Dir. 2019:37
Översyn av vissa frågor som rör personuppgiftshantering i socialtjänst- och hälso- och sjukvårdsverksamhet
Kommittédirektiv
Översyn av vissa frågor som rör personuppgiftshantering i socialtjänst- och hälso- och sjukvårdsverksamhet Beslut vid regeringssammanträde den 27 juni 2019
Sammanfattning
En särskild utredare ska utreda och lämna förslag som rör personuppgiftshantering inom och mellan socialtjänst och hälso- och sjukvård.
Utredaren ska bl.a. se över möjligheterna
- att införa direktåtkomst inom och mellan vissa verksamheter i social-
tjänst och hälso- och sjukvård,
- till en utvidgad informationsöverföring för kvalitetsutveckling mellan
bl.a. vårdgivare i hälso- och sjukvård och kommunala nämnder,
- att införa sekretessbrytande bestämmelser för viss personuppgiftshante-
ring i socialtjänst och hälso- och sjukvård, och
- att ge ombud åtkomst till patientjournal. Uppdraget ska slutredovisas senast den 31 maj 2021. Ett delbetänkande som rör samtliga utredningsfrågor utom ombuds åtkomst till patientjournal och uppkomna frågeställningar för fortsatt utredning ska dock lämnas senast den 17 januari 2021.
Bakgrund
Strukturförändringar inom socialtjänsten och hälso- och sjukvården
Socialtjänsten och hälso- och sjukvården har under de senaste decennierna genomgått strukturförändringar av olika slag. Två tydliga sådana är ökningen av andelen olika aktörer som är verksamma inom sektorerna, och den demografiska förändringen med en ökande andel äldre i befolkningen.
Fler olika utförare av verksamheterna än tidigare
Kommuner och landsting har ansvar för verksamheterna inom socialtjänsten respektive hälso- och sjukvården. Med socialtjänst avses i dessa direktiv främst sådan verksamhet som regleras genom bestämmelser i socialtjänstlagen (2001:453), förkortad SoL, lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, samt personlig assistans som utförs med assistansersättning som regleras i 51 kap. socialförsäkringsbalken (2010:110). Socialtjänsten omfattar flera målgrupper, varav endast vissa är aktuella i det här direktivet. Med hälsooch sjukvård menas i dessa direktiv sådan verksamhet som definieras i 2 kap. 1 § hälso- och sjukvårdslagen (2017:30).
Kommuner och landsting ska organisera verksamheten när det gäller att driva socialtjänsten eller hälso- och sjukvården i egen regi eller att använda sig av privata utförare. Utvecklingen inom landstingen de senaste årtiondena visar att andelen verksamhet som utförs privat har ökat från 10 procent 2006 till 16 procent 2016 (räknat till kostnaderna för verksamheten). Det är dock stora regionala skillnader mellan landstingen. Drygt en fjärdedel av verksamheten i Stockholms läns landsting (SLL) köps in från privata vårdgivare jämfört med Jämtlands läns landsting där drygt 3 procent köps in externt. Skillnaden mellan landstingen när det gäller hur stor andel av verksamheten som lagts på privat vårdgivare återspeglar till viss del i vilken utsträckning som landstinget använder valfrihetssystem enligt lagen (2008:962) om valfrihetssystem (LOV). Utöver utvecklingen med fler privata vårdgivare hos landstingen så ökade antalet digitala vårdgivare som erbjuder vårdtjänster via t.ex. videolänk, chatt, text- eller bildmeddelanden.
Även socialtjänsten utförs av fler olika aktörer än enbart kommunala myndigheter, bl.a. med stöd av lagen om valfrihetssystem. Ser man till insatser riktade till t.ex. äldre personer som beviljades hemtjänst under 2018 så tog 17
2 (20)
procent av dem emot insatser från en enskild verksamhet. För personer som är yngre än 65 år var andelen större, nästan 25 procent valde att få sina insatser utförda via enskild verksamhet. Andelen särskilda boenden som drevs via enskild verksamhet var 20 procent. Vad gäller t.ex. daglig verksamhet för personer med funktionsnedsättning så drevs nästan 10 procent som enskild verksamhet.
Utöver strukturförändringarna med ett ökat antal olika utförare får kommunernas möjlighet att välja hur man organiserar sina nämnder betydelse för hur verksamheten ser ut. Fullmäktige beslutar vilka nämnder som ska finnas inom kommunen och att varje nämnd ska ansvara för ett visst område. Eftersom kommunerna, med några få undantag, själva bestämmer vilka nämnder de vill ha inom kommunen ser organisationen olika ut i olika kommuner. Många kommuner har t.ex. fler än en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen genom 1991 års kommunallag innebar att en del kommuner kom att dela upp socialtjänsten på flera sektorer som organisatoriskt hör till olika nämnder. Det finns exempelvis en geografisk uppdelning på kommundelsnämnder, men det kan också finnas en uppdelning på olika kompetensområden eller utifrån ett beställar- och utförarperspektiv.
