användning av personuppgifter för klinisk forskning finns bestämmel- ser om tillgängliggörande genom begränsad direktåtkomst eller annat elektroniskt utlämnande av person- uppgifter från hälso- och sjukvården.

1Senaste lydelse 2022:915.

52

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. 2 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.

SOU 2023:76

Författningsförslag

2kap. 2 §2

Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 § och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.

4 §3

Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1.att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2.administration som rör patienter och som syftar till att ge vård

ienskilda fall eller som annars föranleds av vård i enskilda fall,

3.att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4.att systematiskt och fortlöpande utveckla och säkra kvaliteten

iverksamheten,

5.administration, planering, uppföljning, utvärdering och tillsyn av verksamheten,

6.att framställa statistik om hälso- och sjukvården, eller

7.antalsberäkning inför klinisk forskning.

I 6 kap. 5 § finns särskilda be- stämmelser om behandling av per- sonuppgifter för vården av en annan patient än den som uppgifterna av- ser.

I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitets- register.

2Senaste lydelse 2022:915.

3Senaste lydelse 2023:167.

53

FörfattningsförslagSOU 2023:76

6 §4

En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I en region och en kommun är varje myndighet som bedriver hälso- och sjukvård personuppgifts- ansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i en region eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma region eller kommun.

I 7 kap. och i 4 kap. 1 § lagen

I 6 och 7 kap. samt i 4 kap. 1 §

(2022:913) om sammanhållen

lagen (2022:913) om samman-

vård- och omsorgsdokumenta-

hållen vård- och omsorgsdoku-

tion finns särskilda bestämmelser

mentation finns särskilda bestäm-

om personuppgiftsansvar.

melser om personuppgiftsansvar.

4 kap.

1 §

Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

I 6 kap. finns särskilda bestäm- melser om inre sekretess vid be- handling av personuppgifter för vården av en annan patient än den som uppgifterna avser.

2 §5

En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som be- hövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.

4Senaste lydelse 2022:915.

5Senaste lydelse 2022:915.

54

Ytterligare bestämmelser om direktåtkomst och annat elektro- niskt utlämnande finns i 5 §, 6 kap. 16 § och 7 kap. 9 § och i lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation.
Bestämmelser om begränsad direktåtkomst och annat elektro- niskt utlämnande av personupp- gifter som behandlas inom hälso- och sjukvården finns i lag (0000:00) om viss vidareanvändning av per- sonuppgifter för klinisk forskning.
55

SOU 2023:76

Författningsförslag

I 6 kap. 17 § finns ytterligare bestämmelser som gäller vid till- delning av behörighet till en pre- cisionsmedicinsk databas.

Personuppgifter som behandlas i en utredning enligt lagen (2018:744) om försäkringsmedicinska utredningar för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vård- enhet eller inom en annan vårdprocess hos samma vårdgivare. I den lagen finns särskilda bestämmelser om elektronisk åtkomst vid sådana utredningar.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om tilldelning av behörighet enligt första stycket.

5kap. 4 §6

Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun.

Ytterligare bestämmelser om direktåtkomst och annat elektro- niskt utlämnande finns i 5 §, 7 kap.

9 § och i lagen (2022:913) om sammanhållen vård- och omsorgs- dokumentation.

6Senaste lydelse 2023:167.

Författningsförslag

SOU 2023:76

6 kap. Vidareanvändning av patientdata för vårdändamål

Inledande bestämmelse

1 § Med precisionsmedicinsk databas avses en samling av person- uppgifter som inrättas särskilt för ändamålet vården av en annan patient än den som uppgifterna avser.

En precisionsmedicinsk databas syftar till att skapa underlag för vården av en annan patient än den som uppgifterna avser.

Den enskildes inställning till personuppgiftsbehandling i precisionsmedicinsk databas

2 § Personuppgifter får inte göras tillgängliga till en precisionsmedi- cinsk databas, om den enskilde motsätter sig det.

Om den enskilde motsätter sig tillgängliggörandet sedan det påbörjats, ska uppgifterna utplånas ur den precisionsmedicinska data- basen så snart som möjligt.

3 § En vårdgivare får tillgängliggöra uppgifter om en enskild som inte endast tillfälligt saknar förmåga att ta ställning till behandling i en precisionsmedicinsk databas, om

1.den enskildes inställning till sådan behandling av personupp- gifter så långt som möjligt har klarlagts, och

2.det inte finns anledning att anta att den enskilde skulle ha mot- satt sig behandlingen av personuppgifterna.

Information

4 § Innan personuppgifter görs tillgängliga till en precisionsmedicinsk databas ska den som är personuppgiftsansvarig informera den en- skilde om

1.vad personuppgiftsbehandling i precisionsmedicinsk databas innebär,

2.vad behandling av kompletterande personuppgifter från patient- journal innebär och

3.möjligheten att motsätta sig att uppgifter görs tillgängliga till en precisionsmedicinsk databas.

56

SOU 2023:76

Författningsförslag

Ändamål och inre sekretess

5 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att person- uppgifter, under de förutsättningar som anges i detta kapitel, får be- handlas inom hälso- och sjukvården om det behövs för vården av en annan patient än den som uppgifterna avser.

Första stycket gäller inte för sådan hälso- och sjukvård som reg- leras i

1.tandvårdslagen (1985:125), eller

2.lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar.

I stället för vad som anges i 4 kap. 1 § gäller bestämmelser om inre sekretess i detta kapitel vid behandling av personuppgifter för det ända- mål som anges i första stycket.

6 § Personuppgifter som behandlas för ändamålet vården av en annan patient än den som uppgifterna avser får inte behandlas för några andra ändamål.

Personuppgifter som behandlas för ändamål som anges i första stycket får dock behandlas för fullgörande av någon annan uppgifts- skyldighet som följer av lag eller förordning än den som anges i 6 kap. 5 § offentlighets- och sekretesslagen (2009:400).

Personuppgiftsansvar

7 § Endast en regional myndighet inom hälso- och sjukvården får vara personuppgiftsansvarig för central behandling av personuppgif- ter i en precisionsmedicinsk databas.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behandlas enligt 2 kap. 4 § första stycket 1 och 2 och behövs för ändamål som anges i 5 § första stycket får behandlas med stöd av detta kapitel.

9 § Personuppgifter som avses i artikel 9.1 i EU:s dataskyddsför- ordning (känsliga personuppgifter) får behandlas med stöd av arti-

57

Författningsförslag

SOU 2023:76

kel 9.2 h i förordningen under förutsättning att kravet på tystnads- plikt i artikel 9.3 i förordningen är uppfyllt.

Inrättande och förande av en precisionsmedicinsk databas

10 § Endast en regional myndighet inom hälso- och sjukvården får inrätta och föra en precisionsmedicinsk databas.

11 § Regional myndighet inom hälso- och sjukvården som för pre- cisionsmedicinsk databas får endast behandla de personuppgifter som behövs för syftet med databasen.

12 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas får ta del av per- sonuppgifter i databasen endast om han eller hon behöver uppgif- terna för sitt arbete med databasen.

I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.

Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas

13 § En vårdgivare får behandla personuppgifter för urval och till- gängliggörande till en regional myndighet inom hälso- och sjukvår- den som för en precisionsmedicinsk databas.

Urval och tillgängliggörande får endast ske av personuppgifter som behövs för att skapa underlag för det ändamål som anges i 5 § första stycket.

14 § Tillgängliggörande enligt 13 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.

15 § Den som arbetar hos en vårdgivare får ta del av dokumente- rade uppgifter om en patient om han eller hon behöver det för sitt arbete med urval och tillgängliggörande av uppgifter till en precisions- medicinsk databas.

I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.

58

SOU 2023:76

Författningsförslag

Tillgång tillpersonuppgifter i precisionsmedicinsk databas

Tillgång genom direktåtkomst eller annat elektroniskt utlämnade

16 § En regional myndighet inom hälso- och sjukvården får ges till- gång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en precisionsmedicinsk databas.

Tilldelning av behörighet för elektronisk åtkomst

17 § När en regional myndighet inom hälso- och sjukvården ska be- stämma villkor för tilldelning av behörighet för elektronisk åtkomst enligt 4 kap. 2 § får behörighet till en precisionsmedicinsk databas endast tilldelas den som arbetar i den specialiserade vården och be- höver åtkomsten för sitt arbete med att förebygga, utreda eller behandla sjukdomar och skador hos patienter.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrif- ter om tilldelning av behörighet enligt första stycket för åtkomst till uppgifter som förs helt eller delvis automatiserat.

Villkor för behandling av personuppgifter

18 § En regional myndighet inom hälso- och sjukvården får behandla personuppgifter som en annan myndighet som för precisionsmedi- cinsk databas har gjort tillgängliga om

1.någon som arbetar hos myndigheten och enligt 17 § har behörig- het till precisionsmedicinsk databas deltar i vården av en patient, och

2.uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Inre sekretess

19 § Den som arbetar hos en regional myndighet inom hälso- och sjukvården som för en precisionsmedicinsk databas och har behörig- het till sådan databas, får ta del av personuppgifter i databasen om han eller hon

59

Författningsförslag

SOU 2023:76

1.deltar i vården av en patient, och

2.uppgifterna kan ha betydelse för att inom hälso- och sjukvården förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Kompletterande personuppgifter från patientjournal

Begäran om kompletterande personuppgifter

20 § En regional myndighet inom hälso- och sjukvården som har tillgång till en precisionsmedicinsk databas får, hos en vårdgivare som enligt 13 § har tillgängliggjort personuppgifter till den databasen, be- gära de kompletterande personuppgifter från den patientjournal som kan antas ha betydelse för vården av en annan patient än den som upp- gifterna avser.

En begäran om kompletterande personuppgifter från patientjournal får också göras inom den myndighet som tillgängliggjort uppgifter till en precisionsmedicinsk databas om uppgifterna kan antas ha betydelse för vården av en annan patient än den som uppgifterna avser.

Tillgängliggörande av kompletterande personuppgifter

21 § En vårdgivare får tillgängliggöra de personuppgifter som om- fattas av en begäran om kompletterande personuppgifter enligt 20 §.

Tillgängliggörande av kompletterande personuppgifter får endast ske till en regional myndighet inom hälso- och sjukvården som har tillgång till den precisionsmedicinska databasen som vårdgivaren till- gängliggjort uppgifter till.

22 § En regional myndighet inom hälso- och sjukvården får, utöver den behandling av personuppgifter som sker genom tillgång till en precisionsmedicinsk databas, endast behandla de kompletterande per- sonuppgifter om en patient som behövs för vården av en annan patient än de som uppgifterna avser.

23 § Tillgängliggörande enligt 21 § får endast avse personuppgifter som är pseudonymiserade eller skyddade på likvärdigt sätt.

60

SOU 2023:76

Författningsförslag

Inre sekretess

24 § Den som arbetar hos en vårdgivare får ta del av dokumen- terade uppgifter om en patient om han eller hon behöver det för sitt arbete med begäran enligt 20 § om kompletterande personuppgifter från patientjournal.

I 4 kap. 2 och 3 §§ finns allmänna bestämmelser om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst.

25 § Den som enligt 17 § har behörighet till en precisionsmedi- cinsk databas får ta del av kompletterande personuppgifter om patienter om han eller hon

1.deltar i vården av en patient, och

2.uppgifterna kan antas ha betydelse för att inom hälso- och sjuk- vården förebygga, utreda eller behandla sjukdomar och skador hos patienten.

Bevarande och gallring

26 § När en handling i en precisionsmedicinsk databas är tillgäng- lig för flera regionala myndigheter gäller skyldigheten att bevara den endast för den myndighet som för databasen.

27 § Personuppgifter i en precisionsmedicinsk databas får inte be- handlas under längre tid än vad som behövs för ändamålen med data- basen.

28 § Personuppgifter i en precisionsmedicinsk databas som enligt 2 § andra stycket ska utplånas till följd av att patienten motsatt sig tillgängliggörande sedan uppgifterna tillgängliggjorts får också gallras.

Ytterligare föreskrifter om precisionsmedicinska databaser

29 § Regeringen kan med stöd av 8 kap. 7 § regeringsformen med- dela föreskrifter om precisionsmedicinska databaser.

61

Författningsförslag

SOU 2023:76

8 kap.

5 §

En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patien- ten som förekommit.

Första stycket gäller inte den direktåtkomst eller elektroniska åt- komst som förekommit hos en re- gional myndighet inom hälso- och sjukvården i anledning av att myn- digheten för en precisionsmedicinsk databas, har tillgång till en sådan databas eller behandlar komplette- rande personuppgifter från patient- journal enligt 6 kap. denna lag.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.

6 §7

Utöver vad som framgår av artiklarna 13 och 14 i EU:s dataskydds- förordning ska den som är personuppgiftsansvarig enligt denna lag lämna information till den registrerade om

1.den uppgiftsskyldighet som kan följa av lag eller förordning,

2.de sekretess- och säkerhetsbestämmelser som gäller för upp- gifterna och behandlingen,

3.rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

4.rätten enligt 5 § att få information om den åtkomst som före- kommit,

5.rätten enligt artikel 82 i EU:s dataskyddsförordning och 7 kap. 1 § lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning till skadestånd vid behandling av personupp- gifter i strid med denna lag, och

6.vad som gäller i fråga om sökbegrepp, direktåtkomst, utläm- nande av uppgifter på medium för automatiserad behandling och annat elektroniskt utlämnande.

I 7 kap. 3 § och i 2 kap. 2 §

I 6 kap. 4 §, 7 kap. 3 § och i

lagen (2022:913) om samman-

2 kap. 2 § lagen (2022:913) om

hållen vård- och omsorgsdoku-

sammanhållen vård- och omsorgs-

7Senaste lydelse 2022:915.

62

I denna lag finns föreskrifter om andra rättigheter för den en- skilde i 3 kap. 8 §, 4 kap. 4 § och 6 kap. 2 och 4 §§ samt 7 kap. 2 och 3 §§. Sådana föreskrifter finns även i 2 kap. 3 § första stycket lagen (2022:913) om samman- hållen vård- och omsorgsdoku- mentation.

SOU 2023:76Författningsförslag

mentation finns ytterligare be-

dokumentation finns ytterligare

stämmelser om vilken informa-

bestämmelser om vilken informa-

tion som ska lämnas i vissa fall.

tion som ska lämnas i vissa fall.

7 §8

I denna lag finns föreskrifter om andra rättigheter för den en- skilde i 3 kap. 8 § och 4 kap. 4 § samt 7 kap. 2 och 3 §§. Sådana föreskrifter finns även i 2 kap.

3 § första stycket lagen (2022:913) om sammanhållen vård- och om- sorgsdokumentation.

Denna lag träder i kraft den 1 januari 2025.

8Senaste lydelse 2022:915.

63

Författningsförslag

SOU 2023:76

1.3Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 10 kap. 19, 21, 23 och 24 §§, 24 kap. 9 § och 25 kap. 7, 10 och 11 §§ ska ha följande lydelse,

dels att det ska införas två nya paragrafer, 24 kap. 7 b § och 25 kap. 2 a §, och närmast före 24 kap. 7 b § och 25 kap. 2 a § nya rubriker av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

10kap.

19 §1

Sekretessen enligt 25 kap. 1 §,

 

Sekretessen enligt 25 kap. 1 §,

2 § andra stycket och 3–5 §§ och

2

§ andra

stycket,

2 a § andra

26 kap. 1 §, 1 a § andra stycket,

stycket och

3–5 §§

och 26 kap.

3, 4 och 6 §§ hindrar inte att en

1

§, 1 a § andra stycket, 3, 4 och

uppgift lämnas till Polismyndig-

6

§§ hindrar inte att en uppgift

heten eller någon annan myn-

lämnas till Polismyndigheten eller

dighet som ska ingripa mot brott,

någon annan myndighet som ska

om uppgiften behövs för att för-

ingripa mot brott, om uppgiften

hindra ett förestående eller avbryta

behövs för att förhindra ett före-

ett pågående brott som avses i

stående eller avbryta ett pågående

 

brott som avses i

 

1.4 eller 4 a § lagen (1951:649) om straff för vissa trafikbrott,

2.13 kap. 2 eller 3 § luftfartslagen (2010:500),

3.30 § lagen (1990:1157) om säkerhet vid tunnelbana och spårväg,

4.20 kap. 4 eller 5 § sjölagen (1994:1009),

5.7 kap. 2, 3 eller 4 § järnvägssäkerhetslagen (2022:367), eller

6.8 kap. 2, 3 eller 4 § lagen (2022:368) om nationella järnvägssystem.

21 §2

 

 

Sekretessen enligt 25 kap. 1 §,

Sekretessen enligt 25 kap. 1

§,

2 § andra stycket och 3–5 §§,

2 § andra stycket,

2 a § andra

26 kap. 1 §, 1 a § andra stycket,

stycket och 3–5 §§,

26 kap. 1

§,

1Senaste lydelse 2022:916.

2Senaste lydelse 2022:216.

64

SOU 2023:76Författningsförslag

3, 4 och 6 §§ samt 33 kap. 2 och

1 a § andra stycket, 3, 4 och 6 §§

4 a §§ hindrar inte att en uppgift

samt 33 kap. 2 och 4 a §§ hindrar

lämnas till en åklagarmyndighet

inte att en uppgift lämnas till en

eller Polismyndigheten, om upp-

åklagarmyndighet eller Polismyn-

giften angår misstanke om brott

digheten, om uppgiften angår

som riktats mot någon som inte

misstanke om brott som riktats

har fyllt arton år och det är fråga

mot någon som inte har fyllt arton

om brott som avses i

år och det är fråga om brott som

 

avses i

1.3, 4 eller 6 kap. brottsbalken, eller

2.lagen (1982:316) med förbud mot könsstympning av kvinnor.

 

 

 

 

 

23 §3

 

 

Om inte annat följer av 19–

Om inte annat följer av 19–

22 §§ får en uppgift som angår

22 §§ får en uppgift som angår

misstanke om ett begånget brott

misstanke om ett begånget brott

och som är sekretessbelagd enligt

och som är sekretessbelagd en-

24 kap. 2 a eller 8 §, 25 kap. 1 §, 2 §

ligt 24 kap. 2 a eller 8 §, 25 kap.

andra stycket eller 3–8 §§, 26 kap.

1 §, 2 § andra stycket, 2 a § andra

1 §, 1 a § andra stycket eller 2–6 §§,

stycket eller 3–8 §§, 26 kap. 1 §,

29 kap.

1 §,

31 kap. 1 §

första

1 a § andra stycket eller 2–6 §§,

stycket,

2 eller 12 §,

33 kap.

2

29 kap. 1 §,

31 kap.

1 § första

eller 4 a §, 36 kap. 3 § eller 40 kap.

stycket, 2 eller 12 §,

33 kap. 2

2 eller

5 §

lämnas

till

en

eller 4 a §, 36 kap. 3 § eller 40 kap.

åklagarmyndighet, Polismyndig-

2 eller 5 § lämnas till en åklagar-

heten,

Säkerhetspolisen

eller

myndighet,

Polismyndigheten,

någon annan myndighet som har

Säkerhetspolisen eller någon annan

till uppgift att ingripa mot brottet

myndighet som har till uppgift att

endast om misstanken angår

 

ingripa mot brottet endast om

 

 

 

 

 

 

misstanken angår

 

1.brott för vilket det inte är föreskrivet lindrigare straff än fäng- else i ett år,

2.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i två år, eller

3.försök till brott för vilket det inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168).

3Senaste lydelse 2022:216.

65

Sekretess som följer av andra sekretessbestämmelser än dem som anges i 19–23 §§, 24 kap. 7 b §, 25 kap. 2 § första stycket, 2 a § första stycket och 26 kap. 1 a § första stycket hindrar inte att en uppgift som angår miss- tanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndigheten, Säkerhetspoli- sen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är före- skrivet för brottet och detta kan antas föranleda någon annan på- följd än böter.

Författningsförslag

SOU 2023:76

24 §4

Sekretess som följer av andra sekretessbestämmelser än dem som anges i 19–23 §§, 25 kap. 2 § första stycket och 26 kap. 1 a § första stycket hindrar inte att en uppgift som angår misstanke om ett begånget brott lämnas till en åklagarmyndighet, Polismyndig- heten, Säkerhetspolisen eller någon annan myndighet som har till uppgift att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda någon annan påföljd än böter.

24 kap.

Vidareanvändning enligt lag (0000:00) om viss vidareanvändning av personuppgifter för klinisk forskning

7 b §

Sekretess gäller hos en myn- dighet för uppgift om en enskilds personliga förhållanden som gjorts tillgänglig av en myndighet i en region som bedriver verksamhet som avses i 25 kap. 1 § enligt lag (0000:00) om viss vidarean- vändning av personuppgifter för klinisk forskning, om inte förut- sättningarna enligt 3 kap. 2 § samma lag för att myndigheten ska få till-

4Senaste lydelse 2022:216.

66

SOU 2023:76Författningsförslag

föra forskningen uppgiften är upp- fyllda.

För uppgift i en allmän hand- ling gäller sekretessen i högst sjut- tio år.

9 §5

Den tystnadsplikt som följer av 2 a och 8 §§ och den tystnadsplikt som följer av ett förbehåll som har gjorts med stöd av 7 § andra meningen inskränker rätten enligt 1 kap. 1 och 7 §§ tryckfrihetsför- ordningen och 1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter.

Den tystnadsplikt som följer

Den tystnadsplikt som följer

av 2 § inskränker rätten att med-

av 2 och 7 b §§ inskränker rätten

dela och offentliggöra uppgifter,

att meddela och offentliggöra upp-

när det är fråga om uppgift om

gifter, när det är fråga om uppgift

annat än verkställighet av beslut

om annat än verkställighet av be-

om vård utan samtycke.

slut om vård utan samtycke.

25 kap.

Precisionsmedicinsk databas

2 a §

Sekretess gäller hos en myndig- het som bedriver verksamhet som avses i 1 § i en region för uppgift om en enskilds personliga förhål- landen som gjorts tillgänglig av en annan sådan myndighet som för precisionsmedicinsk databas enligt 6 kap. patientdatalagen (2008:355), om inte förutsättningarna enligt 6 kap. 18 § samma lag för att myn- digheten ska få behandla uppgiften är uppfyllda.

Om de förutsättningar som anges i första stycket är uppfyllda eller myndigheten har behandlat

5Senaste lydelse 2018:1919.

67

FörfattningsförslagSOU 2023:76

 

uppgiften enligt 6 kap. 18 § tidi-

 

gare, gäller sekretess, om det inte

 

står klart att uppgiften kan röjas

 

utan att den enskilde eller någon

 

närstående till denne lider men.

 

Sekretessen gäller inte om annat

 

följer av 7, 8, 10 § eller 26 kap. 6 §.

 

För uppgift i en allmän hand-

 

ling gäller sekretessen i högst sjuttio

 

år.

7 §

Sekretess gäller i verksamhet

Sekretess gäller i verksamhet

som anges i 1 §, 2 § andra stycket

som anges i 1 §, 2 § andra stycket,

och 3–5 §§ för uppgift i anmälan

2 a § andra stycket och 3–5 §§ för

eller utsaga av en enskild om

uppgift i anmälan eller utsaga av

någons hälsotillstånd eller andra

en enskild om någons hälsotill-

personliga förhållanden, i förhål-

stånd eller andra personliga för-

lande till den som anmälan eller

hållanden, i förhållande till den

utsagan avser, endast om det kan

som anmälan eller utsagan avser,

antas att fara uppkommer för att

endast om det kan antas att fara

den som har lämnat uppgiften

uppkommer för att den som har

eller någon närstående till denne

lämnat uppgiften eller någon när-

utsätts för våld eller lider annat

stående till denne utsätts för våld

allvarligt men om uppgiften röjs.

eller lider annat allvarligt men om

 

uppgiften röjs.

För uppgift i en allmän handling gäller sekretessen i högst femtio år.

10 §6

Sekretessen enligt 1 §, 2 § andra

Sekretessen enligt 1 §, 2 § andra

stycket, 3–5 §§ och 8 a och 8 b §§

stycket, 2 a § andra stycket, 3–5 §§

gäller inte

och 8 a och 8 b §§ gäller inte

1.beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet avser frihetsberövande åtgärd,

2.beslut enligt smittskyddslagen (2004:168), om beslutet avser frihetsberövande åtgärd,

3.beslut i ärende om klagomål mot hälso- och sjukvården eller dess personal,

6Senaste lydelse 2010:679.

68

SOU 2023:76

Författningsförslag

4.beslut i fråga om omhändertagande eller återlämnande av patient- journal, eller

5.beslut i ärende enligt 4 kap. 10 § eller 8 kap. patientsäkerhets- lagen.

