Dir. 2003:42

Författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården, m.m.

-

Beslut vid regeringssammanträde den 3 april 2003.

Sammanfattning av uppdraget

En särskild utredare tillkallas för att utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården. Författningen skall bl.a. innehålla bestämmelser om vilka uppgifter som skall få tas in i registret och vad som skall krävas för detta. Sådana krav kan gälla t.ex. om samtycke från den uppgifterna avser är nödvändigt, vad uppgifterna skall få användas till, vem som skall få tillgång till dem samt vad som skall gälla för register av olika livslängd och för bevarande av uppgifterna. Vid utarbetandet av en sådan reglering skall utredaren beakta bestämmelserna om skydd för den personliga integriteten vid behandling av personuppgifter i personuppgiftslagen (1998:204) och Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EG-direktivet om personuppgifter).

Utredaren skall även överväga om särskild författningsreglering behövs för de regionala cancerregistren och för donations- och metadonregistren, samt för blodgivarregistret och vaccinationsregistret, som båda är under uppbyggnad. Om utredaren anser att en särskild författningsreglering är nödvändig, skall han utarbeta ett förslag till en sådan.

Bakgrund

Integritetsfrågor

Frågan om registrering av känsliga personuppgifter inom vården innefattar svåra avvägningar mellan skyddet för den personliga integriteten å ena sidan och viktiga samhällsintressen å den andra. Hur starkt skyddet för den personliga integriteten skall vara är en omdiskuterad fråga - uppfattningen om vad som upplevs som intrång i den personliga integriteten varierar mellan olika individer och tillfällen. Begreppet kan sägas bestå av flera delar, varav bland andra följande två är aktuella i detta sammanhang. Den första är att den enskilde bör tillförsäkras en sfär som skyddas mot otillbörligt intrång från myndigheter. Den andra är att den enskilde bör ha rätt och möjlighet att själv bestämma i vilka sammanhang uppgifter om honom eller henne får utnyttjas och i så fall hur.

I svensk lagstiftning är skyddet för den enskildes integritet inte absolut, utanden enskilde måste acceptera ett visst mått av intrång till förmån för viktiga allmänna intressen. Det tyngsta skälet till att man tillåter registrering av känsliga personuppgifter i olika typer av myndighetsregister är att det finns stora samhälleliga vinster att göra med hjälp av dessa register.

Hälso- och sjukvården är ett område där en god hantering av personuppgifter kan ge stora förbättringar såväl i den dagliga verksamheten som för forskning och utveckling. Det finns ett flertal register inom hälso- och sjukvården i dag, vilka omfattas av författningsreglering. Ett av syftena med att författningsreglera ett registerområde är att stärka skyddet för den enskildes integritet och att anpassa det i förhållande till personuppgiftslagen.

I svensk rätt finns inte någon legaldefinition av begreppen personlig integritet och otillbörligt intrång i denna. Däremot finns bestämmelser till skydd för den personliga integriteten i lagar och förordningar på olika rättsområden.

I 1 kap. 2 § fjärde stycket regeringsformen (RF) föreskrivs bland annat att det allmänna skall värna om den enskildes privatliv och familjeliv. I 2 kap. 3 § andra stycket RF anges att varje medborgare i den utsträckning som närmare anges i lag skall skyddas mot att hans personliga integritet kränks genom att uppgifter om honom registreras med hjälp av automatisk databehandling.

Sedan år 1998 reglerar personuppgiftslagen (1998:204), PUL, närmare skyddet för den enskildes personliga integritet vid behandling av personuppgifter. PUL utgör ett genomförande i svensk lagstiftning av EG-direktivet om personuppgifter (Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter). PUL är subsidiär i förhållande till avvikande bestämmelser i lag eller förordning. Sådana bestämmelser får dock inte strida mot det underliggande EG-direktivet. Lagen är nu föremål för en översyn. Syftet med denna är att inom ramen för direktivets bestämmelser åstadkomma ett regelverk som mera tar sikte på missbruk av personuppgifter och andra obefogade intrång i den personliga integriteten än vad den nuvarande lagen gör (dir. 2002:31).