11 §7

Sekretessen enligt 1 § hindrar inte att uppgift lämnas

1.från en myndighet som bedriver verksamhet som avses i 1 § i en kommun till en annan sådan myndighet i samma kommun,

2.från en myndighet som bedriver verksamhet som avses i 1 § i en region till en annan sådan myndighet i samma region,

3.till en myndighet som bedriver verksamhet som avses i 1 §, 26 kap. 1 §, en enskild vårdgivare eller omsorgsgivare enligt det som föreskrivs i lagen (2022:913) om sammanhållen vård- och omsorgs- dokumentation,

4.från en myndighet som be- driver verksamhet som avses i 1 §

ien region till en myndighet enligt det som föreskrivs i lag (0000:00) om viss vidareanvändning av per- sonuppgifter för klinisk forskning,

5.från en myndighet som be- driver verksamhet som avses i 1 §

ien region till en annan sådan myndighet i en annan region en- ligt det som föreskrivs i 6 kap. patientdatalagen (2008:355),

4. till ett nationellt eller regio-

6. till ett nationellt eller regio-

nalt kvalitetsregister enligt patient-

nalt kvalitetsregister enligt patient-

datalagen (2008:355),

datalagen,

5. från en myndighet som

7. från en myndighet som

bedriver verksamhet som avses i

bedriver verksamhet som avses i

1 § inom en kommun eller en

1 § inom en kommun eller en

region till annan sådan myndig-

region till annan sådan myndig-

het för forskning eller framställ-

het för forskning eller framställ-

ning av statistik eller för admini-

ning av statistik eller för admini-

stration på verksamhetsområdet,

stration på verksamhetsområdet,

om det inte kan antas att den

om det inte kan antas att den

7Senaste lydelse 2022:916.

69

FörfattningsförslagSOU 2023:76

enskilde eller någon närstående

enskilde eller någon närstående

till den enskilde lider men om

till den enskilde lider men om

uppgiften röjs, eller

uppgiften röjs, eller

6. till en enskild enligt vad

8. till en enskild enligt vad

som föreskrivs i

som föreskrivs i

lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål,

lagen (1991:1129) om rättspsykiatrisk vård,

lagen (1995:831) om transplantation m.m.,

smittskyddslagen (2004:168),

6 och 7 kap. lagen (2006:351) om genetisk integritet m.m.,

lagen (2006:496) om blodsäkerhet,

lagen (2008:286) om kvalitets- och säkerhetsnormer vid han- tering av mänskliga vävnader och celler,

lagen (2012:263) om kvalitets- och säkerhetsnormer vid hanter- ing av mänskliga organ eller förordning som har meddelats med stöd av den lagen, eller

2 kap. lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.

Denna lag träder i kraft den 1 januari 2025.

70

SOU 2023:76

Författningsförslag

1.4Förslag till förordning om vidareanvändning av patientdata i precisionsmedicinsk databas (0000:00)

Härigenom föreskrivs följande.

Inledande bestämmelser

1 § I denna förordning finns föreskrifter som ansluter till 6 kap. patientdatalagen (2008:355).

De ord och benämningar som används i förordningen har samma betydelse som i den nämnda lagen.

2 § Denna förordning är meddelad med stöd av 8 kap. 7 § reger- ingsformen.

Precisionsmedicinsk databas

3 § En precisionsmedicinsk databas ska tillgängliggöra personupp- gifter för vården av en annan patient än den som uppgifterna avser.

Personuppgifterna i en precisionsmedicinsk databas får behand- las för de ändamål som anges i 6 kap. 5 § patientdatalagen (2008:355).

Samverkansregionala precisionsmedicinska databaser

4 § Endast en sådan regional myndighet inom hälso- och sjuk- vården som omfattas av en av de sex samverkansregioner för hälso- och sjukvård som anges i 3 kap. 1 § hälso- och sjukvårdsförordningen (2017:80) får inrätta och föra en precisionsmedicinsk databas enligt 6 kap. 10 § patientdatalagen (2008:355).

En samverkansregional precisionsmedicinsk databas får finnas i var och en av

1.samverkansregion Stockholm,

2.samverkansregion Linköping,

3.samverkansregion Lund/Malmö,

4.samverkansregion Göteborg,

5.samverkansregion Uppsala/Örebro eller

6.samverkansregion Umeå.

71

Författningsförslag

SOU 2023:76

Precisionsmedicinsk databas inom den Nationella Genomikplattformen

5 § Hos en regional myndighet inom hälso- och sjukvården som ingår i Genomic Medicine Sweden får en precisionsmedicinsk data- bas inrättas och föras enligt 6 kap. 10 § patientdatalagen (2008:355) inom den Nationella Genomikplattformen.

Personuppgiftsansvar

6 § Endast den regionala myndighet som enligt 4 § inrättar och för precisionsmedicinsk databas får vara personuppgiftsansvarig för cen- tral behandling av personuppgifter i en precisionsmedicinsk databas enligt 6 kap. 7 § patientdatalagen.

7 § Den regionala myndighet som inrättar och för precisionsmedi- cinsk databas inom den Nationella Genomikplattformen enligt 5 § är personuppgiftsansvarig för central behandling av personuppgifter i databasen enligt 6 kap. 7 § patientdatalagen.

Urval och tillgängliggörande av personuppgifter till en precisionsmedicinsk databas

Samverkansregionala precisionsmedicinska databaser

8 § Vårdgivare som omfattas av en samverkansregion får endast till- gängliggöra personuppgifter till den precisionsmedicinska databas som finns i vårdgivarens samverkansregion.

9 § Vårdgivare som inte omfattas av en samverkansregion, men som bedriver hälso- och sjukvård med en region som huvudman, får tillgängliggöra personuppgifter till den samverkansregionala databas som huvudmannen omfattas av.

72

SOU 2023:76

Författningsförslag

Precisionsmedicinsk databas inom den Nationella Genomikplattform

10 § Vårdgivare som ingår i Genomic Medicine Sweden får till- gängliggöra personuppgifter till den precisionsmedicinska databasen inom den Nationella Genomikplattformen.

Tillgång till personuppgifter precisionsmedicinsk databas

11 § Endast regionala myndigheter inom den samverkansregion där en samverkansregional precisionsmedicinsk databas förs får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i en samverkansregional precisions- medicinsk databas.

12 § Endast de regionala myndigheter som ingår i Genomic Medicine Sweden får ges tillgång, genom direktåtkomst eller annat elektroniskt utlämnande, till personuppgifter som behandlas i den precisionsmedi- cinska databasen inom den Nationella Genomikplattformen.

Uppgiftslämnande

13 § Bestämmelser om sekretess inom allmän hälso- och sjukvårds- verksamhet finns i 25 kap. offentlighets- och sekretesslagen (2009:400).

Bestämmelser om tystnadsplikt inom enskild hälso- och sjukvårds- verksamhet finns i 6 kap. 12, 13 och 16 §§ patientsäkerhetslagen (2010:659).

Denna förordning träder i kraft den 1 januari 2025.

73

Författningsförslag

SOU 2023:76

1.5Förslag till förordning om ändring

i patientdataförordningen (2008:360)

Härigenom föreskrivs i fråga om patientdataförordningen (2008:360) att 2 § ska ha följande lydelse.

Nuvarande lydelseFöreslagen lydelse

2 §1

Socialstyrelsen får, efter att ha gett Integritetsskyddsmyndigheten tillfälle att yttra sig, meddela föreskrifter om verkställigheten av

1. tilldelning av behörighet för

1. tilldelning av behörighet för

åtkomst till uppgifter som förs

åtkomst till uppgifter som förs

helt eller

delvis

automatiserat

helt eller delvis automatiserat

enligt 4 kap. 2 § patientdatalagen

enligt 4 kap. 2 § och 6 kap. 17 §

(2008:355) samt sådan tilldel-

patientdatalagen (2008:355) samt

ning av behörighet vid samman-

sådan tilldelning av behörighet

hållen vård- och omsorgsdoku-

vid sammanhållen vård- och om-

mentation enligt 4 kap. 3 § lagen

sorgsdokumentation enligt 4 kap.

(2022:913)

om

sammanhållen

3 § lagen (2022:913) om samman-

vård och omsorgsdokumentation,

hållen vård och omsorgsdoku-

 

 

 

mentation,

2.dokumentation och kontroll av elektronisk åtkomst enligt 4 kap. 3 § patientdatalagen samt dokumentation och kontroll av åtkomst vid sammanhållen vård- och omsorgsdokumentation enligt 4 kap. 4 § lagen om sammanhållen vård- och omsorgsdokumentation,

3.de krav på säkerhetsåtgärder som ska gälla vid sådan direkt- åtkomst eller annat elektroniskt utlämnande som avses i 5 kap. 5 § patientdatalagen och i 4 kap. 2 § lagen om sammanhållen vård- och omsorgsdokumentation, och

4.den information som ska ges till patienten enligt 8 kap. 5 § patientdatalagen.

Denna förordning träder i kraft 1 januari 2025.

1Senaste lydelse 2022:924.

74

2Utredningens uppdrag och arbete

2.1Inledning

I detta kapitel beskrivs utredningens uppdrag och bakgrund till upp- draget, utredningens tolkning och avgränsningar av uppdraget, vissa begrepp som används i betänkandet samt hur utredningen har be- drivit sitt arbete.

2.2Övergripande om uppdraget

I direktiven anges att utredaren ska:

Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera. Ana- lysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten.

Bedöma om det behövs författningsändringar för att möjliggöra att personuppgifter eller andra data från flera individer ska kunna användas för vård och behandling av andra enskilda individer samt för att sådana uppgifter ska kunna delas mellan olika aktörer som bedriver vård eller forskning och innovation eller bådadera, samt i så fall lämna nödvändiga författningsförslag.

75

Utredningens uppdrag och arbete

SOU 2023:76

Om det är nödvändigt med författningsändringar, särskilt redo- göra för hur författningsförslagen förhåller sig till regleringar om offentlighet och sekretess, tystnadsplikt, dataskydd och till den en- skildes behov av skydd för den personliga integriteten.

Analysera vilka möjligheter som, utifrån befintlig lagstiftning kring offentlighet och sekretess, tystnadsplikt samt dataskydd, finns för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovations- verksamhet, undervisning på akademisk nivå samt statliga och regio- nala och kommunala myndigheters beslutsfattande. Analysen ska även innefatta en analys av den enskildes behov av skydd för den personliga integriteten.

Bedöma om det behövs författningsändringar för att möjliggöra sekundäranvändning av hälsodata från hälso- och sjukvården för ändamålen forskning, utvecklings- och innovationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande, samt i så fall lämna nöd- vändiga författningsförslag.

Om det är nödvändigt med författningsändringar, särskilt redogöra för hur författningsförslagen förhåller sig till regleringar om offent- lighet och sekretess, tystnadsplikt och dataskydd, och till den en- skildes behov av skydd för den personliga integriteten.

Redogöra för de konkreta tillämpningssvårigheter när det gäller den befintliga regleringen av hälsodata som eventuellt framkom- mer under utredningens gång.

I uppdraget ingår inte att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individ- data lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om natio- nella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, eller inom ramen för regler om registerbaserad forsk- ning, som de behov som beskrivs i direktiven kan tillgodoses.

Bakgrunden till uppdraget framgår av direktivet. Direktivet hän- visar bland annat till regeringens nationella life science-strategi (N2019/03157) och regeringens datastrategi, Data – en underutnyttjad

76

SOU 2023:76

Utredningens uppdrag och arbete

resurs för Sverige (I2021/02739) där det framgår att dataområdet är under stor förändring samt vilka möjligheter nya data kan ge upphov till.

Direktivet hänvisar också till behovet av ändrad lagstiftning rör- ande sekundäranvändning av hälsodata för vård av annan än den en- skilde, vilket är en förutsättning för nationell implementering av viss precisionsmedicin i Sverige.

Därtill lyfts att regeringen fått en rad synpunkter från olika sam- hällsaktörer om att regleringen av hälsodata är utdaterad och svår- tillämpad. Riksdagen har i ett tillkännagivande till regeringen anfört att en översyn av patientdatalagen och annan relevant lagstiftning bör göras.1 Det är enligt riksdagen angeläget att lagstiftningen på om- rådet är anpassad till de krav som dagens teknik ställer, samtidigt som skyddet för den personliga integriteten värnas. Utredningens direktiv är indelade i tre delar, utredningen redogör för tolkningen av var och ett av dem under avsnitt 2.3, 2.4 och 2.5.

2.3Tolkning av uppdraget om att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål

Den första delen av utredningens direktiv avser enligt rubriken sekun- däranvändning av hälsodata för patientändamål. I denna del av utred- ningens direktiv är förutsättningarna för implementeringen av preci- sionsmedicin inom hälso- och sjukvården en central del. Kopplat till precisionsmedicin lyfts i direktiven frågan om utbyte av personupp- gifter mellan olika aktörer för vård och behandling av andra enskilda individer. I denna del lyfts även delning av personuppgifter mellan olika aktörer som bedriver vård eller forskning och innovation eller båda- dera.

Utredningen uppfattar att uppdraget i denna del först och främst avser vidareanvändning av personuppgifter för vårdändamål. Patienten i sig kan inte vara ett ändamål för personuppgiftsbehandlingen, utan det är enligt utredningens tolkning av uppdraget vården av patienten som är ändamålet för personuppgiftsbehandlingen. Däremot uppfattar utredningen att begreppet ”patientändamål” ger uttryck för att de nyttor av vidareanvändning som avses i denna del är av patientnära karaktär. Exakt var gränsen för detta går är inte möjligt att fastställa

1Bet. hälso- och sjukvårdsfrågor 2018/19:SoU8 punkt 58, rskr. 2018/19:233.

77

Utredningens uppdrag och arbete

SOU 2023:76

och utredningen ser inte heller att det är av avgörande betydelse för utredningens uppdrag.

Utredningen tolkar vidare uppdraget i denna del som att rättsläget behöver analyseras med avseende på förutsättningarna att för vård- ändamål behandla personuppgifter som avser en patient för vården av en annan patient. Det ingår även att utreda förutsättningarna för sådan behandling av personuppgifter mellan aktörer som bedriver hälso- och sjukvård. Utifrån att ändamålet är vård, uppfattar utredningen att de aktörer som kan avses är sjukvårdshuvudmän och vårdgivare. Utred- ningen uppfattar att det övergripande syftet med analysen och even- tuella författningsförslag avseende vidareanvändning av personupp- gifter för vårdändamål är att kartlägga de juridiska förutsättningarna för, samt vid behov lämna de författningsförslag som krävs, för att precisionsmedicin ska kunna implementeras inom svensk hälso- och sjukvård. För en beskrivning av precisionsmedicin, se avsnitt 11.4.1.

I utredningens författningsförslag formuleras ändamålet som be- handling av personuppgifter för vården av en annan patient än den som personuppgifterna avser, se vidare avsnitt 14.4.1.

Utöver vårdändamålet, avser uppdraget i första delen av direk- tiven även ändamålen innovation och forskning. Utredningen har i denna del uppfattat att uppdraget avser situationer där vård, inno- vation och forskning sker parallellt med varandra. Personuppgifter samlas in och används primärt för vårdändamålet. Det finns även stora behov att kunna använda uppgifterna för utveckling, innova- tion och forskning. I dessa situationer kan det vara svårt att bedöma vilket det primära- respektive sekundära ändamålet är. Många gånger har det inte heller en praktisk betydelse för den registrerade.

2.4Tolkning av uppdraget att lämna förslag som möjliggör utökad sekundäranvändning av hälsodata

Direktiven i den andra delen tar avstamp i att det generellt finns stor potential i de mängder hälsodata som finns lagrade inom hälso- och sjukvården och som kontinuerligt samlas in. I direktiven lyfts att det finns ett växande behov av användning av hälsodata för att kunna möta alltmer komplexa samhällsutmaningar och att en mer dynamisk datadelning skulle kunna möjliggöra mer effektiv och medborgar-

78

SOU 2023:76

Utredningens uppdrag och arbete

centrerad service och vård. Dessutom skulle det kunna öka förmågan att möta samhällsutmaningar och kriser med hjälp av datadrivna ana- lyser och fördjupade kunskapsunderlag som kan ge bättre helhets- bilder i realtid. Det anges vidare att det i dag inte bedöms finnas till- räckliga rättsliga, organisatoriska eller tekniska förutsättningar när det gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och inno- vationsverksamhet, undervisning samt statliga och regionala myndig- heters beslutsfattande. Utifrån detta ska utredningen analysera möjlig- heterna till sekundäranvändning av hälsodata från hälso- och sjukvården för de angivna ändamålen och bedöma om det behövs författnings- ändringar för att möjliggöra sådan sekundäranvändning.

Utredningen uppfattar att uppdraget redan i nu nämnda delar är mycket omfattande. Det kan tänkas omfatta förbättringar för hälso- och sjukvården, men också andra samhällsfunktioner. Det kan tänkas omfatta både aktörer inom hälso- och sjukvården (offentliga såväl som privata), som statliga, regionala och kommunala myndigheter och privata företag som kan ha nytta av att använda hälsodata från hälso- och sjukvården. Det rör sig om aktörer med olika uppdrag och verk- samheter, som omfattas av olika regelverk.

För det fall utredningen lämnar författningsförslag, ska utredningen enligt direktiven särskilt redogöra för hur författningsförslagen för- håller sig till regleringar om offentlighet och sekretess, tystnadsplikt och dataskydd, och till den enskildes behov av skydd för den per- sonliga integriteten. Utredningen konstaterar att detta i sig innebär omfattande analyser. Ju fler typer av aktörer som omfattas av för- slagen, desto fler perspektiv och juridiska aspekter aktualiseras kopplat till dessa analyser.

Utredning noterar att ändamålen forskning och innovation åter- finns såväl i denna del av utredningens direktiv som i första delen, avseende uppdraget beträffande sekundäranvändning av hälsodata för patientändamål, se ovan avsnitt 2.3. I direktiven kommenteras inte hur dessa eventuellt överlappar varandra. Utredningen uppfattar att det delvis kan finnas en överlappning avseende uppdragen rörande ända- målen forskning och innovation. Forskning och innovation inom eller med nära koppling till hälso- och sjukvården, där nyttorna realiseras nära patienten, skulle kunna tänkas omfattas av båda delarna i upp- dragen. I direktiven framgår en bedömning att det i dag inte finns till- räckliga rättsliga, organisatoriska eller tekniska förutsättningar när det

79

Utredningens uppdrag och arbete

SOU 2023:76

gäller sekundäranvändning av hälsodata för att dessa data ska kunna komma till nytta för ändamål som forskning, utvecklings- och innova- tionsverksamhet, undervisning samt statliga och regionala myndig- heters beslutsfattande. Utredningens tolkning av de utpekade ända- målen i direktivens andra del redogörs för, var för sig, nedan.

2.4.1Forskning

Av direktiven framgår ingen begränsning av vilken typ av forskning som omfattas. Det framgår dock att det är forskning som kräver tillgång till hälsodata. Utredningens bedömning är att det finns olika typer av forskning när det kommer till hälsodata. Det innebär att en mängd olika juridiska aspekter kan aktualiseras. I kapitel 6 beskriver utredningen viktiga begrepp och regelverk inom sådan forskning som utredningen tolkar är av vikt för utredningens arbete. En av utgångs- punkterna för utredningens uppdrag beskrivs i direktiven vara life science-strategin. Det framgår även i direktiven att svensk medicinsk forskning och life science ska ligga i framkant för att Sverige ska vara internationellt konkurrenskraftigt inom området. Enligt Vetenskaps- rådets definition syftar medicinsk forskning till att öka grundläggande kunskaper om hur celler och vävnader fungerar och interagerar, samt till att bidra till att förbättra och utveckla läkemedel, vård- och be- handlingsmetoder och medicintekniska produkter.2 Det här tolkar ut- redningen som att forskningen som avses i direktiven sannolikt avser sådan hälsodata som utgörs av personuppgifter. När hälsodata utgörs av personuppgifter aktualiseras särskilda bestämmelser i dataskydds- förordningen. En möjlig tolkning av direktiven är att det först och främst avser forskning som stärker hälso- och sjukvården och att forsk- ningen då utgår från hälsodata som utgörs av personuppgifter. Utred- ningen anser dock att det inte går att utesluta en bredare tolkning. Annan forskning kan vara forskning kring exempelvis trafiksäkerhet som indirekt kan påverka hälso- och sjukvården. Det här innebär att det är svårt att sätta en yttre gräns för vilken forskning som skulle kunna omfattas av utredningens direktiv.

Även om tolkningen av vilken forskning som ska omfattas be- gränsas till att primärt avse forskning som stärker hälso- och sjuk-

2https://www.vr.se/uppdrag/klinisk-forskning/definitioner-av-begrepp-inom-medicinsk- och-klinisk-forskning.html (Hämtat 2023-10-05).

80

SOU 2023:76

Utredningens uppdrag och arbete

vården, innebär sådan forskning att det finns behov som kräver flera olika juridiska perspektiv att ta hänsyn till.

2.4.2Utveckling och innovation

Iutredningens direktiv definieras utvecklings- och innovationsverk- samhet som utvecklingen och implementeringen av nya eller förbätt- rade produkter, processer eller tjänster genom användning av tekniska uppgifter, affärsinformation och annan befintlig kunskap tillsammans med sekundäranvändning av person-uppgifter från hälso- och sjuk- vården.

Utredningens bedömning är att det finns olika typer av utveckling när det kommer till hälsodata. Det finns utveckling inom vården som är direkt kopplad till vården av patienterna och omfattas av sådan utveckling som anges i 2 kap. 4 § 4 PDL. Sedan finns utveckling som indirekt påverkar vården. Detta kan röra exempelvis utveckling av fastighetsskötsel eller annat, så som underhåll av ramper. Ett utveck- lingsarbete på detta område skulle exempelvis kunna vara att ersätta en ramp med en hiss. Utredningen bedömer att denna typ av utveck- ling inte är den typ av utveckling som avses i utredningens direktiv. Däremot är det en övergående skala från denna typ av utveckling till den utveckling som är nära kopplad till patienten. Slutligen finns utveckling som indirekt kan påverka vården men som kan ha en annan typ av koppling till vården. Exempelvis har ett läkemedels- eller medi- cinteknikföretag närmre koppling till hälso- och sjukvården än en biltillverkare som tillverkar krockkuddar. Det går att argumentera för att båda utvecklar produkter som kopplar till hälsa, men utredningen bedömer att utveckling av produkter som ska användas i sjukvården för vård av patienter har en närmare koppling till vården än exem- pelvis krockkuddar och säkerhetsbälten. Utredningens arbete har i första hand utgått ifrån behovet i vårdens kärnverksamhet och i andra hand utgått ifrån behovet för life science sektorn och vårdens kringverksamhet. Utveckling för övriga sektorer har utredningen tagit hänsyn till i sista hand eftersom deras behov bedömts vara minst i förhållande till de andra.

Vad gäller begreppet innovation så är det inget begrepp som finns definierat i den svenska lagstiftningen. I den finska lagen för sekun- däranvändning finns innovation som ett eget ändamål. Utredningen

81

Utredningens uppdrag och arbete

SOU 2023:76

har varit i kontakt med Findata3 angående hur innovation används i praktiken och hur det skiljer sig mellan forskning och utveckling. Deras bedömning var att innovationsbegreppet är svårt att använda och att datauttag många gånger görs som forskning i stället eftersom det ofta ger tillgång till mer hälsodata och därför också möjliggör för fler typer av analyser.4 Utredningen har därför tolkat att själva be- greppet innovation kan ses som utveckling eller utveckling med mer verkshöjd.

2.4.3Utbildning på akademisk nivå

Av direktiven framgår ingen tydlig avgränsning av vilken typ av ut- bildning på akademisk nivå som omfattas. Det framgår dock att det är sådan utbildning på akademisk nivå som i förlängningen förväntas stärka hälso- och sjukvården. Det finns olika typer av akademisk under- visning som i förlängningen kan förväntas stärka hälso- och sjuk- vården. Utredningens tolkning av behoven är att det främst rör bli- vande vårdpersonal som läkarstudenters tillgång till hälsodata när de gör praktik eller när de skriver sin examensuppsats. Utredningen tolkar även direktiven som att andra yrkeskategorier kan ha liknande behov under förutsättning att de behöver så kallad vårdförlagd utbildning under sin akademiska utbildning. Utredningen konstaterar att be- greppen primär- och sekundäranvändning skapar vissa utmaningar i sammanhanget.

Avseende till exempel läkarstudenters examensuppsatser skrivs dessa, som utredningen förstått det, många gånger under primärända- målet utveckling, ur vårdgivarens perspektiv. Samtidigt är det primära ändamålet utbildning för studenten och lärosätet. Utredningens upp- fattning att det oftast handlar om två parallella primära ändamål snarare än ett primärt och ett sekundärt.