Den närmare regleringen av automatiserad behandling av personuppgifter inom hälso- och sjukvården står lagen (1998:543) om hälsodataregister (hälsodataregisterlagen) och lagen (1998:544) om vårdregister (vårdregisterlagen) för. De infördes som en följd av att man ansåg det nödvändigt att författningsreglera personregister inom hälso- och sjukvården för att skydda den enskildes integritet. Då hälsodataregisterlagen och vårdregisterlagen utarbetades ansåg hälsodatakommittén (SOU 1995:95) att det inte var nödvändigt att författningsreglera även de nationella kvalitetsregistren, främst på grund av att de ofta är tidsbegränsade.

Andra viktiga författningar på området är sekretesslagen (1980:100), hälso- och sjukvårdslagen (1982:763), lag (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område samt patientjournallagen (1985:562).

Hälso- och sjukvårdssekretessen regleras i 7 kap. 1 § sekretesslagen och omfattar personuppgifter i de nationella kvalitetsregistren i den mån de register förs inom ramen för hälso- och sjukvården. Enligt bestämmelsen gäller sekretess för uppgifter om enskilds hälsotillstånd och andra personliga uppgifter om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Enligt 7 kap. 1 § sista stycket får en landstingskommunal eller kommunal myndighet som bedriver hälso- och sjukvård lämna uppgift till en annan sådan myndighet för forskning eller framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller honom närstående lider men om uppgiften röjs.

I 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser om tystnadsplikt för hälso- och sjukvårdspersonal inom den enskilda hälso- och sjukvården.

I 9 kap. 4 § sekretesslagen regleras sekretesskyddet för uppgifter som rör enskilds personliga eller ekonomiska förhållanden, vilka förekommer hos myndighet i dess verksamhet som avser framställning av statistik eller annan därmed jämförbar undersökning. Paragrafen fick en ny lydelse genom en ändring som trädde i kraft den 1 april 2001 (SFS 2001:101). Ändringen var föranledd av en EG-förordning (Rådets förordning EG nr 322/97 av den 17 februari 1997 om gemenskapsstatistik) och syftade till att anpassa bestämmelserna i sekretesslagen till denna. Den nya utformningen av bestämmelsen innebar en skärpning av sekretessen i vissa avseenden och medförde bland annat att uppgifter om avliden inte längre fick lämnas ut, utom då uppgifterna skall användas för forsknings- eller statistikändamål.

Hälsodataregistren är rikstäckande, centrala register som förs av centrala förvaltningsmyndigheter. Uppgifter i hälsodataregister får behandlas för att framställa statistik och för att följa upp, utvärdera och kvalitetssäkra hälso- och sjukvården. Uppgifter får även behandlas för forskning och epidemiologiska undersökningar som den personuppgiftsansvarige utför. Det åligger den personuppgiftsansvarige att se till att uppgifter i ett hälsodataregister används på ett sätt som överensstämmer med registrets ändamål. Hälsodataregister får endast innehålla de uppgifter som behövs för något eller några av de angivna ändamålen; andra uppgifter är inte tillåtna. Det är endast den personuppgiftsansvarige som får ha direktåtkomst till uppgifterna. Sekretess för dessa uppgifter regleras i 9 kap. 4 § sekretesslagen.

De personregister som används för dokumentation av vården av patienter och för sådan administration som rör enskilda patienter och som syftar till att bereda vård i enskilda fall utgör vårdregister. Det är den individinriktade verksamheten inom vården som omfattas av regleringen. Det gäller såväl sjukdomsförebyggande åtgärder, t.ex. allmänna och riktade hälsokontroller, som egentlig sjukvård, t.ex. undersökning och behandling vid ohälsa samt omvårdnad. Endast de som för angivna ändamål behöver tillgång till uppgifterna har direktåtkomst till dem. För att man skall få ta del av uppgifterna krävs att de är nödvändiga för att man skall kunna utföra sitt arbete. Åtkomsten får avse endast de uppgifter som behövs för arbetets utförande.

På 1970-talet började man föra kvalitetsregister inom hälso- och sjukvården. Framför allt under senare år har flera nya register skapats och i dag finns det ett 50-tal. Flera av registren har numera rikstäckning efter att tidigare ha varit lokala eller regionala. Kvalitetsregistren inrättades för att följa upp effekten av insatt behandling och förändring över tid av behandlingsresultat och är som sådana mycket värdefulla. Bland annat avsätts sedan flera år medel för utveckling och drift av dessa register för kvalitetsutveckling inom hälso- och sjukvården i de s.k. Dagmaröverenskommelserna mellan staten och sjukvårdshuvudmännen.