När det kommer till läkarstudenters praktik eller så kallad vård- förlagd utbildning så skapar uppdelningen mellan primär- och sekun- däranvändning också problem. Den primära anledningen till att stu- denten gör praktik är utbildning sett ur studentens och lärosätets per- spektiv. Ur vårdgivarens eller patientens perspektiv är det primära syftet vård.

3Findata är en finsk tillståndsmyndigheten som utfärdar tillstånd för sekundäranvädning av hälsodata.

4Möte med THL 2022-10-21.

82

SOU 2023:76

Utredningens uppdrag och arbete

Utredningen har konstaterat att utbildning på akademisk nivå är ett ändamål som återfinns i den finska lagstiftningen om sekundär- användning. Utredningens tolkning är att den finska lagstiftningen fungerat som förebild vid framtagandet av direktiven och att det är en av anledningarna till att utredningen haft i uppdrag att utröna vilka behoven av hälsodata som finns inom utbildning på akademisk nivå. Utredningen konstaterar sammanfattningsvis att det är komplext att tolka behoven ur enbart ett sekundäranvändningsperspektiv.

2.4.4Myndigheters beslutsfattande

Av direktiven framgår ingen begränsning av vilken typ av myndig- heters beslutsfattande som omfattas, mer än att kommunala, regionala och statliga myndigheter listas. Det framgår däremot att det är sådant beslutsfattande som kräver tillgång till hälsodata. Det här innebär att uppdraget kan omfatta oerhört många typer av beslut och sannolikt lika många juridiska aspekter och perspektiv. Utredningens bedöm- ning av ändamålet statliga, regionala och kommunala myndigheters beslutsfattande är att regeringen önskat driva på utvecklingen där hälso- data används i större utsträckning för att fatta välgrundade beslut. Utredningens tolkning vad gäller kommunala och regionala myndig- heter är att de sannolikt bör begränsas till att omfattas av sådana myn- digheter som bedriver vård. Utredningens bedömning är att det finns en tydlig skillnad mellan behoven av hälsodata för kommunala eller regionala myndigheter i form av vårdgivare jämfört med till exempel statliga myndigheter. Gemensamt är dock att alla kan behöva hälso- data för att fatta vissa av sina beslut. Kommunala och kanske fram- för allt regionala vårdgivare har behov av hälsodata för att fatta beslut på macro- meso- och micronivå. Med macronivå avser utredningen exem- pelvis vårdbehov som en regionledning kan behöva fatta beslut kring.

Med mesonivå avser utredningen exempelvis vårdplanering för en- skilda sjukhus. Med micronivå avser utredningen enskilda kliniker eller enskilda personers användning av hälsodata i enskilda patient- möten.

I korthet har utredningen bedömt att statliga myndigheter fram- för allt har registerförfattning att använda som grund för besluts- fattande när det rör hälsodata som utgörs av personuppgifter som behövs för beslutsfattandet. För kommunala och regionala vårdgivare

83

Utredningens uppdrag och arbete

SOU 2023:76

som kräver tillgång till hälsodata som utgörs av personuppgifter för sina beslutsfattande tillämpas PDL. Utredningens egen uppfattning om hur behoven bör tillgodoses omhändertas i avsnitt 2.7.8.

Utredningens bedömning är att vissa aspekter omhändertas inom utredningens författningsförslag som avser vårdändamålet. Vid person- uppgiftsbehandling som avser vård av annan än den personuppgifterna avser, utgör de nya möjligheterna som följer av utredningens författ- ningsförslag, en form av beslutsstöd. Beslutsfattande som behöver fattas som direkt rör vård av patienter bör, till viss del, enligt utredningens uppfattning omhändertas inom utvecklingsändamålet. Den bedöm- ningen gör utredningen utifrån att slutsatser som kan dras vid utveck- ling av vården bör kunna ligga till grund för nya beslut i framtiden.

Övriga behov handlar, enligt utredningens bedömning, sannolikt ofta om tillgång till hälsodata på aggregerad nivå som efterfrågas när det gäller olika myndigheters beslutsfattande. Utredningen tolkar där- för direktiven som att det ges uttryck för att det främst saknas orga- nisatoriska och tekniska möjligheter för att kunna använda hälsodata för dessa myndigheters beslutsfattande.

2.4.5Frågan om inrättande av en nationell datahubb

Bedömning: Enligt direktiven ska utredningen säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk funktion för säker och effektiv delning av hälsodata. Utredningen har tolkat uppdraget som att det inte omfattar att lämna förslag på inrättande av en nationell datahubb vid en myndighet eftersom det skulle kräva omfattande och genomgripande författningsför- slag som inte skulle ge utrymme åt utredning av de ändamål som uttryckligen anges i direktiven. Utredningen resonerar däremot så långt det är möjligt utan att lämna författningsförslag i kapi- tel 19–21 om införande av en sådan nationell datahubb. Resone- mangen i dessa kapitel utgörs av bedömningar som efter ytter- ligare utredning kan leda till författningsförslag.

I utredningen direktiv anges att uppdraget omfattar att säkerställa att de förslag som lämnas är förenliga med målsättningen att inom ramen för en befintlig myndighet inrätta en teknisk och organisatorisk

84

SOU 2023:76

Utredningens uppdrag och arbete

funktion för säker och effektiv delning av hälsodata, i likhet med Findata i Finland eller andra liknande strukturer i andra länder. Utred- ningen noterar också att det finns stora likheter mellan de ändamål som omfattas av utredningens uppdrag avseende utökade möjligheter till sekundäranvändning av hälsodata och de ändamål som omfattas av den finska sekundäranvändningslagen. Vidare anges i direktiven att för att förbättrade rättsliga möjligheter till sekundäranvändning av hälsodata ska kunna få verkligt genomslag behöver dessa förbättringar framöver kunna kompletteras med bättre tekniska, kompetensmässiga och organisatoriska funktioner för den faktiska datadelningen. Dessa faktorer är också förutsättningar för att Sverige ska kunna vara en del av det europeiska hälsodataområdet. En möjlighet är att en befintlig myndighet görs ansvarig för att möjliggöra datadelning i likhet med Findata i Finland. Utredningen har utifrån detta haft anledning att ta ställning till hur långt utredningens förslag ska gå.

Utredningen uppfattar att uppdraget omfattar att kartlägga och analysera strukturer för datadelning i andra länder. Utredningen har tolkat detta som strukturer som följer av delen av förslagen till Europeiska kommissionens förslag till Europaparlamentets och Rådets förordning om ett europeiskt hälsodataområde, COM(2022) 197 final av den 3 maj 2022, förkortat förslaget till EHDS, som avser sekun- däranvändning. Utredningen redogör för detta i kapitel 10. Utred- ningen uppfattar även uppdraget att se över just juridiska utmaningar med dagens lagstiftning. Utredningen har dock inte tolkat uppdraget som att det omfattar att lämnar förslag på inrättande av en nationell datahubb vid en statlig myndighet. Denna bedömning gör utred- ningen bland annat för att det inte uttryckligen står i direktivet. Att inrätta en nationell datahubb är ett mycket omfattande arbete och om regeringen hade velat att utredningen gjorde det så utgår utredningen från att det tydligt framgått av direktiven och att tydliga tekniska specifikationer skulle angetts. Utredningens uppfattning är även att utredningstiden skulle varit anpassad efter ett sådant uppdrag om det skulle ingått i uppdraget. Det hade inte varit möjligt för utredningen att både utreda rättsliga förutsättningar för de uttryckliga ändamålen som anges i direktiven parallellt med en så stor fråga som etableringen av en nationell datahubb med de angivna tidsramarna. Utredningen tolkar skrivelsen om att förslagen ska vara förenliga med målsättningen som att regeringen har en sådan målsättning men att regeringen har för ambition att först uttryckligen peka ut lämplig statlig myndighet

85

Utredningens uppdrag och arbete

SOU 2023:76

och att regeringen kommer återkomma i denna fråga. Utredningen bedömer vidare att det är rimligt att regeringen medvetet avvaktat med att uttryckligen skriva ut ett uppdrag om att reglera upp en natio- nell datahubb eftersom stora delar av en sådan datahubb sannolikt kommer påverkas av förslaget till EHDS. Av den anledningen bedömer utredningen att det är lämpligt att etableringen av en nationell data- hubb utreds när regeringen vet mer om hur den slutliga förordningen kommer att se ut. Frågor som tekniska möjligheter, infrastruktur, it och informationssäkerhet behöver ses över med ett samlat grepp för att se vad som är möjligt att genomföra. Detta är frågor som utred- ningen inte haft möjlighet eller kompetens att se över. För att arbetet med att etablera en nationell datahubb ska bli så effektivt som möjligt behöver regeringen först peka ut lämplig statlig myndighet för att sedan utreda vilka rättsliga förutsättningar just den myndigheten skulle ha för uppdraget.

Utredningen har därför valt att fokusera på att skapa ett så bra underlag som möjligt för regeringen i dess arbete att ta fram en natio- nell datahubb, se kapitel 19–21 och bilaga 4.

2.5Tolkning av uppdraget att redogöra för tillämpningssvårigheter gällande befintlig reglering

Enligt utredningens direktiv har utredningen i uppdrag att redogöra för eventuella tillämpningssvårigheter när det gäller befintlig reglering av hälsodata. Syftet med detta anges i direktivet vara att konkretisera vilka problem som finns och på så sätt underlätta regeringens fort- satta arbete på hälsodataområdet. Utredningen tolkar denna del av uppdraget som att regeringen konstaterar att behoven är många på hälsodataområdet och att utredningen inte kan förväntas lämna förslag på alla behov och problem som identifieras under utredningens gång. Utredningen avser därför redogöra för vilka utmaningar och behov som behöver ses över och vad det är för tillämpningssvårigheter som behöver utredas vidare för att kunna komma till rätta med problemen. Utredningen har valt att dela upp denna del i två delar för att på ett pedagogiskt sätt kunna hjälpa regeringen på bästa sätt med de resurser och den kompetens som utredningen haft tillgänglig. Den första delen rör behov som utredningen bedömer helt eller delvis kan lösas med

86

SOU 2023:76

Utredningens uppdrag och arbete

hjälp av en nationell datahubb (kapitel 19–21). Den andra delen rör frågor för fortsatt utredning som utredningen bedömer inte helt eller delvis går att lösa med hjälp av en nationell datahubb (kapitel 22–23).

2.6Begrepp som påverkar tolkningar och avgränsningar av uppdraget

2.6.1Definition av hälso- och sjukvården

Hälso- och sjukvården i utredningens direktiv

Hälso- och sjukvården är central i utredningens direktiv. Uppdraget att skapa förutsättningar för sekundäranvändning av hälsodata för patientändamål/vårdändamål har huvudfokus på hälso- och sjukvården, se vidare avsnitt 2.3. Uppdraget avseende utökade möjligheter till sekundäranvändning av hälsodata för forskning, utvecklings- och inno- vationsverksamhet, undervisning på akademisk nivå samt statliga och regionala och kommunala myndigheters beslutsfattande avser hälso- data ”från hälso- och sjukvården”.

Direktiven ger också uttryck för att det först och främst är i hälso- och sjukvården som nyttan av sekundäranvändningen ska realiseras. I direktiven talas om hälsodata som nationell resurs för framtidens hälso- och sjukvård och att sekundäranvändning för angivna ändamål förväntas stärka hälso- och sjukvården. I den inledande sammanfatt- ningens av uppdraget anges att syftet med uppdraget är att utveckla möjligheterna till sekundäranvändning av hälsodata för att direkt eller indirekt stärka hälso- och sjukvården.

Utredningen noterar att det i direktiven saknas en definition av hälso- och sjukvården. Det anges inte heller vad som närmare avses med hälsodata ”från” hälso- och sjukvården. I det följande redogörs för hur utredningen definierar hälso- och sjukvården samt hur utred- ningen tolkar formuleringen ”från hälso- och sjukvården”.

87

Utredningens uppdrag och arbete

SOU 2023:76

Hälso- och sjukvård i lagstiftningen

Hälso- och sjukvård definieras i olika lagar. Definitionerna skiljer sig något åt.

Enligt hälso- och sjukvårdslagen (2017:30), förkortad HSL, avses med begreppet hälso- och sjukvård åtgärder för att medicinskt före- bygga, utreda och behandla sjukdomar och skador, sjuktransporter, och omhändertagande av avlidna (2 kap. 1 § HSL).

Tillämpningsområdet för patientdatalagen (2008:355), förkortad, PDL är vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal. Förutom verksamhet enligt hälso- och sjukvårdslagen omfattar PDL även verksamheter i ett antal andra uppräknande lagar. Dessa är tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskydds- lagen (2004:168), lagen (1972:119) om fastställande av könstillhörig- het i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2018:744) om försäkringsmedicinska utredningar, lagen (2019:1297) om koordineringsinsatser för sjukskrivna patienter, lagen (2021:363) om estetiska kirurgiska ingrepp och estetiska injektionsbehandlingar samt den upphävda lagen (1944:133) om kastrering (1 kap. 3 § PDL).

I lag (2022:913) om sammanhållen vård- och omsorgsdokumenta- tion, förkortad SVOD, definieras hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (2017:30), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m., lagen (2019:1297) om koordineringsin- satser för sjukskrivna patienter samt den upphävda lagen (1944:133) om kastrering (1 kap. 1 § SVOD).

Enligt biobankslag (2023:38) avses med hälso- och sjukvård verk- samhet som omfattas av hälso- och sjukvårdslagen (2017:30) eller tandvårdslagen (1985:125).

Utredningens definition av hälso- och sjukvård

Utredningen konstaterar att det finns legaldefinitioner av hälso- och sjukvård. Utredningen anser att det är lämpligast att ansluta sig till en sådan befintlig definition av hälso- och sjukvård. Mot bakgrund

88

SOU 2023:76

Utredningens uppdrag och arbete

av att utredningens författningsförslag avser vidareanvändning av per- sonuppgifter från hälso- och sjukvården utgår utredningen från tillämp- ningsområdet för PDL och därmed från definitionen av hälso- och sjukvård i den lagen. Vilka verksamheter som omfattas av utred- ningens förslag framgår av avsnitt 2.8. Det är vårdgivares behandling av personuppgifter enligt PDL som är utredningens utgångspunkt.

När det i utredningens direktiv anges ”vården”, tolkar utredningen det som att det är svensk hälso- och sjukvård som avses.

Socialtjänsten omfattas inte av hälso- och sjukvården, se vidare nedan avsnitt 2.7, Utredningens avgränsning av uppdraget.

Hälsodata ”från” hälso- och sjukvården omfattar enligt utred- ningens tolkning hälsodata som finns lagrad inom hälso- och sjuk- vården. Formulerat utifrån PDL:s tillämpningsområde får förstås per- sonuppgifter som behandlas av vårdgivare inom hälso- och sjukvården (se 1 kap. 1 PDL). Utifrån tryckfrihetsförordningens (1949:105), förkortad TF, terminologi avser det hälsodata i handlingar som för- varas hos en myndighet som bedriver hälso- och sjukvård (se 2 kap. 3, 4 och 6–8 §§ TF).

Hälsodata från hälso- och sjukvården skulle också kunna tänkas avse hälsodata som producerats inom hälso- och sjukvården men som även finns hos andra aktörer. Till exempel rapporterar vård- givare in data till statliga myndigheter, såsom Socialstyrelsen och Läke- medelsverket.

2.6.2Begreppet hälsodata

Utredningens uppdrag avser enligt direktiven uteslutande sekundär- användning av hälsodata. I direktiven definieras hälsodata med an- knytning till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana upp- gifter och om upphävande av direktiv 95/46/EG (allmän dataskydds- förordning), förkortad EU:s dataskyddsförordning. Med hälsodata avses enligt direktiven en dokumenterad personuppgift som rör en persons fysiska eller psykiska hälsotillstånd i bred bemärkelse och som utgör käns- liga personuppgifter enligt EU:s dataskyddsförordning.

Utredningen noterar att begreppet hälsodata används allt oftare i olika sammanhang, vilket bland annat framgår av utredningsdirek-

89

Utredningens uppdrag och arbete

SOU 2023:76

tiven. Begreppet används av olika aktörer och dess innebörd varierar. Utredning konstaterar att begreppet inte har någon rättslig defini- tion och att det inte heller i andra sammanhang har en entydig de- finition. I avsnitt 19.2 berörs också hälsodataområdets komplexitet.

Utredningen använder begreppet ”data” i meningen dokumen- terad information (se avsnitt 3.2). Data är typiskt sett information i digitalt format, men kan också avse information som dokumenterats på annat sätt.

Infallsvinklar på begreppet hälsodata

En möjlig infallsvinkel på begreppet hälsodata är att knyta an till vad som utgör känsliga personuppgifter enligt EU:s dataskyddsförordning. Begreppet skulle då i vart fall omfatta uppgifter om hälsa enligt arti- kel 9.1. Om begreppet ska omfatta ”fysiska eller psykiska hälsotill- stånd i bred bemärkelse”, såsom anges i direktiven, skulle det sanno- likt också behöva omfatta genetiska uppgifter enligt samma bestämmelse i dataskyddsförordningen. En liknande typ av definition som ankny- ter till uppgifterna som sådana kopplat till en individ, är den som Kommittén för teknologisk innovation och etik, KOMET, har valt i sin rapport om samtycke inom vård och inom medicinsk forskning. I rapporten definieras hälsodata som ”en dokumenterad uppgift som rör en persons fysiska eller psykiska hälsotillstånd”.5

En sådan definition skulle dock utesluta data som inte är person- uppgifter enligt EU:s dataskyddsförordning. Den synliggör inte heller andra juridiska perspektiv som kan finnas, till exempel sekretess.

Ett annat sätt att närma sig begreppet hälsodata är att försöka beskriva vad det är för typ av information. Hälsodata kan då kort och gott beskrivas som data kopplade till människors hälsa (se prop. 2022/21:60, s. 81). Ett liknande, men mer konkret sätt att för- hålla sig till hälsodata, är att ange vilken typ av uppgifter som menas med tillhörande exempel. Detta sätt används också huvudsakligen i Socialstyrelsens rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport.6 I rapporten beskrivs typer av hälsodata enligt följande:

5Komet beskriver 2019:07. Samtycke inom vård och medicinsk forskning, s. 3.

6Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Natio- nellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781).

90

SOU 2023:76

Utredningens uppdrag och arbete

Vårddata; exempelvis diagnoser, vårdåtgärder, läkemedelsanvänd- ning, laboratoriesvar, bildanalys, enkäter, skattningsskalor, med mera inom vård och omsorg, tandvård eller socialtjänstens områden.

Livsstilsdata; kost, fysisk aktivitet, alkohol, narkotika, dopning, tobak och spel, livskvalitet, med mera.

Biologiska data; ålder, fenotyp, mikrobiomarkörer, vävnader, bio- metrisk information, genomik med mera.

Socioekonomiska data; socialförsäkringsdata, yrke, utbildning, in- komst, demografiska data (bostadsområde, folkbokföringsadress, födelseland) med mera.

Organisatoriska; sjukvårdssystem (organisatoriska, geografiska, ekonomiska data om verksamheter och personal till exempel yrke och utbildningsnivå, arbetsställe, med mera), produktregister.

Miljödata; luft, vatten, boendemiljö, utemiljöer för barn med mera.

Aggregerad information; beteenderelaterade mönster som resmöns- ter, sökmönster (till exempel rådgivning, 1177, 112) med mera.

Ovan nämnda data kan många fall utgöra personuppgifter och även känsliga personuppgifter enligt EU:s dataskyddsförordning, men de måste inte alltid måste vara det. Hälsodata enligt detta synsätt är alltså bredare än den möjliga definitionen enligt utredningens direktiv som har anknytning till EU:s dataskyddsförordning.

Ett principiellt annat sätt att förhålla sig till begreppet hälsodata är att koppla begreppet till data i en viss verksamhet eller aktör, det vill säga var informationen finns. Hälsodata skulle då kunna definieras uti- från aktörer som bedriver verksamhet där det samlas in och registreras typer av hälsodata, till exempel vårddata och biologiska data. Sådana aktörer kan vara vård- och omsorgsgivare. Hälsodata kan utifrån detta beskrivas som data inom hälso- och sjukvården eller socialtjänsten.

Det går också att kombinera en beskrivning av informationen med var den finns, till exempel biologiska data, vårddata och livs- stilsdata som genereras inom hälso- och sjukvården och omsorgen.7 I Socialstyrelsens rapport ovan beskrivs vårddata i sig som informa- tion inom vård och omsorg, tandvård eller socialtjänstens områden.

7Se för ett sådant angreppssätt, E-hälsomyndighetens förstudie om ett statligt, nationellt data- utrymme för bilddiagnostik (S2021/03122), s. 147.

91

Utredningens uppdrag och arbete

SOU 2023:76

En definition med koppling till hälsodata som innehåller både typ av information som avses samt var den finns, i kombination med en koppling till EU:s dataskyddsförordning, finns förslaget till EHDS. I förslaget till EHDS definieras personliga e-hälsodata som uppgifter om hälsa och genetiska uppgifter enligt definitionen i EU:s data- skyddsförordning, samt uppgifter som avser bestämningsfaktorer för hälsa, eller uppgifter som behandlas i samband med tillhandahållande av hälso- och sjukvårdstjänster, och som behandlas i elektroniskt format (se artikel 2.2 a) i förslaget till EHDS).

Utredningens beskrivning av hälsodata

Utredningen använder begreppet hälsodata med innebörden dokumen- terad information som avser vårddata, biologiska data, eller livsstilsdata.

Motivering till utredningens beskrivning är att utredningen anser att en beskrivning av hälsodata inte bör grundas i något regelverk. Det regelverk som i och för sig skulle ligga närmast till hands, utifrån att det har störst generell tillämplighet, är EU:s dataskyddsförordning. Om en definition av hälsodata ska göras utifrån ett regelverk, bör det enligt utredningens mening knyta an till EU:s dataskyddsförordning och utformas i linje med den definition som finns i utredningens direktiv. Hälsodata behöver dock inte alltid vara personuppgifter enligt dataskyddsregelverket. Det kan också vara så att ett så kallat dataset innehåller både information som är personuppgifter och som inte är det, eller inte längre är det. I ett dataset finns ofta en mängd variabler, där vissa utgörs av personuppgifter, andra inte. Några variabler kan utgöra personuppgifter först när de kombineras. Samtidigt finns andra regelverk som också kan vara tillämpligt på hälsodata, såsom sekre- tessregler. Utredningen ser därför ett behov av att frikoppla beskriv- ningen av hälsodata från olika potentiellt tillämpliga regelverk. Dessa kan i stället appliceras på den beskrivning som utredningen föreslår.

Förklaring till beskrivningen

Utredningen ser ett behov av en generell beskrivning av hälsodata som är praktiskt användbar för att belysa vilken typ av information som omfattas av begreppet. Utgångspunkten bör därför vara en be-

92

SOU 2023:76

Utredningens uppdrag och arbete

skrivning som anger vissa typer av information. Beskrivningen bör vara användbar och begriplig för både praktiker och jurister.

En omfattande eller allmänt hållen beskrivning av informations- typer har fördelen att den inte skapar gränsdragningsproblem. En sådan beskrivning tenderar dock att bli intetsägande och inte tillföra något av värde. Begreppet bör därför enligt utrednings uppfattning avgränsas på något sätt. Utredningens ambition har varit att ringa in det centrala och hitta kärnan i den information som bör anses vara hälsodata. Utredningen har därför övervägt olika sätt att avgränsa inne- börden av begreppet hälsodata. Utredningen noterar en principiell skillnad mellan data om hälsa som härrör från individen och data som avser utifrån kommande faktorer som kan påverka människors hälsa. Exempel på data som härrör från individen är diagnos, biologisk ålder och personens arvsmassa, medan luftföroreningar eller socioekonomi inte härrör direkt från individen. Data som avser faktorer som kommer utifrån bör enligt utrednings mening inte ingå i en beskrivning av hälsodata, eftersom dessa snarare är faktorer som samvarierar med en persons hälsa eller på annat sätt indirekt säger något om en per- sons hälsa. Exempelvis går det att göra antaganden om att personer som utsatts för en viss typ av luftföroreningar på gruppnivå kommer ha sämre hälsa, men den hälsodata som direkt kopplar till individen är information om ett hälsotillstånd, som kan eller inte kan uppstått till följd av luftföroreningarna.

Utredningen konstaterar även att det finns en skiljelinje mellan information som i sig avser en individs hälsa och information om faktorer som är bestämmande för en individs hälsa, så kallade be- stämningsfaktorer för hälsa (se artikel 2.2 a) i förslaget till EHDS). Bestämningsfaktorer för hälsa är exempelvis yrke, utbildning och sjukvårdssystem. Dessa faktorer kan påverka individens hälsa och ha betydelse för folkhälsan i stort. En beskrivning som omfattar även bestämningsfaktorer för hälsa riskerar dock att bli så vid att i princip vilka faktorer som helst ingår. Utredningen anser att en sådan be- skrivning inte skulle bli särskilt praktiskt användbar. Avseende be- tydelsen av vårddata, biologiska data och livsstilsdata ansluter sig ut- redningen till den betydelse som anges i Socialstyrelsens rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet

93

Utredningens uppdrag och arbete

SOU 2023:76

delrapport.8 Vårddata avser enligt utredningens tolkning av del- rapporten all data om en individ inom områdena hälso- och sjukvård, omsorg, tandvård och socialtjänst. Det här innebär att utredningens uppfattning är att vissa uppgifter, som enligt Socialstyrelsens del- rapport, kategoriseras som biologiska data eller livsstilsdata även utgör vårddata. Därutöver anser utredningen att även andra uppgifter, som yrke, bör omfattas av begreppet hälsodata när de finns inom om- rådena hälso- och vård och omsorg, tandvård eller socialtjänst. När vissa uppgifter som exemplet yrke inte finns inom dessa områden utgör de därför inte hälsodata, enligt utredningens uppfattning.

Utredningen ser ett behov av att definitionen ska belysa vilken typ av information som omfattas av begreppet. Utredningen anser att information om hälsa som härrör från individen är en rimlig av- gränsning för att begreppet ska bli praktiskt användbart. På utred- ningens beskrivning av hälsodata kan olika aspekter läggas, exempelvis tillägg eller precisering av aktörer eller typ av verksamhet. Även olika rättsliga aspekter kan adderas till beskrivningen. Exempelvis kan man tala om hälsodata hos vårdgivare eller hälsodata som sekretessbe- lagda uppgifter eller uppgifter som omfattas av tystnadsplikt. På samma principiella sätt kan även utredningens författningsförslag beskrivas. Utrednings författningsförslag avser, på datahållarsidan, hälsodata i form av personuppgifter som finns inom hälso- och sjukvården, se avsnitt 2.7.

2.6.3Begreppet patientdata

Enligt 1 kap. 1 § PDL ska PDL tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Begreppet patient- data definieras inte och förekommer inte alls i själva lagen. Utred- ningen konstaterar att det saknas en rättslig definition av patientdata. Däremot kan det konstateras att PDL reglerar vårdgivares person- uppgifter inom hälso- och sjukvården och att lagen i tillämpliga delar även uppgifter om avlidna personer. Det vore därför rimligt att anta att begreppet patientdata avser personuppgifter, men att begreppet omfattar mer än personuppgifter enligt dataskyddsförordningen som inte är tillämplig på avlidna. Vad som avses med inom hälso- och sjuk-

8Kartläggning av datamängder av nationellt intresse på hälsodataområdet – delrapport, Natio- nellt tillgängliga hälsodata för en datadriven hälso- och sjukvård, forskning och innovation (2022-3-7781), s. 13.

94

SOU 2023:76

Utredningens uppdrag och arbete

vården kan sannolikt kopplas till de bestämmelser lagen anger om vårdgivares skyldighet att föra patientjournal. I PDL finns regler om journalföring som i stora delar fördes över oförändrade från 1985 års patientjournallag.9

En grundläggande bestämmelse föreskriver att det vid vård av pati- enter finns en skyldighet att föra patientjournal (se 3 kap. 1 § första stycket PDL). Syftet med att föra patientjournal är i första hand att bidra till en god och säker vård av patienten (3 kap. 2 § första stycket PDL). Av 3 kap. 2 § andra stycket PDL framgår att patientjournalen även är en informationskälla för patienten, uppföljning och utveck- ling av verksamheten, tillsyn och rättsliga krav, uppgiftsskyldighet en- ligt lag samt forskning.

I förarbetena till PDL anförs att patientjournalen i första hand är ett arbetsinstrument för hälso- och sjukvårdspersonalen. Vidare anförs att journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen kommer emellertid även fortsatt att ha betydelse inte bara för patienten själv utan även som till exempel underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rätts- liga sammanhang samt som källmaterial vid forskning och kvalitets- säkring. För att detta ska tydliggöras i den föreslagna ramlagstiftningen ansåg regeringen att en bestämmelse om syftet med journalföringen skulle införas (prop. 2007/08:126, s. 89–90).

Skyldigheten att föra patientjournal är kopplat till hälso- och sjuk- vårdspersonalens medicinska yrkesansvar (se prop. 2007/08:126, s. 81). Utgångspunkten är att den som enligt 4 kap. patientsäkerhetslagen (2010:659) har legitimation eller särskilt förordnande för att utöva ett visst yrke har skyldighet att föra patientjournal (3 kap. 3 § 1 PDL). Därutöver finns skyldighet att föra patientjournal för vissa andra yrkeskategorier, utan att dessa innehar legitimation för yrket (se 3 kap. 3 § 2–4 PDL). I äldre förarbeten pekas den medicinska ledning ut som ytterst ansvarig för att personalen fullgör sina skyldigheter, däribland journalföringen (se prop. 1984/85:189, s. 26). Numera anges dock oftare vårdgivaren som ytterst ansvarig för att tillse att hälso- och sjukvårdspersonalen kan fullgöra sina skyldigheter.10

Det finns även regler om vad en patientjournal ska innehålla. Övergripande gäller att en patientjournal endast får innehålla de upp- gifter som behövs för ändamålet vårddokumentation, det vill säga

9Prop. 2007/08:126, s. 46 och 90.

10Se till exempel SOSFS 2011:9 och HLSF-FS 2016:40.

95

Utredningens uppdrag och arbete

SOU 2023:76

uppgifter som behövs i och för vården av patienten eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (3 kap. 5 § PDL och 2 kap. 4 § första stycket 1 och 2 PDL). Patient- journalen ska vidare innehålla de uppgifter som behövs för en god och säker vård av patienten (3 kap 6 § första stycket PDL).

Uppgifter som tillförs en patientjournal bör därför vara att anse som patientdata. Enligt utredningens bedömning är det dock olyckligt att en författning har ett namn som inte definieras. Trots detta kommer utredningen att använda begreppet i delar av författningsförslagen. Det beror på att utredningen av lagtekniska skäl behöver ta hänsyn till befintliga namn på författningar. Om en författning sakligt hör samman med en annan författning, kommer sambandet mellan de båda författningarna nämligen att framgå av SFS-registret endast om författningarnas rubriker innehåller samma ord eller ord som börjar på samma sätt och som är lämpliga som sökord i registret.11 Av den anledningen har utredningen gjort bedömningen att det är lämpligt att använda begreppet patientdata för att författningsförslagen ska kopplas till PDL i SFS-registret vid till exempel en sökning på för- fattningar.

2.6.4Primär- och sekundäranvändning i rättsliga sammanhang

Med sekundäranvändning av personuppgifter avses enligt utredningens direktiv behandling av personuppgifter för något annat ändamål än det primära ändamålet med personuppgiftsbehandlingen. Direktiven definierar alltså sekundäranvändning i förhållande till primäranvänd- ning. Direktivens definition av sekundäranvändning bygger på att det kan klarläggas vad som menas primär användning eller det primära ändamålet med behandling av personuppgifter. Primär- respektive sekundär användning definieras inte i EU:s dataskyddsförordning. Be- greppet har dock nära koppling till bestämmelsen om ändamålsbegräns- ning i artikel 5.1 b i EU:s dataskyddsförordning.

Europeiska dataskyddsstyrelsen, förkortad EDPB, har utfärdat Riktlinjer 03/2020 om behandling av uppgifter om hälsa för veten- skapliga forskningsändamål i samband med covid-19-utbrottet. I dessa

11Se Ds 2014:1, s. 17.

96

SOU 2023:76

Utredningens uppdrag och arbete

riktlinjer används begreppen primär och sekundär användning i sam- band med behandling om av personuppgifter för vetenskapliga forsk- ningsändamål (se punkten 11). Med primär användning avses enligt riktlinjerna ”forskning utifrån personuppgifter (om hälsa) som består i användning av uppgifter som samlats in direkt för vetenskapliga studier”. Med sekundär användning avses "forskning utifrån person- uppgifter (om hälsa) som består i ytterligare behandling av uppgifter som ursprungligen samlades in för ett annat ändamål”. EDPB kopplar alltså primär användning till det ursprungliga insamlingsändamålet, annan sekundär användning är ytterligare behandling av personupp- gifter för ett annat ändamål.

Ett liknande sätt att göra skillnad på primär och sekundär använd- ning av hälsodata är den som finns i den finska lagen om sekundär- användning av personuppgifter inom social- och hälsovården (552/2019, ursprungligen i kraft 2019-05-01), förkortad finska sekundäranvänd- ningslagen. I den finska sekundäranvändningslagen definieras be- greppet ”primärt användningsområde för personuppgifter” som det användningsändamål för vilket personuppgifterna ursprungligen har registrerats (1 kap. 3 § 2). I samma lag definieras ”sekundärt använd- ningsändamål för personuppgifter” som användning av personupp- gifter för något annat användningsändamål än det primära användnings- ändamål som avses i definitionen av primärt användningsområde för personuppgifter (1 kap. 3 § 3).

I 2 kap. 4 PDL görs inte skillnad på ändamål som avser ”primär- användning” eller ”sekundäranvändning” eftersom återanvändningen är så nära kopplad till kärnverksamheten. I propositionen till PDL uttalas att eftersom patientdatalagen får ett väsentligen mera vid- sträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som i dag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om person- uppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet (prop. 2007/08:126, s. 56). Behandling av personuppgifter för exempelvis utveckling och upp- följning av vårdgivarens verksamhet avser i stor utsträckning åter- användning av uppgifter som samlats in i för vården av patienter och skulle därför kunna ses som sekundäranvändning. När det gäller regis- terförfattningar för statliga myndigheter görs skillnad på primära ända- mål som myndigheten får samla in personuppgifter för inom myndig- hetens egen verksamhet, och sekundära som myndigheten får lämna

97

Utredningens uppdrag och arbete

SOU 2023:76

ut uppgifter för till externa mottagare, se SOU Dataskydd inom Social- departementet, s. 151).

I förslaget till EHDS finns definitioner kopplade till primär och sekundär användning av hälsodata. Med primär användning av e-hälso- data avses behandling av personliga e-hälsodata för tillhandahållande av hälso- och sjukvård i syfte att bedöma, bibehålla eller återställa hälsotillståndet hos den fysiska person som dessa data avser, inklusive förskrivning, expediering och tillhandahållande av läkemedel och medi- cintekniska produkter, samt för relevanta socialförsäkringsinstitu- tioner, förvaltningsenheter eller enheter med ansvar för utbetalning av ersättning.

Definitionerna i förslaget till EHDS tar, till skillnad från ovan nämnda definitioner, inte utgångspunkt i vad som är ändamålet för insamlingen, utan bestämmer vad som är primär och sekundär an- vändning frikopplat från ursprunglig insamling och vidareanvändning. Ursprunglig insamling och registrering för forskning klassas då alltid som sekundär användning. Utredning uppfattar att detta är ett nytt sätt att förhålla sig till primär och sekundär användning som inte ligger i linje med den innebörd som begreppen för närvarande typiskt sett brukar ha.

Praktiska aspekter på primär- och sekundäranvändning

Utredningens erfarenhet är att det är svårt att i praktiken göra skillnad på primär och sekundär användning av hälsodata. En sekundäranvänd- ning kan uppfattas ske för ett primärt ändamål i en verksamhet. Till exempel kan en uppgift samlas in till forskning, men sedan användas för vården av samma individ. Hos vårdgivaren är vård ett primärt ända- mål, men om utgångspunkten för kategoriseringen är ursprungligt ett annat insamlingsändamål, kan vård ses som ett sekundärt ändamål.

Frågan är hur långt tillbaka i kedjan av användande av en person- uppgift man behöver gå för att avgöra om det är primär eller sekundär användning. Om sekundäranvändning ska definieras utifrån ursprung- ligt insamlingsändamål behöver personuppgiftens hela ”livscykel” kunna följas, också mellan olika personuppgiftsansvariga, vilket kan vara en praktisk omöjlighet.

Hälsodata kan också samlas in för flera ändamål samtidigt. Under ett forskningsprojekt kan hälsodata samlas in som kan vara av vikt

98

SOU 2023:76

Utredningens uppdrag och arbete

för vården av patienten. Det innebär att uppgifter dom samlats in för det primära ändamålet forskning och återanvänds för det primära ändamålet vård.

Ett annat exempel är när en patient vårdas och hälsodata som sam- lats in inte varit tillräcklig. I den stunden kan verksamheten dra lärdom om vilka uppgifter som bör samlas in vid liknande situationer i fram- tiden. Det är då oklart om denna oundvikliga verksamhetshetutveckling som skedde av själva insamlandet bör ses som primäranvändning eller vidareanvändning.

Termen ”sekundär” leder ordalydelsemässigt in på den andra gången som en personuppgift används, medan personuppgifter i dag kan an- vänds för flera ändamål i samma verksamhet innan de senare lämnas ut för ytterligare användningar. Begreppet är därmed inte heller rep- resentativt rent språkligt för det som sker i praktiken. Utöver dessa perspektiv har utredningen även fått till sig att vissa aktörer tolkat begreppet sekundäranvändning som att det utgörs av något sekundärt, som något mindre viktigt än det primära ändamålet. Av flera anled- ningar anser därför utredningen att sekundäranvändning inte är ett optimalt begrepp att använda i sammanhanget.

2.6.5Vidareanvändning i stället för sekundäranvändning

Utredningen har valt begreppet vidareanvändning i stället för sekun- däranvändning. Utredningen är medveten om att detta inte löser alla de svårigheter som är förknippade med uppdelningen primär- och sekundär användning. Utredningen anser dock att det är ett begrepp som bättre belyser vad som rent praktiskt sker. Utredningen före- griper på detta sätt inte heller den eventuella definitionen av sekun- däranvändning som kan komma i och med förslaget till EHDS. I ut- formningen av begreppet har utredningen hämtat inspiration från begreppet vidareutnyttjande som finns i Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om dataförvalt- ning (dataförvaltningsakten) COM(2020) 767 final av den 25 novem- ber 2020, förkortad dataförvaltningsförordningen, och lag (2022:818) om den offentliga sektorns tillgängliggörande av data. Utredningens begrepp vidareanvändning har inte samma juridiska innebörd som vidareutnyttjande enligt dessa regelverk. Däremot anser utredningen

99

Utredningens uppdrag och arbete

SOU 2023:76

att ledet ”vidare” är ett bra ord för att belysa nytt händer i förhål- lande till något tidigare eller annat.

I den engelska versionen av DFF används termen ”re-use”. Utred- ning anser att det mer neutrala användning är ett lämpligare ord än nyttjande.

Utredningen har även övervägt begreppet vidarebehandling. Ledet ”behandling” skulle knyta mer direkt an mot EU:s dataskyddsförord- ning och behandling av personuppgifter. Liksom avseende beskriv- ningen av begreppet hälsodata, anser utredningen att det är lämpligt att de begrepp som används tar höjd för att datadelning som sker kan omfatta dataset som även innehåller hälsodata som inte är per- sonuppgifter. Användning ger då uttryck för detta bredare perspektiv som inte är direkt kopplat till åtgärder som avser personuppgifter. Utredningen bedömer också att ordet användning är mer begripligt från praktisk synvinkel, än vad behandling är. Användning omfattar dock även ”behandling” enligt dataskyddsförordningen. Det är enligt utredningens bedömning svårt att ge ett begrepp en definition som ger uttryck för dels vad som praktiskt sker, dels för de rättsliga kon- sekvenser som är relevanta i det aktuella fallet. De försök som gjorts att definiera sekundäranvändning illustrerar detta. Liksom med beskriv- ningen av begreppet hälsodata, ser utredningen ett behov av ett be- grepp som är begripligt från praktiskt perspektiv, samtidigt som det är användbart juridiskt. Utredningen uppfattar att begreppet vidare- användning överlag har mottagits positivt när utredningen har använt det i olika sammanhang under utredningstiden.

I stället för att försöka legaldefiniera begreppet vidareanvändning, beskriver utredningen vad det närmare avser i olika situationer.

Vidareanvändning hos en och samma aktör omfattar att insamlade hälsodata används för ett annat ändamål än vad de ursprungligen sam- lades in för. Vidareanvändning kan ske i flera led, till exempel först vård och sedan utveckling och uppföljning hos en vårdgivare. Vad som är samma eller ett nytt ändamål är inte alltid givet. Avser vidare- användningen personuppgifter behöver frågan om en vidareanvändning ryms inom det ursprungliga insamlingsändamålet, analyseras utifrån dataskyddslagstiftningen. Inom ramen för uppdraget att analysera förutsättningarna för sekundäranvändning för patientändamål/vård- ändamål, se avsnitt 2.3, har utredningen haft att bedöma vad som inom ett övergripande vårdändamål är att anse som en vidareanvändning av personuppgifter som kräver ny rättslig grund, se avsnitt 14.3.

100

SOU 2023:76

Utredningens uppdrag och arbete

Vidareanvändning omfattar också att hälsodata som samlats in av en aktör delas med en annan aktör som sedan använder informa- tionen. Detta kan till exempel avse en vårdgivare som lämnar ut hälso- data till en myndighet eller privat aktör som bedriver forskning. Ut- redningens bedömning är däremot att det är primäranvändning när samma vårdgivare använder hälsodata för samma ändamål flera gånger, som exempelvis när en läkare läser på om en patients provsvar inför ett nytt besök.

Utredningens uppfattning är att hälsodata kan primäranvändas hos en vårdgivare och samtidigt kan samma hälsodata vidareanvändas hos en annan. Om vårdgivare A tar en röntgenbild av en patient och sedan skickar röntgenbilden till vårdgivare B så är röntgenbilden paral- lell primäranvändning hos båda vårdgivarna. Däremot är det rimligt att anse att vårdgivare B:s behandling av röntgenbilden utgör en vidare- användning ur vårdgivare A:s perspektiv.

Sammanfattningsvis gör utredningen bedömningen att det finns inget optimalt begrepp för när hälsodata används flera gånger, paral- lellt eller i olika led. Vidareanvändning är dock det begrepp som bäst motsvarar utredningens uppfattning om vad det är som sker när hälso- data används flera gånger.

2.6.6Den enskildes inställning

Utredningen konstaterar att det finns flera sätt som används i prak- tiken som avser ge uttryck för den enskildes inställning. Att samtycka till något kan enkelt förklaras med att en person godkänner något. Ett annat sätt att uttrycka den enskildes inställning kan vara en möjlighet att kunna motsätta sig något. Eftersom det finns olika typer av samtycken har utredningen valt att redogöra mer djupgående för olika typer av samtycken i en egen bilaga (se Bilaga 3 Samtycken inom vård och klinisk forskning).

Utredningen listar därför endast kort i detta avsnitt vilka olika be- grepp som används i utredningen och som ger uttryck för den en- skildes inställning.

Utredningen använder formuleringen ”samtycke till vård” när sam- tycke enligt 4 kap. 2 § PL avses. En patient kan, om inte annat följer av lag, lämna sitt samtycke skriftligen, muntligen eller genom att på annat sätt visa att hen samtycker till en viss åtgärd.

101

Utredningens uppdrag och arbete

SOU 2023:76

Utredningen använder formuleringen ”samtycke avseende prover” när utredningen syftar på samtycke enligt biobankslagen (2023:38).

Utredningen använder formuleringen ”samtycke som rättslig grund för behandling av personuppgifter” när samtycke enligt artikel 6.1 a i dataskyddsförordningen avses.

Utredningen använder formuleringen ”samtycke som rättslig grund för behandling av personuppgifter enligt bestämmelse i PDL”, när sam- tycke enligt 2 kap. 3 § PDL. Bestämmelsen anger att behandling av personuppgifter som inte är tillåten enligt PDL ändå får ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.

Utredningen använder formuleringen ”samtycke som integritets- höjande åtgärd vid behandling av personuppgifter” när samtycke används som en åtgärds som avser höja integriteten. Samtycke som integri- tetshöjande åtgärd är ett annat sorts samtycke än de samtycken som förekommer som rättslig grund för behandling av personuppgifter och som undantag för att den personuppgiftsansvarige ska få behandla känsliga personuppgifter. Ett integritetshöjande samtycke kan betrak- tas som ett slags extra skyddsåtgärd för den enskildes personliga integ- ritet och för att säkerställa individens frivillighet inför en viss person- uppgiftsbehandling.

Utredningen använder formuleringen ”samtycke till att bryta sekre- tessen” när samtycke enligt 10 kap. 1 § OSL avses och innebär att den person som sekretessen avser att skydda kan, med vissa undantag, helt eller delvis häva sekretessen.

Utredningen använder formuleringen ”samtycke till deltagande i klinisk forskning” när vi syftar på samtycke enligt etikprövningslagen, Europaparlamentets och rådets förordning (EU) nr 536/2014 av den 16 april 2014 om kliniska prövningar av humanläkemedel upphävande av direktiv 2001/20/EG, förkortad CTR, Europaparlamentets och rådets förordning (EU) 2017/745 av den 5 april 2017 om medicin- tekniska produkter, om ändring av direktiv 2001/83/EG, förordning (EG) nr 178/2002 och förordning (EG) nr 1223/2009 och om upp- hävande av rådets direktiv 90/385/EEG och 93/42/EEG, förkortad MDR eller Europaparlamentets och rådets förordning (EU) 2017/746 av den 5 april 2017 om medicintekniska produkter för in vitrodia- gnostik och om upphävande av direktiv 98/79/EG och kommissio- nens beslut 2010/227/EU, förkortad IVDR.

102

SOU 2023:76

Utredningens uppdrag och arbete

”Opt-in” är inte ett begrepp som är vanligt förekommande i ut- redningen. Utredningen använder begreppet för att uttrycka att en person aktivt måste ge sitt samtycke.

Begreppet opt-out”, eller ”rätten att motsätta sig” använder utredningen däremot för att beskriva när en enskild aktivt valt att avstå en viss personuppgiftsbehandling genom att motsätta sig behandlingen.

2.6.7Datahållare och dataanvändare

Utredningen använder begreppet datahållare för den aktör som innehar den data som ska vidareanvändas. Utredning använder begreppet dataanvändare för den aktör som ska använda data. Datahållare och dataanvändare används i allmänspråklig mening i betänkandet och har inte i sig någon juridisk betydelse. Kopplat till begreppet data- delning representerar datahållaren ”från-sidan” och dataanvändaren ”till-sidan”.

I utrednings författningsförslag anges datahållaren och dataanvän- daren med andra begrepp, se avsnitt 2.6.7. Datahållare är exempelvis vårdgivare och regional myndighet som bedriver hälso- och sjukvård, medan dataanvändare exempelvis utgörs av regionala myndigheter inom hälso- och sjukvården och lärosäten.

Ett begrepp som förekommer i praktiken kopplat till datahan- tering är ”ägarskap”. Utredningen uppfattar att ägarskap till data ofta synes vara ett uttryck för placering av ansvar för data inom en orga- nisation. Rättigheter och skyldigheter kopplat till data uttrycks enligt utredningens mening inte lämpligen genom ett ägarbegrepp. I stället finns olika typer av rättigheter och skyldigheter kopplade till data beroende på regelverk.

I dataförvaltningsförordningen, förekommer begreppen datainne- havare och dataanvändare (se artikel 2 (8) och (9)). Utredningen an- vänder medvetet inte begreppen datahållare och datainnehavare i den juridiska innebörd som begreppen datainnehavare och dataanvändare har enligt dataförvaltningsförordningen. Utredningen konstaterar dock att definitionerna av datainnehavare och dataanvändare i data- förvaltningsförordningen är breda och att det därför skulle kunna vara så att en datahållare eller dataanvändare enligt utredningens an- vändning av dessa uttryck också skulle kunna vara en datainnehavare eller dataanvändare enligt dataförvaltningsförordningen.

103

Utredningens uppdrag och arbete

SOU 2023:76

2.7Utredningens avgränsning av uppdraget

Bedömning: Utredningen lämnar författningsförslag avseende vidareanvändning för ändamålen vård och forskning. Utredningens förslag för vård avser vidareanvändning för vården av en annan patient än den som personuppgifterna. Utredningens förslag för forskning avser begränsad direktåtkomst till personuppgifter för ändamålet klinisk forskning och har som syfte att förenkla till- gången till personuppgifter.

Utredningen lämnar inte författningsförslag avseende ända- målet undervisning på akademisk nivå, ändamålet utveckling och innovation eller ändamålet statliga, regionala och kommunala myn- digheters beslutsfattande. För dessa ändamål lämnar utredningen bedömningar som behöver utredas vidare.