De nationella kvalitetsregistren utgör en särskild grupp register som alla har skapats med ambitionen att de skall kunna utvecklas och användas som kvalitetsuppföljningsinstrument på lokal, regional och nationell nivå. Det övergripande syftet med registren är att de skall bidra till att förbättra kunskaper om nyttan av och riskerna med olika typer av medicinska åtgärder och ingrepp. De innehåller unika data för arbetet med kvalitetssäkring på alla nivåer inom hälso- och sjukvården. Registren är även en viktig del i statistikframställning och forskning inom hälso- och sjukvården. När kvalitetsregistren används i vardagsvården bidrar de till en förbättrad kvalitet inom den svenska hälso- och sjukvården. Vanligen har initiativet till att skapa ett register kommit från en eller flera läkare inom aktuell specialitet. Verksamheten med registren bygger på ett frivilligt deltagande från ett stort antal olika enheter, inom hälso- och sjukvården. Uppgiftslämnande skall grundas på att de enskilda patienterna lämnar sitt samtycke till att deras medicinska data används i registren och att de deltagande vårdgivarna finner registret meningsfullt. Registren administreras vid någon klinik eller institution inom ett sjukhus. Oftast är landstinget personuppgiftsansvarig myndighet.

Registren har olika inriktning. Många har tillkommit i syfte att beskriva eventuella skillnader i användningen av olika behandlingsmetoder, i fråga om såväl geografisk spridning som de symptom på vilka metoderna används. Register som inrättats under de senaste åren har ofta varit inriktade på att belysa skillnader i kvalitet, vårdutnyttjande eller medicinsk praxis. En följd av att registren har tillkommit med olika syften är att innehållet i dem varierar, men oftast innehåller de följande uppgifter.

  • Patientdata: personnummer, ålder, kön, diagnos, symptom, indikationer för åtgärder, riskfaktorer, m.m.
  • Åtgärder: operationer, typ av implantat.
  • Effektdata: uppgifter som på något sätt mäter resultatet av insatsen, t.ex. i form av ökad livslängd, funktionsförmåga, och uppföljning gällande bl.a. vidare vårdbehov, dödlighet, och dödsorsak.
  • Variabler som beskriver komplikationer.
  • Komplementär vård; vård vid andra enheter.

För de kvalitetsregister som påbörjades före den 24 oktober 1998 tillämpades t.o.m. den 30 september 2001 tillstånd som meddelades med stöd av datalagen (1973:289). Att registreringen var frivillig förutsatte att den enskilde hade lämnat sitt samtycke för att personuppgifter skulle få registreras. Den 1 oktober 2001 blev PUL tillämplig på samtliga nationella kvalitetsregister.

Datainspektionen har undersökt hanteringen av tio av de nationella kvalitetsregistren för att kontrollera hur dataskyddsreglerna i datalagen (1973:289) och PUL efterlevs. Resultatet har redovisats i Nationella kvalitetsregister, Datainspektionens Rapport 2002:1. Två centrala frågor var om informationsskyldigheten enligt datalagen och PUL uppfylls och om samtycke har inhämtats från de registrerade på ett korrekt sätt. Inspektionerna har i flera fall konstaterat att informationsskyldigheten inte uppfylls. Tillstånd meddelade enligt datalagen som ställer krav på samtycke från den som skall registreras följdes endast i begränsad omfattning. Datainspektionens utredning har visat att det råder osäkerhet hos dem som behandlar känsliga personuppgifter om huruvida det är nödvändigt att inhämta patienternas samtycke. Det råder också osäkerhet om vem som är registeransvarig eller personuppgiftsansvarig. Detta kan medföra olägenheter för de registrerade, som inte alltid vet vem de skall vända sig till om uppgifterna om dem i registren är felaktiga.

Med hänsyn till att det förekommer en omfattande behandling av mycket integritetskänsliga personuppgifter i kvalitetsregistren finns det enligt Datainspektionens uppfattning starka skäl att låta de nationella kvalitetsregistren omfattas av en särskild registerlagstiftning.

De sex regionala cancerregistren som förs vid olika regionala onkologiska center samlar in uppgifter inom sin region. De svarar för framtagandet av regional cancerstatistik och gör underlag för vårdprogram inklusive uppföljnings- och kontrollrutiner för dessa program.