Av beskrivningarna i avsnitten ovan avseende utredningens uppdrag enligt direktiven framgår att det är mycket omfattande. Givet de tids- ramar som utredningen har fått, finns behov av att göra avgränsningar. Nedan redogörs först för de avgränsningar som följer direkt av direk- tiven, sedan för de som utredningen själv har gjort.

2.7.1Avgränsningar som följer av direktiven

Uttryckliga avgränsningar

Det står uttryckligen i direktiven att det inte ingår i uppdraget att lämna förslag till bestämmelser som bryter statistiksekretessen eller förslag som riskerar att leda till att individdata lagras i egna databaser hos privata aktörer där vidareutnyttjandet inte kan kontrolleras. Ut- redningens förslag avser inget av detta.

Det framgår även av direktiven att regeringen gör bedömningen att det inte är inom ramen för regleringen om nationella och regionala kvalitetsregister i 7 kap. patientdatalagen (2008:355), förkortad PDL, som de behov som beskrivs i direktiven kan tillgodoses. Utredningen lämnar inte förslag som går ut på att behoven av vidareanvändning av hälsodata tillgodoses genom användning av nationella eller regio- nala kvalitetsregister. Däremot är denna reglering en faktisk realitet som utredningen behöver förhålla sig till, bland annat i integritets-

104

SOU 2023:76

Utredningens uppdrag och arbete

analysen. Den kan även tjäna till lagteknisk ledning för delar av utred- ningens författningsförslag.

Utredningen bedömer inte heller att statliga myndigheters register- samlingar omfattas av uppdraget. Denna bedömning grundar sig på att de personuppgifter som krävs för vård också återfinns i vården och sällan i statliga register så som hälsodataregistren. Vad gäller delen om vidareanvändning så står det uttryckligen i direktiven att det avser hälsodata från hälso- och sjukvården.

Utredningen bedömer också att socialtjänsten inte omfattas av uppdraget eftersom direktiven avgränsas till att gälla hälsodata från hälso- och sjukvården.

2.7.2Avgränsningar som utredningen har gjort

Inledning

Som framgår av avsnitt 2.1–2.5 är utredningens uppdrag omfattande. Det avser förutsättningarna för vidareanvändning av hälsodata för hälso- och sjukvård, men även för andra samhällsnyttor. Det avser ett flertal ändamål som är olika till sin karaktär och omfattar i princip alla aktörer som skulle kunna ha ett intresse av att använda sig av hälsodata. Utredningen är medveten om att det finns stora behov och identifierade problem med delning av data inom hälsodataom- rådet. Rent juridiskt innebär uppdraget oerhört många olika aspekter att förhålla sig till. I direktiven anges att utredningen inte förväntas kunna lösa alla problem som identifieras, utan en del av uppdraget är att redogöra för dem.

Utredningen tolkar direktiven som att regeringen har varit tydlig med vikten av en väl genomarbetad och utförlig integritetsanalys (dir 2022:41 s. 6 och 10). Utredningens har noterat att flera tidigare ut- redningar på hälsodataområdet inte lett till proposition (exempelvis SOU 2010:81, SOU 2014:23 och SOU 2015:32). Utredningens be- dömning är att en av orsakerna till att dessa utredningar inte kunnat tas vidare kan vara att de har haft en bristande integritetsanalys. Dessa utredningar har på samma sätt som utredningen haft omfattande och svåra uppdrag.

Utredningen har därför begränsat författningsförslagen till att endast omfatta två av de uttryckliga ändamålen som anges i direk- tiven. Författningsförslagen som utredningen lämnar avser ändamålen

105

Utredningens uppdrag och arbete

SOU 2023:76

vård och forskning. Dessa utökade möjligheter har dock krävt en djupgående analys av juridiskt komplexa regleringar. Anledningen till det, utifrån direktiven sett, smala angreppssättet har varit att försöka få till en väl genomarbetad utredning med tillhörande fördjupad inte- gritetsanalys utan att försöka greppa efter för mycket. Utifrån ett integritetsperspektiv, eller utifrån patienters och vårdgivares per- spektiv, är vårdändamålet inte något smalt område utan ett avancerat ändamål som innebär genomgripande förändringar av befintlig lag- stiftning. För att möjliggöra vidareanvändning för vården av annan patient än den personuppgifterna avser, krävs ingripande och långt- gående bestämmelser. Författningsförslagen som avser vårdändamålet av därför vittgående och av omfattande karaktär. Det är dessutom helt nytt i svensk lagstiftning att föreslå regler som möjliggör det utredningen nu föreslår för vårdändamålet, det har inte funnits någon liknande förlaga att ta efter eller hämta inspiration ifrån. Att föreslå nya bestämmelser för detta ändamål som avser känsliga personuppgifter har därför varit både en komplicerad och tidskrävande övning. Anled- ningen till att utredningen valt att fokusera på just dessa två ändamål beror på att utredningen uppfattat direktiven som att det finns en stark önskan om att så snart som möjligt kunna få till rättsliga möjlig- heter för att implementera precisionsmedicin i Sverige. Utredningen har därför valt att huvudsakligen fokusera på att förslagen ska gå att genomföra. Utredningens förhoppning är att författningsförslagen som läggs fram kan vara ett litet men genomtänkt steg i rätt riktning och att kommande utredningar kan bygga vidare på utredningens analyser och förslag. Flera olika möjligheter för de olika ändamålen har övervägts under utredningens gång och många har avgränsats bort för att de varit för omfattande i sin komplexitet att försöka lösa under de angivna tidsramarna. Utredningens bedömning är att ytter- ligare utredningar behövs för att se över i vilken mån och på vilka sätt utredningens förslag går att utöka.

Som utredningen ser det hade alternativet varit att lämna fler för- fattningsförslag utan lika genomarbetade analyser. Risken hade då varit att frågorna skulle behöva utredas om.

För att kompensera det faktum att utredningen inte lämnar för- fattningsförslag för samtliga ändamål har utredningen försökt att se detaljerat som möjligt försöka beskriva vad utmaningarna på hälso- dataområdet är och hur de ska kunna lösas praktiskt och vilka frågor som behöver utredas vidare. Utredningens ambition har varit att för-

106

SOU 2023:76

Utredningens uppdrag och arbete

söka maximera den nyttan som utredningen har kunnat bidra med, sett till kompetens och resurser i sekretariatet. De sistnämnda bedöm- ningarna kräver inte samma fördjupade juridiska insatser som det gör att lämna författningsförslag.

Slutligen har utredningen bedömt att flera av de ändamål som anges i direktiven kräver en nationell datahubb för att utredningen skulle kunna lämna genomförbara författningsförslag.

2.7.3Utredningens förslag avser vidareanvändning av personuppgifter som finns inom hälso- och sjukvården

Bedömning: Utredningens författningsförslag ska avse reglering av vidareanvändning av personuppgifter som finns inom hälso- och sjukvården.

I utredningens direktiv framgår det att utredningen ska se över ut- ökade möjligheter till sekundäranvändning av hälsodata. Det anges också i direktiven att utredningen ska analysera, bedöma om det behövs författningsändringar och i så fall lämna nödvändiga författ- ningsförslag för att personuppgifter eller andra data från flera indi- vider ska kunna användas för vård och behandling av andra enskilda individer. Utifrån hur utredningens uppdrag anges finner utredningen det, av juridiska skäl, mest ändamålsenligt att och frångå begreppet hälsodata eller ”andra data” och avgränsa författningsförslagen till att endast omfatta personuppgifter.

Utredningen beskriver i avsnitt 2.6.2 dess förhållningssätt till be- greppet hälsodata. Det är när hälsodata utgörs av personuppgifter som behovet av författningsreglering uppstår. De behoven som utredningen avser lösa, handlar om att reglera hälsodata som utgörs av person- uppgifter. Så fort hälsodata utgörs av personuppgifter blir EU:s data- skyddsförordning tillämplig. När den rättsliga grunden i artikel 6.1 utgörs av uppgift av allmänt intresse (6.1 e) behövs uppgiften av allmänt intresse fastställas i nationell reglering (prop. 2017/18:105 s. 49). Data- skyddsförordningen fungerar som en yttre ram för personuppgifts- behandling. Syftet med kompletterande lag till dataskyddsförordningen är att precisera tillåtna ändamål och reglera förutsättningarna för aktuell personuppgiftsbehandling (jämför artikel 6.3 andra stycket dataskyddsförordningen. Utredningens målsättning är därför att skapa

107

Utredningens uppdrag och arbete

SOU 2023:76

sådan kompletterande lagstiftning som krävs, genom de förslag som utredningen lämnar.

När det gäller behandling som avser särskilda kategorier av per- sonuppgifter (känsliga personuppgifter) anges ytterligare villkor i arti- kel 9 i dataskyddsförordningen. Personuppgifterna som omfattas av utredningens förslag regleras som känsliga personuppgifter eftersom de utgörs av uppgifter om hälsa. De har dessutom samlats in inom hälso- och sjukvården. Personuppgifterna som omfattas av utred- ningens författningsförslag omfattas därför också typiskt sett av sek- retess enligt offentlighets och sekretesslagen (2009:400), förkortad OSL, exempelvis enligt 25 kap. 1 § OSL, vilket också medför behov av författningsändringsförslag.

Utredningen är medveten om att begreppet personuppgifter även omfattar uppgifter på papper. Den aspekten har utredningen beaktat men bedömt att det inte har någon påverkan på utredningens förslag.

Vid tillämpningen av en reglering som avser personuppgifter upp- kommer frågan om en viss datamängd, databas eller annan uppgifts- samling innehåller personuppgifter eller inte.

Uppgifter som inte utgörs av personuppgifter, omfattas inte av EU:s dataskyddsförordning och inte heller av utredningens förslag. Utredningen konstaterar dock att den juridiska uppdelningen mellan hälsodata som är personuppgifter och hälsodata som inte är det, i praktiken kan vara mycket svår att göra. Frågor uppkommer såsom om en aggregering av en viss datamängd har gjorts på ett sådant sätt att alla uppgifter i den verkligen är att anse som anonym data. Det kan också vara så att en datamängd innehåller både personuppgifter och uppgifter som inte utgörs av personuppgifter. I praktiken upp- kommer då fråga hur man ska hantera sådana datamängder.

Utredningen har ingen ambition eller möjlighet att lösa dessa fråge- ställningar på ett generellt plan. Däremot konstaterar utredningen att förslagen som utredningen lämnar tillåter datadelning av personupp- gifter på fler sätt och i fler situationer. Det i sin tur leder till att aktö- rerna i något färre situationer behöver framställa dataset som inte innehåller personuppgifter.

Reglerna som utredningen föreslår behöver kunna tillämpas på dataset som innehåller både personuppgifter och data som inte är personuppgifter. Den juridiska utgångspunkten som utredningen har att förhålla sig till måste dock vara personuppgifter för att skapa de

108

SOU 2023:76

Utredningens uppdrag och arbete

rättsliga förutsättningar som krävs för ändamålen utredningen lämnar förslag på.

Ovan har konstaterats att hälso- och sjukvården är central i utred- ningens direktiv. Kopplat till uppdraget om utökade möjligheter till sekundäranvändning av hälsodata anges det uttryckligen att det är hälsodata ”från” hälso- och sjukvården som avses. Utredningen har ovan presenterat sin tolkning av formuleringarna i dessa avseenden. Utifrån att formuleringarna också skulle kunna tolkas på andra sätt, redogör utredning nedan för verksamheter och hälsodatamängder som inte omfattas av utredningens uppdrag.

2.7.4Avgränsningar avseende vidareanvändning för vårdändamål

Bedömning: Utredningen lämnar författningsförslag som avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser. Författningsförslagen avgränsas till att endast ge regionala myndigheter inom hälso- och sjukvården rätt att använda de utökade möjligheterna som författningsförslagen leder till.

Enligt utredningens direktiv har utredningen i uppdrag att skapa för- utsättningar för sekundäranvändning av hälsodata för patientändamål. I avsnitt 2.7.3 redogör utredningen för att uppdraget avgränsas till vidareanvändning av personuppgifter för detta ändamål. Vidare redo- gör utredningen i avsnitt 2.3 att det i utredningen benämns vårdända- mål. Utredningen anser att ett tydligt sätt att ge uttryck för ändamålet är att beskriva det som behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser.

De behov som utredningen fått till sig avseende vidareanvändning för vårdändamål (behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser) har nästan uteslutande kommit från regional hälso- och sjukvård. Det är en av anledningarna till att utredningen valt att avgränsa författningsförslagen till att endast regionala myndigheter inom hälso- och sjukvården ges rätt att använda de utökade möjligheterna som författningsförslagen leder till, i vården av patienter. Sannolikt skulle även till exempel privata vårdgivare kunna ha nytta av samma utökade möjligheter för ända-

109

Utredningens uppdrag och arbete

SOU 2023:76

målet vård av annan. Utredningen bedömer dock att det inte varit möjligt att utöka möjligheterna till att även omfatta privata vård- givare i förhållande till utredningens tidsramar eftersom en sådan ansats skulle kräva ytterligare juridiska analyser av andra regelverk och även leda till ett behov av en ännu mer komplex integritets- analys. I utredningens direktiv anges att det är av stor vikt att skyddet för den personliga integriteten respekteras och att informationssäker- heten säkras. Avvägningar måste därför göras mellan den nytta som datadriven hälso- och sjukvård kan skapa och de risker som det kan medföra för enskildas personliga integritet och vilka möjligheter som finns att hantera sådana risker. Utredningen konstaterar att en rimlig ansats är att begränsa vilka aktörer som får använda sig av de nya möjligheterna författningsförslaget avseende vårdändamålet medför till regionala myndigheter inom hälso- och sjukvården. En sådan av- gränsning är nödvändig för att utredningen fullt ut kunna se över effekterna och riskerna för den personliga integriteten.

2.7.5Avgränsningar avseende vidareanvändning för forskning

Bedömning: Utredningen lämnar författningsförslag avseende vidareanvändning för ändamålet forskning och avser enklare till- gång till personuppgifter som finns hos regionala myndigheter som bedriver hälso- och sjukvård. Författningsförslagen avgrän- sas till klinisk forskning där samtycke till att delta i forskningen inhämtas.

Enligt utredningens direktiv har utredningen i uppdrag att skapa förutsättningar för sekundäranvändning av hälsodata för ändamålet forskning. I avsnitt 2.7.3 redogör utredningen för att uppdraget av- gränsas till vidareanvändning av personuppgifter. Den vanligaste pro- blematiken, som utredningen fått till sig, och som genererar en stor administrativ börda, handlar om otympliga tillvägagångssätt för att få tillgång till data som behövs för forskningen. Det handlar både om olika utfall av menprövningar som resulterar i varierade möjligheter till tillgång till data och om åtkomst av uppgifter som forskare redan rent praktiskt kan ha åtkomst till för ett annat ändamål. I kapitel 15 finns ett förklarande stycke om forskare som är anställda inom hälso- och sjukvården och som måste begära ut uppgifter som forskarna rent

110

SOU 2023:76

Utredningens uppdrag och arbete

praktiskt kan ha åtkomst till i egenskap av till exempel behandlande läkare för ändamålet vård.

Utredningens författningsförslag innebär en förenkling av åt- komsten till data som behövs för att forskningen ska kunna genom- föras. Utredningens förslag är endast tillämplig på personuppgifter från regional hälso- och sjukvård. Denna avgränsning har gjorts uti- från samma resonemang som för ändamålet vård av annan patient än den personuppgifterna avser. Ett utökande av fler eller andra källor än regional hälso- och sjukvård skulle kräva en ytterligare, fördjupad integritetsanalys som inte är genomförbar med anledning av utred- ningens angivna tidsramar.

Utredningen har valt att begränsa forskningen som ska omfattas till klinisk forskning. Författningsförslaget gäller endast sådan klinisk forskning som baseras på samtycke till att delta i forskningen. Ett sådant samtycke som inhämtas för att delta i den kliniska forskningen ska då kompletteras med ytterligare ett samtycke som inhämtas sam- tidigt. Det ytterligare samtycket utgör en integritetshöjande åtgärd och avser samtycke till den begränsade åtkomsten. Utredningens be- dömning är att det är svårt att leva upp till dataskyddsförordningens regler om integritetshöjande åtgärder för att förenkla åtkomsten av personuppgifter för annan forskning. Observationsstudier där sam- tycke inte inhämtas avgränsas därför bort från utredningens förslag om enklare åtkomst. Utredningen konstaterar att regeringens uttalande i direktiven pekar på att det bör vara en rimlig avgränsning eftersom det ”finns regleringar som avser registerbaserad forskning. Regeringen bedömer dock att det inte är inom ramen för sådana regleringar som de behov som beskrivs i dessa direktiv kan tillgodoses”12. Av den anledningen kommer utredningen inte lägga fram några författnings- förslag som avser registerbaserad forskning. Däremot har utredningen fått till sig ett uttalat problem avseende registerbaserad forskning, som bland annat handlar om att vid vissa fall kunna ta kontakt med de registrerade vars uppgifter behandlas vid registerforskning, se vidare kapitel 22. Utredningens bedömning är därför att det uppenbarligen finns ett behov hos forskare om att till exempel kunna få tillgång till mer uppgifter än ett register tillhandahåller. Det kan handla om forsk- ning som inleds som registerforskning men vid intressanta fynd skulle kunna utvecklas till klinisk forskning där forskaren behöver kontakta forskningspersoner och inhämta samtycke. Utredningen resonerar där-

12Dir. 2022:41 s. 4.

111

Utredningens uppdrag och arbete

SOU 2023:76

för kring behovet av detta och möjligheter att tillmötesgå behovet genom en statlig, nationell datahubb med en funktion där invånarna kan samtycka till att bli kontaktade för olika syften, se vidare kapitel 19–21.

Utredningens uppfattning är även att det finns en problematik kring menprövningar som resulterar i olika bedömningar. Utredningens bedömning är att det är angeläget att ta vidare frågan om gemensam menprövning så forskare ska kunna få en förutsägbarhet genom en- hetliga och konsekventa bedömningar. Utredningens anser dock att det inte är möjligt att lämna förslag på en sådan hantering utan att ha tillgång till en statlig, nationell datahubb (se vidare kapitel 19–21).

2.7.6Avgränsningar avseende vidareanvändning för utveckling och innovation

Bedömning: Utredningen lämnar inte författningsförslag avseende ändamålen utveckling och innovation. Ändamålen utveckling och innovation bör omhändertas av nya utredningar.

Utredningen hade inledningsvis en ambition att lämna författnings- förslag även avseende utveckling och innovation. Dock var arbetet för tidskrävande för att hinna med en sådan grundlig analys som ut- redningen anser behövs för författningsförslag. Utredningen har därför vikt ett eget kapitel åt utveckling för att ge så bra möjligheter som möjligt för en ny utredningen att ta vid och fortsätta arbeta med ana- lysen. De analyser som utredningen hann genomföra återfinns i kapi- tel 23. Utredningen anser att det är angeläget att en ny utredning till- sätts snarast för att omhänderta ändamålen utveckling och innovation. Det är en stor brist att det ena författningsförslaget ger nya möjlig- heter för vårdändamålet samtidigt som sådan regionöverskridande verksamhet inte har något rättsligt stöd för utveckling av verksam- heten. För aktörerna som får använda de nya möjligheterna som för- fattningsförslagen ger, i vården av patienter, kan utvecklingsändamålet i PDL sannolikt utökas till att även omfatta regionalöverskridande utveckling.

Det finns dock behov av utveckling som inte endast omfattar regionala myndigheter inom hälso- och sjukvården. Utredningen har fått till sig behov av utveckling för regionala myndigheter inom hälso-

112

SOU 2023:76

Utredningens uppdrag och arbete

sjukvården som bedriver nära samarbete med kommunal verksamhet. Kommuner bedriver verksamhet enligt både PDL (vård) och lag (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPuL (socialtjänst). Mot bakgrund av detta bör ett sam- lat grepp tas för sådan utveckling i en egen utredning. Som angetts i avgränsningar som framgår av direktiven är utredningens uppfattning att direktiven är avgränsade till att inte omfatta socialtjänstens område.

Utöver offentliga aktörer finns även behov av utveckling och inno- vation som olika privata aktörer har. Utredningens bedömning är att många situationer där ändamålet för personuppgiftsbehandlingen är utveckling eller innovation kräver en nationell datahubb och en säker behandlingsmiljö för att nyttan ska stå i proportion till integritets- intrånget. Utredningen har därför avgränsat bort dessa behov för att de i stället ses över vid etablering av en nationell datahubb, se vidare kapitel 19–21.

2.7.7Avgränsningar avseende undervisning på akademisk nivå

Bedömning: Utredningen lämnar inte författningsförslag avseende ändamålet undervisning på akademisk nivå. Ändamålen undervis- ning på akademisk nivå bör omhändertas av nya utredningar.

Enligt utredningens direktiv har utredningen i uppdrag att skapa för- utsättningar för utökade möjligheter till sekundäranvändning av hälso- data för ändamålet undervisning på akademisk nivå. Utredningen har fått till sig att de olika universiteten löser tillgång till hälsodata på olika sätt och att det finns en avsaknad av enhetlighet inom landet. Utredningens bedömning är att dessa behov behöver ses över och utredas. Däremot konstaterar utredningen att begreppen primär- och sekundäranvändning skapar utmaningar i sammanhanget. Den primära anledningen till att en student gör verksamhetsförlagd utbildning (VFU) är utbildning. Samtidigt konstaterar utredningen att det finns fler perspektiv att ta hänsyn till i sammanhanget. Ur studentens och lärosätets perspektiv är undervisning på akademisk nivå det primära syftet. Ur vårdgivarens eller patientens perspektiv är det primära syftet däremot vård. Utredningen anser att det inte är lämpligt att utred- ningen ser över dessa behov utan att hänsyn samtidigt tas till primäran-

113

Utredningens uppdrag och arbete

SOU 2023:76

vändningen. Utredningens bedömning är att det finns anledning till ytterligare utredning för att se över behoven, men att en sådan utred- ning behöver ta ett samlat grepp för att lösa dessa frågor på bästa sätt.

2.7.8Avgränsningar avseende statliga, regionala och kommunala myndigheters beslutsfattande

Bedömning: Utredningen lämnar inte författningsförslag avseende ändamålet statliga, regionala och kommunala myndigheters be- slutsfattande. Ändamålen statliga, regionala och kommunala myn- digheters beslutsfattande bör omhändertas av nya utredningar.

Som utredningen anger i 2.4.4 finns ett behov av tillgång till hälsodata för statliga, regionala och kommunala myndigheters beslutsfattande. Utredningens uppfattning av behoven som uppstår i samband med vård bör kunna omhändertas antingen av det författningsförslag avse- ende vårdändamålet som utredningen lämnar eller, efter fortsatt utred- ning, inom ändamålet utveckling som utredningen skriver om i 2.7.6.

Utredningen bedömer vidare att det saknas organisatoriska och infrastrukturella lösningar som skulle göra att nyttan stod i proportion till det intrång i den personliga integriteten som ett sådant förslag skulle innebära. Utredningen resonerar kring detta och lämnar bedöm- ningar i avsnitt 20.5.

2.8Aktörer som omfattas av utredningens förslag

Bedömning: De aktörer som omfattas av utredningens författ- ningsförslag bör begränsas.

Utredningens förslag är avgränsade så att endast vissa aktörer kommer omfattas av dem. För att ge en bild av hur förslagen är tänkt att fungera i praktiken behöver en kort beskrivning förklara vilka aktörer som omfattas av förslagen. Förtydliganden och djupare resonemang om varför dessa avgränsningar gjorts kommer finnas i andra delar i betänkandet.

Generellt kan anges att förslagen avser vidareanvändning av per- sonuppgifter från hälso- och sjukvården, se avsnitt 2.7.3. Verksamheten

114

SOU 2023:76

Utredningens uppdrag och arbete

på datahållarsidan är alltså hälso- och sjukvård. Utredningen tar ut- gångspunkt i definitionen av hälso- och sjukvård som finns i patient- datalagen (2008:355), förkortad PDL, se avsnitt 2.6.1. På dataanvän- darsidan finns verksamhet i form av hälso- och sjukvård och klinisk forskning, se avsnitt 2.7.4 och 2.7.5.

En fråga som utredningen har haft att överväga kopplat till för- fattningsförslagen har varit vilka aktörer inom hälso- och sjukvård och klinisk forskning som ska omfattas på datahållar- respektive data- användarsidan. Som redogörs för i avsnitt 2.7.2 är behoven stora, samtidigt som utredningen har begränsade tidsramar att förhålla sig till. Utredningen har därför sett det nödvändigt att begränsa antalet aktörer, framför allt på dataanvändarsidan. Utredningen har fokuserat på de aktörer där utredningen uppfattar att de största och mest akuta behoven finns.

En ytterligare aspekt på avgränsningarna av aktörer på dataanvändar- sidan som utredningen haft att ta hänsyn till är att ju fler aktörer som omfattas, desto mer omfattande och komplexa blir frågorna om inte- gritets- och sekretesskydd. För att kunna lämna väl genomarbetade förslag, har utredningen därför behövt göra avgränsningar av antalet och typen av aktörer som omfattas. Exempelvis omfattas endast aktörer på dataanvändarsidan som omfattas av befintliga regler om sekretess eller lagstadgad tystnadsplikt.

Aktörer vars behov har identifierats av utredningen, men som inte omhändertas i utredningens författningsförslag omfattas av andra delar av betänkandet, se kapitel 19–23.

2.8.1Vidareanvändning för vårdändamål

Med avseende på vidareanvändning för vårdändamål, föreslår utred- ningen ett nytt ändamål för behandling av personuppgifter. Ändamålet avser behandling av personuppgifter för vården av en annan patient än den som uppgifterna avser, se avsnitt 14.4. Kopplat till det nya ändamålet föreslår utredningen en modell för vidareanvändningen som bygger på behandling av personuppgifter i fyra huvudsakliga steg, se avsnitt 13.4. De aktörer som, i olika delar, omfattas av ut- redningens förslag om vidareanvändning av personuppgifter för vård- ändamål är vårdgivare och regional myndighet inom hälso- och sjuk- vården. Vårdgivare har samma definition som i PDL (1 kap. 3 §). Med

115

Utredningens uppdrag och arbete

SOU 2023:76

regional myndighet inom hälso- och sjukvården menas en myndig- het i en region som tillhandahåller hälso- och sjukvård, se vidare av- snitt 14.7.2.

Enligt utredningens förslag är det vårdgivare som är datahållare vid vidareanvändning för vårdändamål. Det är personuppgifter som har samlats in och som lagras hos vårdgivare som ska kunna bli föremål för vidareanvändning för det nya ändamålet. Vårdgivare ska i steg 1 och 4 i modellen kunna tillgängliggöra personuppgifter för vidareanvändning för vårdändamål.

Dataanvändare är regionala myndigheter inom hälso- och sjukvården. Regionala myndigheter inom hälso- och sjukvården ska kunna inrätta och föra en databas med personuppgifter för vidareanvändning. Utred- ningen kallar en sådan databas för precisionsmedicinsk databas (steg 2, se avsnitt 14.2.). Det är även regionala myndigheter inom hälso- och sjukvården som ska kunna ha tillgång till personuppgifter i en pre- cisionsmedicinsk databas och personal hos sådana myndigheter som arbetar inom den specialiserade vården som ska kunna söka i den (steg 3, se avsnitt 14.8).

Närmare motivering till avgränsningarna avseende aktörer kopplat till vidareanvändning för vårdändamål finns i avsnitt 14.6.1, 17.7.2 och 14.8.1.

2.8.2Vidareanvändning för klinisk forskning

För ändamålet klinisk forskning föreslår utredningen regler som inne- bär enklare tillgång till personuppgifter, se kapitel 16. Utredningen föreslår att vidareanvändning av personuppgifter som finns inom hälso- och sjukvården ska kunna ske genom en så kallad begränsad direkt- åtkomst eller annat elektroniskt utlämnande.

Datahållare vid vidareanvändning av personuppgifter för klinisk forskning enligt utredningens förslag är regionala myndigheter som bedriver hälso- och sjukvård. Dataanvändare vid vidareanvändning av personuppgifter för klinisk forskning är regionala myndigheter och lärosäten som bedriver klinisk forskning. Definitioner av aktörerna finns i avsnitt 16.3.

Närmare motivering till avgränsningar finns i avsnitt 16.4.2 och 16.7.4.

116

SOU 2023:76

Utredningens uppdrag och arbete

2.9Utredningens uppdrag i förhållande till andra utredningar

Det finns flertalet pågående utredningar som utredningen samverkat med eftersom deras uppdrag har en anknytning till utredningens uppdrag.

Utredningen har haft löpande kontakt med Utredningen om e-recept och patientöversikter inom EES (S 2020:10) fram till dess att den överlämnade sitt slutbetänkande. Samverkan har framför allt bestått i kunskapsöverföring och att se till att utredningarnas förslag går i linje med varandra och att inga förslag krockar. Därutöver har utredningen haft avstämning med arbetsgruppen som skrev Förslag på åtgärder för att skapa bättre förutsättningar för kliniska prövningar (Ds 2023:8). Även denna samverkan har bestått i kunskapsöverföring men också säkerställande att förslagen ska vara förenliga med varandra. Slutligen har utredningen haft avstämningar varannan vecka med utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10). Även här har samverkan bestått av kunskapsöverföring och att se till att förslagen ska vara förenliga med varandra. Utöver det har det varit viktigt att säkerställa så vi inte utreder samma frågor eller lämnar konkurrerande förslag.

Andra utredningar som utredningen haft mer sporadisk kontakt med men som bidragit med värdefull kunskap och vars arbete utred- ningen förhållit sig till är:

Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24),

Utredningen om en effektiv organisation för statlig forsknings- finansiering (U 2022:06),

Utredningen om hälsodataregister (S 2023:02),

Utredningen om interoperabilitet vid datadelning (I 2022:03).

2.10Utredningens arbete

Utredningsarbetet inleddes i augusti 2022 och har utgått ifrån utred- ningsdirektiven (dir. 2022:41). Utredningen skickade in en prome- moria till Regeringskansliet den 8 februari 2023 med förslag om ändring av E-hälsomyndighetens instruktion (se bilaga 4 Promemoria med förslag om ändring av E hälsomyndighetens uppdrag inom hälsodata-

117

Utredningens uppdrag och arbete

SOU 2023:76

området). Regeringen beslutade 29 juni 2023 om tilläggsdirektiv till utredningen (dir. 2023:97). Tilläggsdirektivet innebär en förlängning av utredningens uppdrag med två månader.

Utredningarbetet har bedrivits på sedvanligt sätt med regelbundna sammanträden och andra kontakter med experter och sakkunniga. Under arbetet med slutbetänkandet har utredningen haft fem expert- gruppsmöten varav ett slutjusteringsmöte.

Utredningen har i enlighet med vad som föreskrivs i direktiven haft samråd med andra utredningar med närliggande uppdrag. Samråden har i huvudsak genomförts via digitala möten.

Utöver detta har utredningen genomfört vanliga och digitala möten med företrädare för professions-, patient- och andra intresseföreningar, myndigheter, universitet och regioner. Syftet med mötena har varit att samla in information, kunskap och synpunkter utifrån respektive organisations perspektiv.

2.11Betänkandets disposition

Slutbetänkandet är indelat i tre avdelningar. Den första avdelningen innehåller allmän bakgrund om vad data och datadelning är, pågående initiativ inom EU på hälsodataområdet samt gällande rätt (kapitel 3–10).

Den andra avdelningen innehåller utredningens internationella ut- blick, problemanalys, utgångspunkter samt utredningen överväganden och förslag (kapitel 10–18).

Den tredje avdelningen innehåller bedömningar avseende frågor för fortsatt utredning (kapitel 19–23).

Därefter avslutas utredningen med författningskommentar följt av utredningens bilagor. Bilaga 1 är utredningens direktiv. Bilaga 2 är utredningens tilläggsdirektiv. Bilaga 3 beskriver samtycken inom vård och klinisk forskning. Bilaga 4 innehåller en promemoria som utred- ningen skickade till regeringen med förslag om ändring av E-hälso- myndighetens uppdrag inom hälsodataområdet.

118

BAKGRUND

119

3 Vad är data och datadelning?

3.1Inledning

Utredningen har bland annat i uppdrag att lämna förslag för att möj- liggöra en utökad vidareanvändning av hälsodata. För att reglera an- vändning av data i olika sammanhang krävs dock en djupare förståelse för vad data är och vad som avses med vidareanvändning, och fram- för allt hur dessa frågor påverkas av de juridiska ramar som finns på hälsodataområdet.

Utredningen har i sitt arbete uppfattat det som att det finns en diskrepans i förståelse mellan de som arbetar med teknik respektive juridik. Diskrepansen kan bland annat medföra att de olika profes- sioner som arbetar med frågorna missförstår varandra eller att regler och andra rättsliga förutsättningar blir svåra att tillämpa i praktiken. Det kan även resultera i att juridiska problem kan få otillfreds- ställande tekniska lösningar då de juridiska frågorna saknar förankring hos de praktiker som ska lösa dem.

I ett försök att överbrygga denna diskrepans har utredningen därför valt att beskriva begreppet data ur olika perspektiv, samt försökt tydliggöra kopplingen mellan olika juridiska och tekniska begrepp.

Data har flera egenskaper. Data kan delas utan att förbrukas och många personer kan använda samma resurs samtidigt. Värdet av resur- sen kan dessutom öka ju mer av den du har. Data kan även dupliceras. Detta är bara några av de egenskaper som gör att data är en resurs som är olik många andra. Så även om data ibland beskrivs som den nya oljan finns flera tydliga skillnader mellan data och olja, vilket också ställer andra krav på lagstiftningen kring data som gemensam resurs.1

Av de datamängder som finns är hälsodata en av de mer integri- tetskänsliga datamängderna. Det har debatterats om hälsodata bör ses

1https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is- no-longer-oil-but-data (Hämtat 2023-01-26).

121

Vad är data och datadelning?

SOU 2023:76

som det nya blodet eller den nya oljan. Hälsodata är en värdefull resurs, inte minst för vården, men också en resurs som behöver regleras annorlunda då det inte är en resurs som alla andra.2

Datadelning av den omfattande skala som EU-kommissionen före- slår3 lyfter ett antal etiska frågeställningar. Förhoppningsvis bidrar ut- redningens betänkande till att komma längre i arbetet med att hitta en bra balans och lösningar för att möjliggöra en säker och ändamåls- enlig datadelning som invånarna känner tillit till och som värnar deras integritet.

När det i utredningens direktiv talas om en datadriven hälso- och sjukvård, eller ett datadrivet samhälle, avses enligt utredningen när data används för att underlätta och skapa mervärde för olika användare baserat på kunskap. Data som används kan vara av låg kvalitet eller felaktig, vilket skulle kunna skapa situationer där data inte skapar mer- värde. Utredningen menar dock att det är själva ansatsen som sådan att använda data för att skapa mervärde som är kärnan i de datadrivna pro- cesserna och gör inget anspråk på att datadrivet i samtliga fall leder till ett bättre utfall eller genererar utfall som kan ses som objektiva san- ningar. Utredningen menar i stället att en datadriven process är ytter- ligare ett verktyg bland flera och som likt andra verktyg har sina styr- kor och svagheter.

3.2Vad är data?

Begreppet data kan många gånger användas synonymt med informa- tion, då data är just information. I allmänspråklig mening avser data ”uppgifter, fakta särskilt när de är digitalt behandlade”.4

Försök till att definiera begreppet data görs ofta i olika rättsliga källor. Det saknas dock en generellt giltig juridisk definition av be- greppet data.

Integritetsskyddsmyndigheten definierar data som uppgifter eller information om något, oftast i samband med mätningar eller rappor- tering, exempelvis personuppgifter.5

2Perakslis, E., & Coravos, A. 2019. Is health-care data the new blood?. The Lancet Digital Health, 1(1), e8–e9.

3Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén, ”Mot en blomstrande datadriven ekonomi”, COM

(2014) 442.

4https://svenska.se/tre/?sok=data&pz=1 (Hämtat 2022-10-05).

5https://www.imy.se/ordlista/ (Hämtat 2022-10-07).

122

SOU 2023:76

Vad är data och datadelning?

I artikel 2.1. i Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten), för- kortad EU:s dataförvaltningsförordning, definieras begreppet data som

Varje digital återgivning av handlingar, fakta eller information och varje sammanställning av sådana handlingar, sådana fakta eller sådan informa- tion, däribland i form av ljudinspelningar, bildinspelningar eller audio- visuella inspelningar.

I lagen (2022:818) om offentliga sektorns tillgängliggörande av data de- finieras data som ”information i digitalt format oberoende av medium” (1 kap. 4 §).

Som framgår ovan är begreppet data förhållandevis brett och all- mänt hållet, men i korthet kan sägas att det är information som är eller kan användas för att generera kunskap. Denna information kan utgöras av personuppgifter, men behöver inte utgöras av det. Utred- ningen använder begreppet ”data” i meningen att informationen som avses på något sätt är dokumenterad. Utredningens bedömning är att data typiskt sett är information i digitalt format, men att data även kan avse information som dokumenterats på annat sätt.

3.2.1Olika typer av data

Insamlade data kan klassificeras, sorteras och struktureras på olika sätt. Det kan till exempel göras utifrån vad data handlar om, vad data har för form eller hur data är reglerad. Samma begrepp kan även ha olika innebörd inom olika fält.

Ett sätt att klassificera data är att skilja mellan kvalitativa data och kvantitativa data. Ett exempel på kvalitativa data är fritext i en patient- journal, medan ett blodtryck är ett exempel på kvantitativa data.

Data kan också sorteras in i skalor så som nominal-, ordinal-, intervall- och kvotskala.6 Data kan även vara strukturerad eller ostruk- turerad. Det finns ingen entydig definition av vad strukturerade data är, men generellt avses ofta data som är organiserad på något sätt, till exempel i ett register.7 Inte heller för ostrukturerade data finns någon entydig definition, men vanligen avses att data är oorganiserad. Van-

6Stanley S. S., 1946, On the Theory of Scales of Measurement.

7Strukturerade data | IDG:s ordlista (Hämtat 2022-10-26). En till synes näraliggande men ändå separat fråga är det arbete som bedrivits av Socialstyrelsen med att ta fram ett ramverk för Struk- turerad dokumentation inom vård och omsorg, NI 2023:5.

123

Vad är data och datadelning?

SOU 2023:76

liga exempel på ostrukturerade data är fritext i en journal. Anled- ningen till att text sägs vara ostrukturerad data är för att en dator inte med lätthet kan tolka eller behandla innehållet. Det behöver inte alltid vara uppenbart för någon om datan är strukturerad eller ostruk- turerad. Data kan se ostrukturerad ut, men med hjälp av rätt program- vara kan det visa sig att datan är strukturerad och att det därmed kan röra sig om till exempel direkt identifierbara personuppgifter.

Vad för typ av data det rör sig om kan påverka bedömningen av om det rör sig om en direkt eller indirekt identifierbar personuppgift, eller om det i en viss situation rör sig om en personuppgift över huvud taget. Ett annat sätt att beskriva det är att om data utgörs av en eller flera personuppgift/-er eller när det rör sig om data som om- fattas av sekretess får det rättsliga konsekvenser knutna till sig som måste hanteras.

3.2.2Ostrukturerade data

Exemplifieringen i denna del är inte avsedd att vara uttömmande, syf- tet är snarare att skapa en förståelse för vilka de stora typerna av ostruk- turerade datamängder som är vanligt förekommande inom vården.

Text

Ett av de vanligaste exemplen på textdata inom hälso- och sjukvården är journalanteckningar som är skrivna som fritext. Ur ett dataanvän- darperspektiv är textdata svårt att använda eftersom innehållet och strukturen på texten inte är standardiserade och det finns därmed en stor variation av information i texten. Ytterligare en svår aspekt med textdata är att det kan vara väldigt svårt och tidskrävande att pseudo- nymisera eller anonymisera textdata. Textdata kan i vissa fall även innehålla information om andra personer än den registrerade, vilket gör det än svårare att hantera.

Text kan även bifogas andra datatyper exempelvis som metadata, det vill säga data om data. Ett sådant exempel kan vara data som be- skriver vilken upplösning en bild har, men det kan också vara infor- mation om vilken person en viss röntgenbild tillhör. Det kan också röra sig om anteckningar som gjorts på eller till en bild. Men det kan

124

SOU 2023:76

Vad är data och datadelning?

även röra sig om text som bara är sparat i ett bildformat, så som en skärmdump av en hemsida.

Bild

Bilder är en vanligt förekommande datamängd inom vården exempelvis finns röntgenbilder, bilder inom patologin, men även visuella repre- sentationer av data så som enklare diagram till mer avancerade visua- liseringar av genomikdata.

Eftersom bilder är ostrukturerad data kan det vara svårt att identi- fiera enskilda personer från bilder utan att få ytterligare information rörande bilden om inte till exempel ett ansikte gör att en person enkelt kan identifieras.

Ljud

Hälsodata i form av ljud kan vara biomarkörer så som en ljudupp- tagning av en persons hosta, men det kan också vara dikterad patient- information, inspelade telefonsamtal eller andra ljudfiler eller ljudspår till video. Ljuddata är därmed inte helt olikt bilddata och det kan vara svårt att direkt identifiera en person enbart utifrån bara ett ljud. Där- emot kan en persons röst göra det lätt att identifiera personen i fråga.

Video

Exempel på video kan vara video som genererats vid en koloskopi eller en ultraljudsundersökning, det kan även röra sig om videosamtal, videoövervakning eller en simulering av en biologisk process. Video kan exempelvis användas i undervisningssyfte eller som del i ett video- samtal mellan en patient och en vårdgivare.

Avslutande kommentar

Text kan ibland framstå som strukturerad utan att för den sakens skull vara det. De flesta som läser är medvetna om att ett understruket ord kan betyda att ordet är extra viktigt. Beroende på avsändare och rubrik på ett dokument kan läsare generellt också ofta förstå vad det är för

125

Vad är data och datadelning?

SOU 2023:76

information som finns i dokumentet. För en dator är det dock svårt att med lätthet utläsa dessa nyanser och skillnader, denna typ av data är ofta ostrukturerad. 8

Ostrukturerade data har dessutom av sin natur en inneboende osäkerhet kopplat till sig gällande om det utgörs av en personuppgift eller inte. Det är ofta en bedömningsfråga som dessutom beror på vilken ytterligare information som betraktaren har med sig eller kan tillskansa sig. Det visar tydligt på hur svårt det är att på ett ändamåls- enligt sätt ta fram en övergripande datareglering som tillåter en inte- gritetssäker datadelning. Det är även förklarligt att det finns ett behov av ökad precision i regleringen.

3.2.3Strukturerade och standardiserade data

Strukturerade data är data som är ordnade på ett systematiskt sätt. Det har som tidigare nämnts inte att göra med om den av människor upplevs som strukturerad, utan om den är strukturerad på ett sätt som underlättar sökningar av data.9 Strukturerad data underlättar ofta för datadelning dels genom att det är enklare rent tekniskt, men det kan också underlätta vid utlämnande eftersom det många gånger är lättare att bedöma om strukturerade data är en personuppgift eller inte. Exempelvis är det svårt att ur ett textdokument få reda på exakt hur många namn som återfinns i texten, medan det i en strukturerad datamängd är enkelt att få fram den informationen.

Ett annat, liknande begrepp är standardiserade data. En standard kan ses som överenskomna gemensamma regler för beskrivning, utformning och framställning av en produkt eller tjänst.10 Standar- diserade data är alltså data som följer en viss överenskommen standard och används oftast för att minska onödiga variationer och oklarheter som kommer av att exempelvis olika begrepp kan tolkas på olika sätt. Vid delning av data kan standardiserad data hjälpa aktörerna som delar data att få en bättre förståelse för vad det är för data de delar och vad datan betyder. Standardiserade data har många gånger inte någon direkt påverkan på huruvida data utgörs av personuppgifter

8Feldman, R., & Sanger, J. 200). The text mining handbook: advanced approaches in analyzing unstructured data. Cambridge University Press.

9https://it-ord.idg.se/ord/strukturerade-data/ (Hämtat 2023-03-16).

10https://it-ord.idg.se/ord/standard/ (Hämtat 2023-03-16).

126

SOU 2023:76

Vad är data och datadelning?

eller inte utan nyttan uppstår ofta snarare i att datan blir mer jäm- förbar och lättare kan delas mellan olika system.

3.2.4Aggregerade data

När enskilda rader i ett dataset samlas ihop brukar de benämnas som aggregerad data. Det finns flera olika fördelar med att aggregera data. En viktig aspekt kan vara att uppgifter som slås samman kan gå från att innehålla personuppgifter till att bli aggregerad data, som då inte längre utgörs av personuppgifter.

I vissa fall hjälper det inte att aggregera data för att det inte ska anses utgöra personuppgifter. När det finns många variabler som kan användas för att identifiera en person eller när antalet personer i en viss grupp är så pass få kan det innebära att det går att bakvägsiden- tifiera enskilda personer, trots att data är aggregerad. Aggregerade data har därmed utmaningar i att det kan vara svårt att bedöma huruvida en mängd data innehåller personuppgifter eller inte. För väldigt stora dataset kan det vara praktiskt omöjligt att veta eller ta reda på om datamängden innehåller personuppgifter eller inte.

3.2.5Övriga datatyper

Utöver de datatyper som tagits upp ovan finns även andra datatyper som är svåra att kategorisera då de ofta är en sammanblandning av flera olika datatyper samtidigt eller att de på annat sätt har en annorlunda karaktär. Ett sådant exempel kan vara att datatyperna inte lagras utan bara existerar under vissa förhållanden eller korta perioder. Även här kommer utredningen bara kortfattat beskriva ett antal sådana typer som utredningen bedömt särskilt viktiga för hälsodataområdet.

Förstärkt- och virtuell verklighet

Förstärkt verklighet är en teknik som kombinerar människans sinnes- intryck med datorgenererade intryck i realtid. Den vanliga yttervärlden som vi uppfattar med ögon, öron och andra sinnesorgan kompletteras med virtuella inslag. Det förutsätter speciella interaktiva glasögon eller liknande utrustning. En metod kan vara att man tittar på en historisk

127

Vad är data och datadelning?

SOU 2023:76

turistattraktion genom bildskärmen på en smart mobil med kamera. På bildskärmen visas då motivet med datorgenererade tillägg, till exempel en rekonstruktion av hur arkeologer tror att en ruin såg ut innan den blev ruin. Det liknar virtuell verklighet, fast blandat med vanliga sinnesintryck.11

Virtuell verklighet är en teknik som visar en illusion av en verklig och interaktiv omgivning, skapad med datorteknik. Rörliga bilder, ljud gör att användaren tycker sig vara i en tredimensionell värld som går att röra sig i och också påverka.12

Det finns redan i dag en mängd olika medicintekniska produkter som använder sig av förstärkt eller virtuell verklighet.13 Allt eftersom denna teknik utvecklas och blir en mer integrerad del av vården så är utredningens bedömning att behovet av relevant och uppdaterad reg- lering kommer att öka. Exempelvis finns behov av att samla in data från användningen av dessa produkter för att utvärdera såväl säkerhet som effektivitet. För att dessa produkter ska fungera krävs ofta tränade algoritmer som i sin tur kräver stora datamängder för att tränas. På så sätt är denna teknik dataintensiv eftersom den både har ett behov av historiska data och samtidigt kan använda, sammanföra och gene- rera stora mängder data i realtid.

Beräkningsdata

När en beräkning görs genereras många gånger olika värden. Utred- ningen har inte kunnat hitta ett bra begrepp för att beskriva denna typ av data och har därför valt att kalla det beräkningsdata. Ett exempel är parametrar, så som vikter i maskin- och djupinlärning. Utanför en ekvation, modell eller beräkning saknar dessa värden många gånger praktisk betydelse utan blir då bara värden. Ur ett integritetsperspektiv är problemet med denna typ av data snarlik problemen som finns med anonymisering av data. Det är svårt att veta om det går eller inte att identifiera en individ ur datan eller vilka andra data eller hjälp- medel som hade krävts för att kunna identifiera en person. För exem- plet djupinlärning kan det röra sig om fler värden än vad en människa rimligen någonsin skulle kunna ta del av. Exempelvis använder Googles

11https://it-ord.idg.se/ord/forstarkt-verklighet/ (Hämtat 2023-03-16).

12https://it-ord.idg.se/ord/virtuell-verklighet/ (Hämtat 2023-03-16).

13https://www.fda.gov/medical-devices/digital-health-center-excellence/augmented-reality- and-virtual-reality-medical-devices (Hämtat 2023-03-16).

128

SOU 2023:76

Vad är data och datadelning?

djupinlärningsmodell AlphaStar 139 miljoner parametrar14, OpenAI:s GPT-3 använder 175 miljarder parametrar.15

Maskin- såväl som djupinlärning blir ett allt vanligare verktyg, så även inom hälsodataområdet. Det är också ett fält där utvecklingen går väldigt snabbt framåt, vilket kan göra det svårt att bedöma hur dessa modeller får kombineras med hälsodata.