Det pågår diskussioner inom hälso- och sjukvården om att inrätta ett vaccinationsregister och ett blodgivarregister. Vaccinationsregistret är tänkt att bli ett rikstäckande register som skall innehålla uppgifter om i princip alla vaccinationer som görs i landet. Vårdgivaren skall bl.a. kunna få uppgifter från registret inför behandling av en patient där det är nödvändigt att veta om patienten har vaccinerats och i så fall när vaccinationen skett. Likaså skall den enskilde kunna få besked om vilka vaccinationer som han eller hon fått och när. Det är både patientsäkerhets- och serviceskäl som motiverar registret. Blodgivarregistret är tänkt att bli ett nationellt register över samtliga blodgivare och innehålla alla uppgifter som finns om deras blod. Registret skulle göra det möjligt för den aktuella blodgivarcentralen att snabbt kunna få relevanta fakta om blodgivarens blod, då han eller hon lämnar blod på en annan central än den hon eller han i vanliga fall lämnar på. Dessa uppgifter finns i dag hos den blodgivarcentral som är blodgivarens vanliga blodgivarcentral. Registret bör också kunna bidra till möjligheten att kontrollera att blodgivare inte lämnar blod för ofta genom att lämna blod på flera ställen.

Donationsregistret hos Socialstyrelsen har funnits sedan år 1996 och är ett centralt register där alla kan registrera sin inställning till organdonation.

Socialstyrelsen för också sedan år 1989 ett register, metadonregistret, över personer som har varit aktuella inom något av de fyra programmen för metadon underhållsbehandling.

Redan i propositionen 1990/91:60 om offentlighet, integritet och ADB uttalade regeringen att vissa register hos Socialstyrelsen, landstingen, kommunerna och Riksförsäkringsverket på sikt borde regleras i särskilda registerlagar. En sådan reglering är ett led i en allmän strävan att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga personuppgifter i vissa myndighetsregister. Konstitutionsutskottet betonade i sitt betänkande (bet. 1990/91:KU11) vikten av att en författningsreglering kommer till stånd i syfte att stärka skyddet för de registrerades integritet i samband med nödvändig registrering av känsliga uppgifter i myndighetsregister. Dessa uttalanden ledde fram till den reglering som numera finns av vårdregister och hälsodataregister.

I de nationella kvalitetsregistren behandlas en stor mängd känsliga personuppgifter. Datainspektionen har i sin inspektionsverksamhet funnit vissa brister i hanteringen av registren. För att säkerställa att registren bedrivs med nödvändig hänsyn till skyddet för den personliga integriteten bör registren författningsregleras. Lagregleringen är också en förutsättning för att bibehålla allmänhetens förtroende för hanteringen av personuppgifter i vården och för att kunna behålla och utveckla de nationella kvalitetsregistren i den utsträckning som behövs. Regeringen anser därför att det behövs en författningsreglering av dessa register.

De nationella kvalitetsregistren behöver ofta få ut uppgifter från Epidemiologiskt Centrum vid Socialstyrelsen, om avlidna. Genom lagändring i 9 kap. 4 § sekretesslagen (SFS 2001:101) upphörde denna möjlighet, vilket har orsakat problem vid förandet av kvalitetsregistren. Ett avgörande från Kammarrätten i Stockholm illustrerar problemet.

Kammarrätten i Stockholm avslog i en dom den 9 juli 2002, mål nr 4060-2002, klagandens begäran att få ut uppgifter från Socialstyrelsen om avlidnas dödsdatum och dödsorsak med hänvisning till att uppgifterna inte ansågs behövas för forsknings- och statistikändamål och därmed omfattades av absolut sekretess. Begäran kom från Thoraxkliniken Karolinska sjukhuset i Stockholm och uppgifterna var avsedda att användas för insamling och analys i Hjärtkirurgiregistret, ett av de s.k. nationella kvalitetsregistren.

Då kvalitetsregister således varken hänförs till forsknings- eller statistikändamål kan registren inte längre få ut dessa uppgifter. Uppgifter om dödsorsak är ofta en avgörande förutsättning för kvalitetsregistrens funktion som kvalitets- och uppföljningsinstrument. Uppgift om dödsdatum går att inhämta från andra källor som inte omfattas av absolut sekretess, som exempelvis folkbokföringsregistret.