3.2.6Kvalitativ metod och data

Inom samhällsvetenskaperna används både kvalitativ och kvantitativ metod. Med kvalitativ metod avses ett samlingsbegrepp för olika arbetssätt som förenas av att forskaren själv befinner sig i den sociala verklighet som analyseras, att datainsamling och analys sker sam- tidigt och i växelverkan, samt att forskaren söker fånga såväl män- niskors handlingar som dessa handlingars innebörd.16 Kvalitativ metod fokuseras mer på textanalyser och fallstudier och kvalitativa data är därmed oftast formaterat som text.17 Inom hälso- och sjukvården är fritext i journal en typ av kvalitativ data.

På senare år har det blivit vanligare att maskininlärningsmodeller används för att omvandla kvalitativa data till kvantitativa data.18 Var gränsen går för kvantitativa respektive kvalitativa data är inte helt tydlig och förändras i takt med teknikens utveckling, även om meto- derna fortsatt skiljer sig åt.

3.2.7Kvantitativ metod och data

Kvantitativ metod är ett samlingsbegrepp inom samhällsvetenskaperna för de arbetssätt där forskaren systematiskt samlar in empiriska och kvantifierbara data, sammanfattar dessa i statistisk form samt från

14Wang, Xiangjun, et al. (2021, July). SCC: An efficient deep reinforcement learning agent mastering the game of StarCraft II. In International conference on machine learning (pp. 10905–10915). PMLR.

15Floridi, L., & Chiriatti, M. 2020. GPT-3: Its nature, scope, limits, and consequences. Minds and Machines, 30, 681–694.

16https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvalitativ-metod

(Hämtat 2023-03-28).

17Esiasson, P., Gilljam, M., Oscarsson, H., Towns, A., & Wängnerud, L. 2017. Metodpraktikan: Konsten att studera samhälle, individ och marknad. 5. uppl. Stockholm: Norstedts Juridik, (s. 211).

18Khurana, D., Koli, A., Khatter, K., & Singh, S. 2023. Natural language processing: State of the art, current trends and challenges. Multimedia tools and applications, 82(3), 3713–3744.

129

Vad är data och datadelning?

SOU 2023:76

dessa bearbetade data analyserar utfallet med utgångspunkt i testbara hypoteser.19 Denna metod är också väldigt vanlig utanför forskningen och används ofta i det som kallas datadriven hälso- och sjukvård, eller det som oftast avses med begreppet dataanalys. Vanligt är då också att analytiker använder så kallad real world data, vilket är all data som inte är data från en randomiserad kontrollerad studie.20

3.2.8Real world data

Det finns ingen vedertagen definition eller svensk översättning av real world data (RWD). Statens beredning för medicinsk och social utvär- dering (SBU) har förklarat begreppet som:

Ofta syftar det [real world data] på uppgifter om individers behandling och hälsa som finns i register och journaler, men också på hälso- och livsstilsinformation i smarttelefoner och bärbara sensorer. Det gemen- samma är att uppgifterna inte primärt har samlats in i vetenskapligt syfte men ändå används av forskare.21

I praktiken innebär det i stort sett samtliga data som samlats in utanför vetenskapliga studier.

Utredningen har noterat att begreppet ibland förväxlas med be- greppet realtidsdata, vilket beskrivs i avsnitt 3.2.9.

3.2.9Realtidsdata

Det finns ingen definition av realtidsdata, det som däremot ofta avses är data som uppdateras och visas upp i realtid. I praktiken brukar begreppet användas i relation till beslutsstöd eller uppföljning även om realtidsdata förekommer även inom andra områden. Exempel på realtidsdata är om ett sjukhus kan monitorera antalet väntande på akuten i realtid. Ett annat exempel är medicintekniska produkter som visar värden i realtid så som EKG. Begreppet har blivit vanligare inom beslutsstöd på senare år för att verksamheter snabbare ska kunna agera på insamlade data. Utredningens bedömning är att vissa aktörer även

19https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/kvantitativ-metod (Hämtat 2023-03-28).

20https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-04-05).

21https://www.sbu.se/sv/publikationer/vetenskap-och-praxis/forskningen-flyttar-in-i-vardagen/ (Hämtat 2023-09-18).

130

SOU 2023:76

Vad är data och datadelning?

använder begreppet för att beskriva data som uppdateras ofta om än inte i realtid. Här verkar det vara upp till det specifika fallet om data kan anses uppdateras i realtid eller inte. I vissa fall kan en timmes eftersläpning anses vara nära nog realtid, medan det inte kan anses vara det i andra. Utredningen har noterat att begreppet i vissa fall felaktigt används för att beskriva real world data, se avsnitt 3.2.7.

3.2.10Metadata

Metadata är data om data eller information om data. Det kan exem- pelvis vara en lista över vilka variabler som finns i en databas och information om de olika variablerna i databasen.

Metadata är ofta centralt för att aktörer ska kunna hitta och an- vända sig av relevant data. Ett exempel på användning av metadata är Vetenskapsrådets metadataverktyg Register Utiliser Tool (RUT). Verktyget underlättar registerbaserad forskning genom att tillåta sök- ning i och analys av metadata. På så sätt kan forskare utvärdera vilka register och variabler som de kan behöva i sin forskning.

Ett vanligt exempel på metadata är information om hur kategori- variabler är kodade. Exempelvis kan värdet 0 innebära kvinnligt kön och värdet 1 manligt kön. Det kan även finnas metadata som talar om att en viss insamlingsmetod ändrades ett specifikt år.

Eftersom metadata beskriver annan data så kan det underlätta för exempelvis dataanvändaren att bedöma vilka variabler som skulle gå att få ta del av och vilka data som kan behöva aggregeras. Ett sådant exempel är att metadata kan beskriva huruvida en variabel för ålder är kodat som exakt ålder eller om ålder är kodat i ålderskategorier. Metadata kan även användas som ett verktyg för uppgiftsminimering, utan rätt kunskap om datan som dataanvändaren vill få tillgång till kan det hända att användaren vill ta del av fler variabler än nödvändigt eftersom det kan vara svårt att på förhand veta om variablerna inne- håller den information som dataanvändaren behöver för att göra den aktuella analysen. Dataanvändaren kanske på förhand bedömer att en variabel är av intresse, men av metadatan framgår att variabeln inte innehöll den data som användaren först trodde eller att kvaliteten gör att datan inte kan användas för det ändamål som användaren först tänkt. Därmed skulle ett utlämnande av den variabeln utgöra ett onödigt integritetsintrång.

131

Vad är data och datadelning?

SOU 2023:76

Socialstyrelsen skriver i sin rapport Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport22 att ett av syftena med att tillgängliggöra metadata är att skapa bättre förståelse för vilka data som finns tillgängliga, var de är lokaliserade, vilken kvalitet de har och för att få en förståelse för på vilket sätt data går att använda och till vad.

3.3Behandling, lagring, och strukturering av data

Behandling av data kan ske på en mängd olika sätt. Den tekniska utvecklingen innebär att data kan behandlas på alltmer komplicerade sätt och denna utveckling går framåt i snabb takt. I förslaget till Europeiska kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och använd- ning av data COM(2022) 68 final av den 23 februari 2022, förkortad förslaget till Förordning om harmoniserade regler för skälig åtkomst till och användning av data (även kallad dataakten) definieras behand- ling i artikel 2.11 som:

åtgärd eller kombination av åtgärder som utförs på data eller dataset i elektroniskt format, oberoende av om de utförs automatiserat eller ej, såsom insamling, registrering, organisering, strukturering, lagring, bearbet- ning eller ändring, framtagning, läsning, användning, utlämning genom överföring, spridning eller tillhandahållande på annat sätt, justering eller sammanförande, begränsning, radering eller förstöring.

Behandling av data är alltså ett mer omfattande begrepp än dataskydds- förordningen behandling av personuppgifter, som endast avser be- handling av sådan data som utgörs av personuppgifter.

Att behandla data kan även innebära att data samlas in, lagras och struktureras på olika sätt. Nedan följer en kort beskrivning av några olika sätt att lagra och strukturera data. En datainsamling kan be- skrivas som en datamängd vilket kan ses som en informationsmängd. Begreppet datamängd kan betyda olika saker beroende på sammanhang. Begreppet brukar generellt avse en ordnad samling data (datapunkter) om en bestämd företeelse.23 En datamängd kan därför vara både data inom exempelvis ett område men kan också en specifik mängd av

22Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slutrapport (2022-10-8136).

23https://it-ord.idg.se/ord/datamangd/ (Hämtat 2022-10-07).

132

SOU 2023:76

Vad är data och datadelning?

data, på samma sätt som det går att ha en mängd med information. Samma data kan också tillhöra flera olika datamängdsbegrepp sam- tidigt, precis som en informationsmängd kan röra information om exempelvis krisberedskap och samtidigt vara en informationsmängd från en statlig myndighet. Mängden är alltså en förklaring av vad datan beskriver eller används för.

I figur 3.1 nedan visas en bild av ett dataset och utredningen kommer utifrån den bilden beskriva data från ett enskilt värde till en större samling av mer komplexa datamängder.

Figur 3.1

 

En bild över ett typiskt dataset

 

 

 

 

 

 

Dataset

 

 

 

Nyckel/Identifierare

 

Variabel

 

 

 

 

 

 

 

 

 

 

Personnr.

Förnamn

Efternamn

Diagnoskod

Kön

Rad

 

123456-7890

Anna

Andersson

A15

Kvinna

 

 

234567-8901

Bertil

Bengtsson

C18

Man

 

 

345678-9012

Carl

Carlsson

E10

Man

 

 

345678-9012

Carl

Carlsson

D44

Man

Datapunkt

Källa: Utredningens illustration.

3.3.1Datapunkt

En datapunkt är den minsta odelbara delen i en datamängd. Vad som är odelbart beror på sammanhanget.24 I figur 3.1 är exempelvis könet på en person en datapunkt. Det finns exempelvis ingen anledning att dela datapunkten kvinna till två separata datapunkter. För diagnoskod kan det däremot finnas anledning att dela datapunkten, exempelvis står bokstaven i början av diagnoskoden för en viss grupp av diagnoser. Så vad som räknas som odelbar beror därför på sammanhanget.

24https://it-ord.idg.se/ord/datapunkt/ (Hämtat 2023-03-15).

133

Vad är data och datadelning?

SOU 2023:76

3.3.2Variabel

En variabel är inom matematiken en storhet som tänks variera.25 En variabel skrivs ofta ut som bokstaven x och kan beskrivas som en bokstav som kan stå i ett uttryck och som vi kan byta ut mot olika värden. I en tabell med data brukar varje kolumn representera en variabel. I figur 3.1. ovan är exempelvis kön en variabel. Det är alltså ett värde som varierar beroende på vem observationen avser.26

3.3.3Nyckel

Vissa variabler kan fungera som nycklar, även kallat identifierare. I databaser är nyckeln ett värde (namn, tal, nummer) som kan an- vändas för att entydigt identifiera en rad (post) i en relationsdatabas eller i en annan fil. En vanlig förekommande nyckel är person- nummer27, vilket också är den nyckel som använts som exempel i figur 3.1. I figuren ser vi dock att två rader har samma nyckel, många gånger är det inte lämpligt att välja en nyckel som inte är unik för den enskilda raden,28 det finns dock situationer där det viktiga är att nyckeln kan användas för att identifiera enskilda individer snarare än enskilda rader.

3.3.4Rad, post eller observation

I en tabell med data finns även rader, dessa kallas också poster eller observationer.29,30 En rad är i många fall unik, men det förekommer situationer där det kan finnas identiska rader, exempelvis om vissa variabler har tagits bort av integritetsskäl. Det kan innebära att en eller flera rader blir identiska, men det kan även finnas andra situa- tioner där identiska rader kan förekomma.

25https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/variabel (Hämtat 2023-03-15).

26Organisation for Economic Co-operation and Development, 2008, OECD glossary of statistical terms. Organisation for Economic Co-operation and Development. s. 577.

27https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15).

28https://it-ord.idg.se/ord/nyckel/ (Hämtat 2023-03-15).

29https://www.statology.org/observation-in-statistics/ (Hämtat 2023-03-15).

30https://it-ord.idg.se/ord/post/ (Hämtat 2023-03-15).

134

SOU 2023:76

Vad är data och datadelning?

3.3.5Dataset

Ett dataset är en samling av datapunkter ordnade i rader och kolumner och som tillsammans utgör ett dataset. Ett dataset är alltså en sam- ling data som behandlas tillsammans för ett bestämt ändamål av ett datorprogram.31

3.3.6Databas

En databas är data som är samlade, ordnade, sökbara och skilda från specifika program (applikationer). En fördel med en databas jämfört med exempelvis ett dataset som är sparat som en fil är att en databas är enklare att underhålla och det gör också att flera program kan an- vända samma data.32 En databas kan vara ett register i dataskydds- förordningens mening, men behöver inte vara det. (Se ytterligare om databaser avsnitt 13.3.4)

3.3.7Register

Ett register är typiskt sett en lista med uppgifter, inte sällan person- uppgifter. Några exempel på register är nationella kvalitetsregister och Socialstyrelsens hälsodataregister. Ursprungligen fördes register på papper och bestod då rader och kolumner med uppgifter. I och med att datorn uppfanns så blev alltmer register digitaliserade, men register hade oftast samma form som de hade när de var på papper. På senare tid har det dock utvecklats en rad olika lösningar som gjort att det finns andra sätt att lagra data, men också andra sätt att sammanställa data än att samla allt i register.

Även om det finns vissa fördelar med register så som att det är ett enkelt sett att lagra och visualisera data så finns det också en rad ut- maningar med register. Exempelvis kan det vara kostsamt att uppdatera och hålla register och uppgifter samlas oftast in för att senare kunna delas. Det har tidigare, framför allt när register var i pappersformat, funnits behov av att föra olika register med samma uppgifter i dem, vilket skapar mycket administration både gällande registrering av upp- gifterna, och för att säkerställa att uppgifterna är korrekta i samtliga

31https://it-ord.idg.se/ord/datamangd/ (Hämtat 2023-03-15).

32https://it-ord.idg.se/ord/databas/ (Hämtat 2023-03-15).

135

Vad är data och datadelning?

SOU 2023:76

register. På senare år har det blivit alltmer vanligt med lösningar där data lagras mer lokalt och att relevanta data tillgängliggörs efter behov. Ett sådant exempel är om en patient skulle byta adress, då kan detta göras i en databas där andra system hämtar informationen, i stället för att informationen behöver ändras i samtliga system.

Register kan alltså vara flera olika saker, från en processor i en dator till en innehållsförteckning i en bok. Ett register kan vara en förteckning över data som hålls strukturerat och därmed sökbart. Vanligen är därmed även ett register en databas. I EU:s dataskydds- förordning definieras register i artikel 4.6 som en ”strukturerad samling av personuppgifter som är tillgänglig enligt särskilda kriterier, oavsett om samlingen är centraliserad, decentraliserad eller spridd på grundval av funktionella eller geografiska förhållanden”. Enligt den svenska modellen för författningsreglering av register är viss registerföring särskilt reglerad i så kallade registerförfattningar, se nästföljande avsnitt.

Varje myndighet ska enligt 4 kap. 2 § offentlighets- och sekretess- lagen (2009:400), förkortad OSL, tillhandahålla information om de register och databaser som myndigheten har. Syftet är att underlätta för allmänheten att ta del av allmänna handlingar från de databaser och register som myndigheten ansvarar för. Innehåller databasen eller registret personuppgifter ansvarar den som är personuppgiftsansvarig för personuppgiftsbehandlingen i dessa, det vill säga vanligen aktuell myndighet. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska enligt artikel 30 i EU:s dataskyddsförordning föra ett register över behandling som utförts under dess ansvar. Personupp- giftsansvarig myndighet ansvarar därmed för att ha en särskild register- förteckning över de personuppgiftsbehandlingar som utförts under dess ansvar.

Ytterst är det EU:s dataskyddsförordning och dataskyddslagen som reglerar personuppgiftsbehandling i svensk rätt, men denna reg- lering kompletteras ofta med myndighetsspecifika registerförfatt- ningar. Dessa, ofta sektorsspecifika registerförfattningar, kompletterar därmed EU:s dataskyddsförordning och kan innehålla avvikelser som ansetts nödvändiga eller lämpliga på det aktuella området i förhållande till det generella dataskyddet.

I svensk lagstiftning finns inom den offentliga sektorn en lång tradition av registerförfattningar. Vanligen innehåller ett sådant register personuppgifter och registerförfattningen reglerar hur behandlingen av dessa ska vara. Registerförfattningarna kompletterar dataskyddsför-

136

SOU 2023:76

Vad är data och datadelning?

ordningen men reglerar mer specifikt viss typ av behandling av per- sonuppgifter, både sådana som gäller för flera organisationer inom en sektor och sådana som enbart gäller för en viss myndighet. I vissa sammanhang skiljs på så kallade renodlade registerförfattningar, in- formationshanteringsförfattningar och annan reglering med inslag av dataskyddsbestämmelser.

I en registerförfattning anges ofta de ändamål för vilka person- uppgifterna i fråga får behandlas. Detta är tillåtet förutsatt att register- författningen uppfyller vissa grundläggande krav i dataskyddsförord- ningen. Registerförfattningarna har företräde framför lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, men måste fortfarande överensstämma med dataskyddsförordningen. Detta eftersom dataskyddslagen enligt 1 kap. 6 § är subsidiär till annan lag eller en förordning som inne- håller någon bestämmelse som avviker från dataskyddslagen.

Registerförfattningar kan vara tillämpliga övergripande för en viss typ av personuppgifter inom ett visst område. Hälso- och sjukvårdens område är föremål för ett stort antal registerförfattningar. Dessa registerförfattningar utgörs av lagar som reglerar vissa specifika verk- samheters personuppgiftsbehandling, såsom till exempel hälso- och sjukvård i form av PDL, och som gäller som komplement till data- skyddsförordningen.

3.3.8Datalager

Datalager, även kallat informationslager är en databas som är anpassad för snabb läsning, men som inte behöver klara ändringar och stryk- ningar, eftersom den bara används för analys av sådant som redan har hänt. Datalager bygger på att färska data regelbundet överförs från det vanliga it-systemet, som då inte behöver belastas av tunga sökningar. I ett informationslager formateras datamängderna också om, så att de blir anpassade till analytikernas sökningar.33 Ett vanligt förekommande exempel inom vården är att data för analys inte hämtas direkt från en applikation så som ett journalsystem utan att det oftast hämtas från ett datalager. En anledning till det är att om all begäran om data skulle skickas direkt till journalsystemet så finns det en risk att journalsystemet blir överbelastat.

33https://it-ord.idg.se/ord/informationslager/ (Hämtat 2023-03-15).

137

Vad är data och datadelning?

SOU 2023:76

3.3.9Stordata

Storadata, även kallat big data är ett begrepp som blev vanligt runt 2010 och är en benämning på mycket stora datamängder som kräver speciella metoder för analys. Det syftar oftast på ostrukturerade data, alltså sådana data som inte kan ordnas i tabeller eller kalkylark. Ett kriterium är att datamängderna är så stora att de i praktiken inte kan behandlas med traditionella program för analys och datautvinning. Områden där stordata är vanliga är analys av stora textmängder exem- pelvis från stora sociala medier, hälsodata, analys och kategorisering av fotografier och andra bilder, meteorologi, klimatanalys och data från handel.34

3.3.10Datasjö

Datasjö är ett begrepp som brukar användas för att beskriva en lag- ring av stor mängd data som sparas i oförändrad form i ett gemensamt förråd, det vill säga utan någon form av normalisering eller annan anpassning.35 Det kan exempelvis innebära lagring av både struktu- rerade data så som register och ostrukturerade data så som bilder. På det sättet skiljer sig datasjöar från de mer traditionella och mer struk- turerade datalagren. Ett datalager kan ses som ett välstrukturerat förråd där allt står uppmärkt och ordnat i lådor och i rader. En datasjö kan ses som ett förråd där föremålen är inkastade, vissa saker i lådor, andra inte, vissa i rader, andra inte.36

En datasjö är alltså ett sätt att lagra och använda data, vilket inne- bär att en datasjö kan ägas och innehålla data om endast en enda person. Så även om namnet sjö antyder att det skulle kunna röra sig om gemensamt tillgängliga data är ordet snarare en beskrivning av att flera olika typer av kärl med data har slagits samman, även kallat poolats, för att tillsammans bilda en sjö där data från de olika kärlen blandas och tillgängliggörs för de som ägaren av datasjön har gett behörighet till. Det kan finnas situationer där olika aktörer vill sammanföra sina data i en gemensam sjö, det har dock inget med begreppet att göra, snarare att aktörerna väljer det formatet för att dela och använda data. På samma sätt som ett förråd kan vara ens

34https://it-ord.idg.se/ord/big-data/ (Hämtat 2023-03-16).

35https://it-ord.idg.se/?s=datasj%C3%B6 (Hämtat 2022-10-07).

36https://it-ord.idg.se/ord/informationslager/ (Hämtad 2022-10-26).

138

SOU 2023:76

Vad är data och datadelning?

privata förråd eller ens gemensamma förråd så är förråd i allmänhet inte gemensamma, utan snarare ett praktiskt sätt att lagra saker och förrådet kan användas på olika sätt beroende på behov.

3.3.11Poolade data

Det finns ingen svensk definition av vad en datapool är utan be- greppet är en anglicism. Begreppet kommer från engelskans data pool och ordet pool används då i bemärkelsen:

A number of people or a quantity of a particular thing, such as money, collected together for shared use by several people or organizations.37

Det betyder alltså att en eller flera personer eller aktörer valt att samla data tillsammans för att datan ska kunna användas av en eller flera aktörer. Verbet för detta är att poola och när data poolats så är den poolade datan en datapool.

Utredningen har noterat att begreppet datasjö ofta används fel- aktigt för att beskriva poolade data. Begreppen är både praktiskt och juridiskt väldigt olika. Att jämföra en datasjö med poolade data är ungefär som att jämföra en pool med en sjö. Det kan finnas likheter, men i praktiken är de väldigt olika. Utredningen tror att en av an- ledningarna till att begreppen blandas ihop är för att det rent intuitivt låter som att en datasjö är något större och offentligt, medan en pool är mer begränsad och privat. I praktiken är det däremot ofta tvärt om. En datasjö är ett sätt att lagra olika datatyper på ett visst sätt (se av- snitt 3.3.10) medan poolade data bara är data som lagts samman. En annan sak som gör begreppet mer svårhanterligt är att det går att poola datasjöar, vilket då blir poolade data.

Poolade data innebär juridiska utmaningar. Som konstaterats ovan i avsnitt 3.4 innebär datadelning oftast att olika juridiska regelverk aktualiseras beroende på omständigheterna och förutsättningarna i det aktuella fallet. Att samla data för olika ändamål innebär ofta att olika lagrum görs gällande. Dessutom kan det finnas olika rättsliga grunder och olika rättsliga aktörer har olika regelverk att förhålla sig till. Det här innebär att för att kunna poola data behöver en juridisk analys göras för att se så samtliga inblandade aktörer har förståelse för hur regelverket behöver efterlevas.

37https://dictionary.cambridge.org/dictionary/english/pool (Hämtat 2023-09-13).

139

Vad är data och datadelning?

SOU 2023:76

3.3.12FAIR

FAIR är en akronym som står för Findable, Accessible, Interoperable och Reusable, det vill säga sökbar, tillgänglig, interoperabel och åter- användningsbar. FAIR-principerna innebär att forskningsdata ska gå att hitta, det ska finnas information om hur man får tillgång till dem, de ska vara kompatibla med andra data, och de ska vara möjliga att återanvända.38 Dessa principer kan även användas utanför forsk- ningen, även om det primärt är inom forskning som de i dag används.

För att data ska vara sökbar används ofta metadata, se avsnitt 3.2.10. För att data ska vara tillgänglig krävs dels att datan kan tillgäng- liggöras, alternativt att dataägaren har en vilja att tillgängliggöra datan, dels att datan får tillgängliggöras. Exempelvis får inte vissa data till-

gängliggöras av sekretesskäl.

För att data ska vara interoperabel krävs teknisk och semantisk interoperabilitet, exempelvis att datum registreras i samma format.

En förutsättning för att data ska vara återanvändningsbar är att data beskrivs med tillräckliga metadata, att metadata kan läsas av både människor och datorer och att det finns tydliga upplysningar om exempelvis vetenskapligt syfte, i vilket sammanhang data sam- lades in och vilken utrustning och programvara som användes. Även villkor för hur data får användas måste anges tydligt.39

3.4Vad är datadelning?

Flera av de listade sätten ovan om hur data kan behandlas genom att samlas in, lagras och struktureras kan innebära att data delas. Vad datadelning faktiskt innebär och omfattar kan betyda flera olika saker både i praktiken och rent juridiskt. I detta avsnitt kommer utred- ningen översiktligt beskriva några centrala begrepp för att tydliggöra vad utredningen avser när utredningen skriver om datadelning.