De regionala cancerregistren, blodgivarregistren och vaccinationsregistret, men i viss mån också donationsregistret och metadonregistret kommer att innehålla eller innehåller redan en stor mängd känsliga personuppgifter. Det är därför särskilt viktigt att de ingår i den översyn av området som utredaren får i uppdrag att utföra.

Utredaren skall kartlägga de register för uppföljning och kvalitetssäkring som finns i hälso- och sjukvården och i annan medicinsk verksamhet. En fråga är vilka krav som skall ställas för att ett register skall anses vara ett nationellt kvalitetsregister. I uppdraget ingår således att lämna förslag till hur dessa nationella kvalitetsregister skall definieras.

Utredaren skall föreslå hur behandlingen av personuppgifter i nationella kvalitetsregister inom hälso- och sjukvården eller annan medicinsk verksamhet skall författningsregleras.

Utredaren skall särskilt beakta vilka uppgifter som skall få registreras och vad som skall krävas vid behandling av uppgifterna. Utgångspunkten bör, liksom i dag, vara att den enskilde skall lämna ett uttryckligt och informerat samtycke till behandlingen av personuppgifterna, dock skall utredaren analysera konsekvenserna av att registreringen inte alltid blir heltäckande om samtycke krävs. Utredaren skall göra en lämplig avvägning mellan enskildas behov av skydd för den personliga integriteten å ena sidan och nyttan för samhället av de nationella kvalitetsregistren å den andra. Utredaren skall även överväga för vilka ändamål uppgifterna får behandlas, vad som skall gälla för register av olika livslängd, för bevarande av uppgifterna samt vem som skall få åtkomst till uppgifterna. Här avses om uppgifterna bör få överföras dels mellan verksamheter inom hälso- och sjukvården inklusive den enskilda vården, dels mellan hälso- och sjukvården och myndigheter eller andra organisationer.

I utredarens uppdrag ingår att analysera om och i vilken utsträckning uppgifter skall kunna lämnas och registreras för verksamhet som bedrivs av andra än landsting.

Utredaren skall också granska om sekretessregleringen, främst bestämmelsen i 9 kap. 4 § sekretesslagen, utgör hinder för att uppgifter skall kunna lämnas till respektive lämnas ut från kvalitetsregistren. Om så är fallet skall utredaren överväga om, och i så fall i vilken utsträckning, uppgifter bör få lämnas till respektive från registren. I sistnämnda fall skall utredaren lämna förslag som gör sådant uppgiftsutlämnande möjligt. Om utredaren stöter på andra problem med anledning av gällande sekretessbestämmelser, skall utredaren även se över dessa samt lämna förslag till lösning på problemen.

Utredaren skall överväga om övriga register, som de regionala cancerregistren, donationsregistret och metadonregistret behöver författningsregleras. Detta gäller också de register man planerar att inrätta, som vaccinationsregistret och blodgivarregistret. Om utredaren anser det nödvändigt, skall han också lämna förslag till sådan författning.

Utredaren skall beakta de författningar som existerar i dag och som påverkar behandlingen av personuppgifter på området såsom personuppgiftslagen (1998:204) och det underliggande EG-direktivet om personuppgifter, sekretesslagen (1980:100), patientjournallagen (1985:562) och hälso- och sjukvårdslagstiftningen i övrigt. Utredaren skall, i förekommande fall, föreslå följdändringar i andra lagar och förordningar.

Hälso- och sjukvården utförs i dag av även andra än landstingen, bl.a. av privata aktörer. En del av dem är små företag som också kan ha intresse av att utveckla vårdens kvalitet och därför själva vill föra kvalitetsregister. Detta kan också gälla för övriga register som är i fråga. För dessa aktörer är det särskilt viktigt att de administrativa konsekvenserna av en författningsreglering inte går utöver de intressen regleringen avser att skydda. Detta är en omständighet som utredaren skall beakta i en särskild analys av konsekvenserna av reglers effekter för små företags villkor. Utredaren skall, när det gäller förslagens konsekvenser för små företag, samråda med Näringslivets nämnd för regelgranskning (NNR).

Utredaren bör samråda med Datainspektionen.

Uppdraget skall redovisas senast den 30 juni 2004.

(Socialdepartementet)