38https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18).

39https://snd.gu.se/sv/hantera-data/fardigstalla-tillgangliggora/FAIR-principerna (Hämtat 2023-09-18).

140

SOU 2023:76

Vad är data och datadelning?

3.4.1Tillgängliggörande av data

Datadelning kan övergripande beskrivas som att en person eller en organisation gör sina data tillgängliga för andra.40 Inom denna över- gripande beskrivning kan datadelning betyda olika saker. En allmän betydelse är att en datamängd görs tillgänglig för andra användare, antingen i en begränsad grupp eller mer generellt till allmänheten eller många mottagare. Dataledning kan också bestå i utbyte av data, genom att två eller flera organisationer kommer överens om att ha gemensam tillgång till varandras data. Av dessa beskrivningar följer att datadelning både kan vara envägs eller tvåvägs tillgängliggörande av data. Datadelning är även ett begrepp som finns definierat i arti- kel 2.10 i dataförvaltningsförordningen och beskrivs som

en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, till exempel inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.

Det innebär att det finns många olika förutsättningar att ta hänsyn till och datadelning blir snarare som en form av paraplybegrepp som i sin tur kan delas upp enligt olika juridiska förutsättningar.

I hälso- och sjukvården behandlas dagligen enorma mängder data som består av personuppgifter. En stor andel av uppgifterna utgörs av känsliga personuppgifter. Det finns flera bestämmelser inom hälso- och sjukvården som innebär att uppgifter delas.

Förutom dataförvaltningsförordningen som nämns ovan, förekom- mer begreppet datadelning inte i lagstiftning som rör informations- hantering, såsom dataskyddsförordningen, tryckfrihetsförordningen (1949:105), förkortad TF, offentlighets- och sekretesslagen (2009:400), förkortad OSL, eller svenska registerförfattningar. I dessa författningar används andra begrepp för åtgärder som omfattas av begreppet data- delning. För att förstå vilka rättsliga aspekter en specifik datadelning aktualiserar, måste man därför analysera vad datadelningen innebär i förhållande till de rättsliga begrepp som finns i relevant lagstiftning.

40https://it-ord.idg.se/ord/datadelning/ hämtat 2022-11-23.

141

Vad är data och datadelning?

SOU 2023:76

3.4.2Juridiska begrepp som kopplar till datadelning

Utlämnande

Den organisation som gör sin data tillgänglig, kan i lagens mening göra ett utlämnande av information. Begreppet utlämnande förekom- mer i TF och syftar på när en myndighet lämnar ut så kallade all- männa handlingar eller uppgifter ur allmänna handlingar (se 2 kap. 15–20 §§ TF). Utlämnande kan ske genom att den som begärt ut hand- lingen får ta del av en på stället på ett sådant sätt att den kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 15 § TF). Kan hand- lingen inte läsas eller uppfattas på något annat sätt utan något tekniskt hjälpmedel, ska myndigheten ställa ett sådant till förfogande. Det kan till exempel vara en uppkopplad skärm om det gäller en elektronisk handling. En handling får också skrivas av, fotograferas eller spelas in.

Utlämnande kan också ske genom att den som begär ut handlingen får del av en avskrift eller kopia av handlingen. Detta kan gå till så att handlingen kopieras och skickas per brev. Detta förekommer fort- farande hos myndigheter vad gäller sekretessbelagd information.

Utlämnande på medium för automatiserad behandling

Utlämnande på medium för automatiserad behandling är ett begrepp som förekommer i PDL och innebär utlämnande på medium för auto- matiserad behandling (ADB-utlämnande). Förarbetena till PDL anger att utlämnande också kan göras i elektronisk form, det vill säga på medium för automatiserad behandling eller via elektronisk kommu- nikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, till exempel användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via tele- nätet eller att en mottagare ges elektronisk tillgång till det utläm- nande organets datorsystem (prop. 2007/08:126, s. 73).

Direktåtkomst

Utlämnande kan också ske genom så kallad direktåtkomst. Det finns ingen rättslig definition av direktåtkomst. Begreppet har använts i många utredningar och finns i lagstiftning utan att vara definierat i någon lag. Direktåtkomst innebär en form av elektroniskt utlämnande.

142

SOU 2023:76

Vad är data och datadelning?

Utlämnandet sker då till en extern mottagare där den som är ansvarig för informationen inte längre har någon kontroll över vilka uppgifter som mottagaren tar del av. Den som tar emot uppgifterna kan inte heller påverka innehållet i det system eller register som uppgifterna lämnas ut från. Direktåtkomst till personuppgifter som behandlas en- ligt PDL får endast ske i den utsträckning som lag eller förordning anger det. Ett exempel på en lagstadgad form av direktåtkomst finns i 5 kap. 4 § 2 PDL. Ifall en region eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma region eller kommun. I 5 kap. 5 § patient- datalagen anges att en vårdgivare får medge en patient tillgång, genom direktåtkomst, till sådana uppgifter om sig själv som behandlas för vård- dokumentation. Exempel på sådan direktåtkomst är vårdens e-tjänst Journalen via 1177 Vårdguiden.

Data som omfattas av direktåtkomsten blir allmänna handlingar hos mottagande myndighet. Direktåtkomsten begränsas av den be- hörighet som har givits användaren.

Annat elektroniskt utlämnande

I senare lagstiftningsarbete används formuleringen direktåtkomst eller annat elektroniskt utlämnande.

Med begreppet annat elektroniskt utlämnande avses sådan elektro- nisk överföring av uppgifter som inte sker genom direktåtkomst, till exempel e-post, USB-minne eller genom en så kallad fråga-svar- funktion där användaren kan ställa en fråga med begäran om utläm- nande av uppgifter i ett sammanhållet system, och därefter få ett samlat svar från flera vårdgivare eller omsorgsgivare. Utredningen uppfattar det som att detta omfattas av begreppet ADB-utlämnande. Motive- ringen till användande av detta begrepp, i tillägg till direktåtkomst, är att inte låsa fast vårdgivare till att de måste använda direktåtkomst, som anses vara förknippat med särskilda integritetsrisker. Utred- ningen konstaterar vidare att det noteras att det i praktiken inte är något stor skillnad mellan direktåtkomst och en elektronisk fråga- svar-funktion. Se exempelvis prop. 2021/22:177, s. 78–79:

143

Vad är data och datadelning?

SOU 2023:76

Regeringen delar utredningens bedömning att det inte är lämpligt att utforma regleringen på ett sådant sätt att den låser fast det elektroniska utlämnandet i system med sammanhållen vård- och omsorgsdokumen- tation till just direktåtkomst. Det kan finnas system som uppfyller be- hovet av informationsöverföring men med högre integritetsskydd än vid direkt-åtkomst, och dessa måste vara tillåtna. Regeringen avser inte att begränsa hur sådana system är uppbyggda mer än vad som motiveras utifrån ett sekretess- och dataskyddsperspektiv.”

Elektronisk åtkomst

Elektronisk åtkomst innebär, enligt utredningens mening, inte en form av datadelning men tas ändå upp här för att förtydliga begreppen i sammanhanget. Begreppet avser inte en form för utlämnande. Med elektronisk åtkomst avses åtkomst eller tillgång till uppgifter som behandlas elektroniskt inom den egna organisationen. Elektronisk åtkomst är alltså formen för hälso- och sjukvårdspersonalens interna åtkomst till personuppgifter inom vårdgivaren vilket sker på elek- tronisk väg, såsom inloggning i ett journalsystem. Vårdgivaren har ansvar för att göra en individuell prövning av sin personals behov. Denna behovsprövning avser även hälso- och sjukvårdspersonalens tillgång till uppgifter genom sammanhållen journalföring.

3.5Data som utgör personuppgifter

Det finns flera juridiska begrepp som beskriver typer av data eller hälsodata. I detta avsnitt beskrivs några av de som utredningen be- dömer är mest centrala.

3.5.1Personuppgifter

Ett centralt begrepp i sammanhanget är som nämnts ovan person- uppgifter. I artikel 4.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), förkortad dataskyddsförordningen, definieras personuppgifter som varje upplysning som avser en identifierad eller identifierbar fysisk person. I 2 kap. 7 § tryckfrihetsförordningen defi-

144

SOU 2023:76

Vad är data och datadelning?

nieras personuppgift som all slags information som direkt eller in- direkt kan hänföras till en fysisk person. Exempel på personuppgifter är namn, personnummer, bostadsadress och IP-adress.

3.5.2Känsliga personuppgifter

I dataskyddsförordningen finns bestämmelser om särskilda katego- rier av personuppgifter. Med detta begrepp avses bland annat gene- tiska uppgifter, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning (se artikel 9.1 i dataskyddsförord- ningen). I svensk lagstiftning kallas dessa personuppgifter för känsliga personuppgifter (se 3 kap. 1 § lagen [2018:218] med kompletterande bestämmelser till EU:s dataskyddsförordning och 2 kap. 7 a § patient- datalagen [2008:355]).

3.5.3Uppgifter om hälsa

Med begreppet uppgifter om hälsa avses personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälso- status (artikel 4.15 dataskyddsförordningen). Ett exempel på en uppgift om hälsa är en uppgift om blodtryck. I skäl 35 i dataskyddsförord- ningen anges att personuppgifter om hälsa bör innefatta alla de upp- gifter som hänför sig till en registrerad persons hälsotillstånd som ger information om den registrerades tidigare, nuvarande eller framtida fysiska eller psykiska hälsotillstånd.

3.5.4Genetiska uppgifter

Med genetiska uppgifter avses alla personuppgifter som rör nedärvda eller förvärvade genetiska kännetecken för en fysisk person, vilka ger unik information om denna fysiska persons fysiologi eller hälsa och vilka framför allt härrör från en analys av ett biologiskt prov från den fysiska personen i fråga (artikel 4.13). Ett exempel på en genetisk uppgift är en uppgift om arvsanlag.

145

Vad är data och datadelning?

SOU 2023:76

3.5.5Uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden

I 25 kap. 1 § offentlighets- och sekretesslagen (2009:400), förkortad OSL, används begreppet uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden för att definiera sekretessbestämmel- sens föremål, se vidare om hälso- och sjukvårdssekretess i avsnitt 8.3.3. Begreppet hälsotillstånd är en typ av personligt förhållande som reger- ingen ansåg borde framhållas särskilt (prop. 1979/80:2, Del A s. 168). Begreppet hälsotillstånd definieras dock inte i förarbetena till bestäm- melsen. Däremot finns skrivningar om begreppet andra personliga för- hållanden, vilket också inkluderar begreppet hälsotillstånd. Där anges att vad som menas med personliga förhållanden måste bestämmas utifrån vanligt språkbruk. Vidare anförs att det är vitt skilda för- hållanden som omfattas, såsom adress, ekonomiska förhållanden men även yttringar av ett psykiskt sjukdomstillstånd. (prop. 1979/80:2 Del A, s. 84 och 168).

3.5.6När övergår personuppgifter till att inte längre vara personuppgifter?

Enligt dataskyddsförordningen är personuppgifter all slags informa- tion som direkt eller indirekt kan knytas till en person som är i livet. Ibland kan det vara svårt att avgöra var gränsen går för när data ut- görs av personuppgifter eller när det inte längre anses utgöra person- uppgifter. Ibland kan olika uppgifter tillsammans leda till att en viss person kan identifieras. Uppgifter som inte direkt kan identifiera en person klassas som personuppgifter om de är pseudonymiserade. Pseudonymisering är en säkerhetsåtgärd som innebär att personupp- gifterna ersätts med något annat, som en kod eller ett löpnummer och då krävs kompletterande uppgifter för att det ska vara möjligt att hänföra uppgiften till en specifik person. Pseudonymiserade uppgifter är alltså fortfarande personuppgifter, även om risken för att identifiera en person minskar. Av skäl 26 i dataskyddsförordningen framgår att förordningen är tillämplig på personuppgifter som har pseudonymi- serats och som skulle kunna tillskrivas en fysisk person genom att kompletterande uppgifter används. Dataskyddsförordningen är därför tillämplig även på pseudonymiserade personuppgifter.

146

SOU 2023:76

Vad är data och datadelning?

Anonymisering innebär däremot att personuppgifter anonymise- rats på ett sådant sätt att den registrerade inte längre är identifierbar (skäl 26 i dataskyddsförordningen). Dataskyddsförordningen är inte tillämplig på sådan anonym information, men själva anonymiseringen utgör en behandling av personuppgifter som omfattas av dataskydds- förordningen.41

Ien relativt ny dom från EU-domstolen42 prövades huruvida upp- gifter kunde anses vara anonyma hos mottagaren, trots att den orga- nisation som lämnat uppgifterna hade tillgång till kompletterande uppgifter som möjliggjorde identifiering. Utredningen konstaterar att domen är intressant men att ytterligare rättspraxis skulle behövas för att få bättre förståelse för när pseudonymiserade personuppgifter kan klassas som anonyma. Det finns en mängd gråzoner gällande var gränsen går för när personuppgifter inte längre kan anses utgöra per- sonuppgifter. Olika bedömningar görs på olika håll och utredningens bedömning är att det inte finns ett enkelt svar på frågan när data- skyddsförordningen blir tillämplig. För att bedöma om en person kan identifieras i ett dataset görs ofta en så kallad statistisk röjandekontroll. Begreppet statistisk röjandekontroll skiljer sig från röjandekontroll

isambandet röjande av sekretess. Det är metoder för att se till att inte uppgifter om enskilda personer eller företag ska gå att utläsa ur redovisad statistik eller statistiska material.

Med röjande menas att en utomstående får ny kunskap om en egen- skap hos en enskild (en person eller ett företag). Ett röjande kan till exempel ske genom att en uppgift om någon enskild framgår från en tabell eller genom att uppgiften tas fram av någon som ”lägger pussel” med statistiska material och information från annat håll.

41Se skäl 26 i Dataskyddsförordningen och jämför s. 7 i yttrande 05/2014 om avidentifierings- metoder antaget den 10 april 2014 av Artikel 29-arbetsgruppen för skydd av personuppgifter.

42Mål T-557/20.

147

Vad är data och datadelning?

SOU 2023:76

Figur 3.2 Schematisk översikt över hur en röjandekontroll kan se ut

Bedömning av

röjanderisk

Krävs Nej skydd?

Bedömning av

skaderisk

Ja

Skyddande av data

Bedömning av

Godtagbar

Ja

kvalitet

kvalitet?

 

 

 

Nej

 

 

 

 

 

 

”Åtgärd krävs”

”Överlämna”

Källa: https://www.scb.se/hitta-statistik/artiklar/2017/Rojandekontroll--viktig-for-statistikens-kvalitet/ (Hämtat 2023-03-06).

I offentlighets- och sekretessammanhang förekommer begreppet avidentifierade uppgifter. För att hinder ska finnas mot att lämna ut uppgifter som är sekretessreglerade till skydd för enskilds personliga eller ekonomiska förhållanden, krävs det en enskild person riskerar att lida skada eller men. Av förarbetena till den tidigare sekretess- lagen framgår att det krävs att uppgifterna är hänförliga till en viss individ för att en enskild person ska lida skada eller men. Vidare anges att det innebär att man i allmänhet bör kunna lämna ut så kallade avidentifierade uppgifter utan att risk för skada eller men upp- kommer (prop. 1979/80:2 Del A s. 84).

148

SOU 2023:76

Vad är data och datadelning?

3.6Skyddsåtgärder

Om data består av personuppgifter och dataskyddsförordningen är tillämplig, finns en rad olika tekniker och metoder för att skydda de registrerades personliga integritet i samband med databearbetning och analys. Utredningen har valt att begränsa sig till att enbart skriva om ett par skyddsåtgärder som utredningen bedömer är relevanta för betänkandet. För en mer utförlig beskrivning av olika skyddsåtgärder så finns en bra sammanställning i forskningsdatautredningens del- betänkande (SOU 2017:50, kapitel 12).

Utredningen kommer i denna del beskriva tre generaliserings- metoder i mer detalj eftersom utredningen bedömer att det är främst dessa som kan komma att vara aktuella för de som ska tillämpa ut- redningens förslag. Utöver detta kommer andra skyddsåtgärder be- skrivas mer översiktligt eftersom de i olika sammanhang kommer att tas upp i betänkandet. Syftet med detta är dels att visa på kom- plexiteten när det kommer till att skydda data och anonymisera data, dels visa på andra metoder som inte enbart handlar om pseudonymi- sering. Vissa skyddsåtgärder är också lämpliga när det inte bedöms finnas någon större risk för att de som har tillgång till data aktivt kommer försöka avidentifiera den, vilket i vissa situationer kan vara fallet. En friare datadelning ställer därmed också större krav på olika typer av skyddsåtgärder och balansen mellan detaljeringsgrad och skyddsåtgärd kan vara svår. Det är inte heller så enkelt att avgöra vilken metod som är bäst lämpad i olika sammanhang. Vid data- delning som innefattar behandling av personuppgifter, behöver det alltid göras en avvägning mellan nyttan och intrånget i den personliga integriteten. Dessutom behöver det göras en bedömning om vilken typ av skyddsåtgärd som är mest lämplig för den enskilda situationen.

3.6.1Generalisering av data

Generalisering av data är ett samlingsbegrepp som avser flera typer av skyddsåtgärder.

Med generalisering menas i allmänhet att undvika identifiering genom kvasiidentifierare43 genom att integritetskänsliga eller särskil-

43Uppgift som indirekt eller i kombination med andra uppgifter kan identifiera en person, exem- pelvis postnummer, ålder och kön.

149

Vad är data och datadelning?

SOU 2023:76

jande uppgifter aggregeras. I stället för att datasetet talar om exakt ålder på en registrerad så anges åldersspann (exempelvis ”20–29 år”).

För diagnos och behandling av personer med hjälp av precisions- medicin kan det exempelvis vara viktigt att veta exakt vilken mutation en person har och om personen är ett barn eller inte. Barnets exakta ålder är därmed sällan, om någonsin, avgörande och därför inte nöd- vändig i datasetet. För biomarkörer kan det röra sig om att infor- mationen som är viktig att känna till är om ett värde var kraftigt förhöjt, något förhöjt eller normalt. Skillnaden mellan variabler som beskriver en biomarkör jämfört med variabeln ålder är att behovet av detaljerings- grad kan skilja sig åt beroende på situation och biomarkör. Det kan därför till skillnad från ålder vara svårt att säga att biomarkörsvaria- bler alltid ska vara generaliserade på ett visst sätt.

K-anonymitet

K-anonymitet innebär att en eller flera kvasiidentifierare aggregeras. Bokstaven k står för antalet gånger en kombination av så kallade kvasiidentifierare, återfinns i ett dataset.

Ett exempel är om värdena för ålder och vikt skulle aggregeras till grupper, exempelvis i steg om tio. Så i stället för 47 år så skulle det stå 40–50 år och i stället för 77 kg så skulle det stå 70–80 kg. Om det fortfarande finns individer som är unika trots detta, exempelvis om det bara finns en observation som har värdet 40–50 år och 70–80 kg så går det fortfarande att identifiera enskilda personer utifrån det nya datasetet trots generaliseringen. Då behöver datasetet generaliseras ytterligare för att kunna säga att k-anonymitet har uppnåtts.

Rent praktiskt är K-anonymitet inte svårt att använda, det svåra ligger snarare i att bedöma vilka variabler som ska aggregeras, på vilket sätt och på vilken nivå.

Det kan vara värt att notera att k-anonymitet inte innebär att det är omöjligt att identifiera personer, med vissa metoder och för vissa typer av data så kan det trots k-anonymitet gå att identifiera enskilda personer. K-anonymitet räcker många gånger om data ska anony- miseras för betrodda personer som det inte finns anledning att tro ska försöka identifiera enskilda personer. I vissa situationer kan det finnas risk för att enskilda aktörer aktivt vill identifiera personer i ett dataset. För att göra det kan exempelvis annan kompletterande data

150

SOU 2023:76

Vad är data och datadelning?

användas av den som aktivt vill identifiera någon. Om det på förhand finns kännedom om att en specifik person ingår i ett dataset och det även finns kännedom om exakt ålder och adress som personen bor på kan det gå att identifiera enskilda personer. Det kan i sin tur leda till en ”snöbollseffekt” där det går att identifiera fler personer genom uteslutningsmetoden. I praktiken påminner det lite om att lösa ett sudoku, efter en viss punkt så blir det bara lättare och lättare tills du kan identifiera alla, trots att du från början inte hade tillräckligt med information för att identifiera mer än en eller ett fåtal individer. För att ytterligare skydda data kan då L-diversitet och T-närhet användas.

L-diversitet och t-närhet

L-diversitet är en metod som kan användas utöver k-anonymitet för att ytterligare stärka skyddet för personuppgifterna. L:et i L-diversitet står för antalet värden i varje ekvivalensklass. Ett konkret exempel på hur en grupp av observationer kan ingå i samma ekvivalensklass visas i figur 3.4.

L-diversitet kan användas som en ytterligare skyddsåtgärd och skyddar mot två typer av attacker som kan göras på data som anony- miserats med hjälp av k-anonymitet. Utredningen har försökt illustrera detta i figur 3.3 där uppgifterna i figuren är ursprungsdata.

151

Vad är data och datadelning?

SOU 2023:76

Figur 3.3

Exempel på ett dataset med pseudonymiserade data

 

 

 

 

 

 

Ickekänsliga uppgifter

Känsliga uppgifter

Id

Postnummer

Ålder

Födelseland

Diagnos

1

13053

28

Ryssland

Hjärtsjukdom

2

13068

29

USA

Hjärtsjukdom

3

13068

21

Japan

Infektionssjukdom

4

13053

23

USA

Infektionssjukdom

5

14853

50

Indien

Cancer

6

14853

55

Ryssland

Hjärtsjukdom

7

14850

47

USA

Infektionssjukdom

8

14850

49

USA

Infektionssjukdom

9

13053

31

USA

Cancer

10

13053

37

Indien

Cancer

11

13068

36

Japan

Cancer

12

13068

35

USA

Cancer

Källa: Machanavajjhala, A., Kifer, D., Gehrke, J., & Venkitasubramaniam, M. (2007). l -diversity: Privacy beyond k-anonymity. ACM Transactions on Knowledge Discovery from Data (TKDD), 1(1), 3 -es.

Därefter har k-anonymitet använts för att generalisera datan för att göra att personerna inte längre är direkt identifierbara, se figur 3.4.

Figur 3.4 Exempel på ett dataset med pseudonymiserade data som anonymiserats med hjälp av k-anonymitet

 

 

Ickekänsliga uppgifter

Känsliga uppgifter

 

Id

Postnummer

Ålder

Födelseland

Diagnos

 

1

130**

< 30

*

Hjärtsjukdom

 

2

130**

< 30

*

Hjärtsjukdom

 

3

130**

< 30

*

Infektionssjukdom

 

4

130**

< 30

*

Infektionssjukdom

 

5

1485*

≥40

*

Cancer

 

6

1485*

≥40

*

Hjärtsjukdom

 

7

1485*

≥40

*

Infektionssjukdom

 

 

 

 

 

 

 

9

130**

3*

*

Cancer

Dessa observationer ingår i

10

130**

3*

*

Cancer

samma ekvivalensklass

11

130**

3*

*

Cancer

 

12

130**

3*

*

Cancer

Källa: Utredningens illustration.

152

SOU 2023:76

Vad är data och datadelning?

Vi kan nu se att i kolumnen ”Id” har 9–12 bildat en homogen grupp där alla observationer är samma, vilket innebär att alla id i denna grupp ingår i samma ekvivalensklass.

Det finns två typer av attacker som kan utföras för att identifiera enskilda personer utifrån datasetet ovan. Det ena sättet ärattacker som följer av att data blivit för homogen, vilket är fallet i 3.4. Det andra sättet är att med hjälp av bakgrundsinformation och kunskap inom ett visst område, exempelvis medicinsk kunskap.

För attacker som avser data där generaliseringen skapat för homo- gena grupper finns följande exempel. Antag att det finns två grannar, Lotta och August som bor i ett område med ett postnummer som börjar på 130. Lotta ser att August blir körd till sjukhus. Vi antar vidare att Lotta har tillgång till det generaliserade datasetet (figur 3.4). Lotta vet alltså att August, som blev körd till sjukhus är 30 år gammal och vet också vilket postnummer hon ska leta efter för att kunna identifiera August. Lotta kan då identifiera att August åkte till sjukhuset på grund av att han hade fått cancer eftersom samtliga i den tredje gruppen har fått vård för cancer. Därmed har den uppgiften som är känslig, i detta fall diagnosen, kunnat identifieras på grund av att k-ano- nymiseringen lett till att en grupp är för homogen och att det därmed gått att knyta den känsliga uppgiften till en enskild person.

För attacker som avser bakgrunds