En förändrad demografisk situation med en ökande andel äldre
En annan förändring som redan har och kommer att få ännu större påverkan framöver inom såväl socialtjänst som hälso- och sjukvård är den demografiska utvecklingen med en ökande andel äldre i befolkningen. Andelen personer som är 80 år och äldre väntas öka kraftigt de närmaste åren. Denna grupp utgör i dag cirka fem procent av befolkningen men beräknas utgöra cirka nio procent av befolkningen år 2050. Äldre personer har ofta kroniska sjukdomar. Myndigheten för vård- och omsorgsanalys konstaterar i rapporten VIP i vården (Rapport 2014:2) att 85 procent av personer över 65 år har minst en kronisk sjukdom.
Äldre personer som beviljats biståndsbedömda insatser med stöd av SoL har ofta omfattande behov av stöd och hjälp med både omsorg och hälso- och sjukvård. Drygt 70 procent av de som är 65 år och äldre och som tar emot vård från den kommunalt finansierade hälso- och sjukvården i ordinärt boende har också beviljats socialtjänstinsatser. En person kan också ta emot socialtjänstinsatser från flera olika utförare, t.ex. hemtjänst och dagverksamhet.
3 (20)
Socialstyrelsen har kartlagt hur den kommunala hälso- och sjukvården är organiserad (Kommunalt finansierad hälso- och sjukvård - förstudie, art nr. 2019-2-17). Kartläggningen visar att patienter inom denna typ av vård ofta är sköra och har komplexa hälsoproblem och svåra funktionsnedsättningar samt möter många olika vårdgivare och verksamheter. Socialstyrelsen konstaterar i kartläggningen att kontinuiteten i vården och omsorgen är mycket viktig för personers upplevelse av trygghet. De många kontakterna mellan olika vårdgivare eller utförare när en person går över från en verksamhet till en annan ställer krav på en väl fungerande samverkan för att inte innebära risker i form av t.ex. missförstånd eller avsaknad av information om nästa behandlingssteg. Frågor som rör samordning för gruppen äldre personer har också lyfts i slutbetänkandet Läs mig! Nationell kvalitetsplan för vård och omsorg för äldre personer (SOU 2017:21) från Utredningen om nationell kvalitetsplan för äldreomsorgen och slutbetänkandet Effektiv vård (SOU 2016:2) från utredningen En nationell samordnare för effektivare resursutnyttjande inom hälso- och sjukvården.
Digitaliseringsutvecklingen under senare år
Sverige har internationellt sett en hög digitaliseringsgrad. EU gör sedan 2014 årliga mätningar av medlemsstaternas utveckling inom digitaliseringsområdet som publiceras i ett s.k. DESI-index (the Digital Economy and Society Index) som bygger på undersökningar inom fem olika områden, bl.a. tillgången till fast bredband, medborgarnas digitala kommunikationer samt eförvaltning och e-hälsa. Sverige har alltid placerat sig bland de tre länder som ligger högst på listan och låg 2018 på andra plats efter Danmark.
Digitaliseringen erbjuder stora möjligheter för socialtjänsten och hälso- och sjukvården. Modern informations- och kommunikationsteknologi kan underlätta för den enskilde att vara delaktig i sin egen vård och omsorg, stödja kontakten mellan den enskilde och verksamheterna samt tillhandahålla effektivare stödsystem för medarbetarna i verksamheterna.
Socialtjänsten har i likhet med andra områden påverkats av digitaliseringen. Socialstyrelsen följer sedan 2013 användningen av välfärdsteknik i kommunerna, och myndigheten konstaterar i kartläggningen för 2019 att allt fler kommuner inför olika typer av välfärdstekniklösningar (E-hälsa och välfärdsteknik i kommunerna 2019, art nr. 2019-5-10). Andelen kommuner som har e-tjänster för att ansöka om bistånd ökar. Inom äldreomsorgen har
4 (20)
27 procent av kommunerna sådana e-tjänster för bistånd och inom funktionshindersområdet var andelen 23 procent. Drygt 90 procent av alla trygghetslarm är digitala och uppkopplade framförallt via de mobila näten. Socialstyrelsen konstaterar vidare att många kommuner brister i att säkerställa ett fullgott skydd för enskildas känsliga personuppgifter.
Hälso- och sjukvårdsområdet har också integrerat digitala stöd i den dagliga verksamheten. De årliga undersökningar som landstingen gör av användningen av it i vården visar bl.a. att all journalföring inom slutenvården, primärvården och psykiatrin är digital sedan början på 2010-talet (eHälsa i landstingen – augusti 2013).
Digitaliseringen påverkar inte bara verksamheterna utan även patienter och brukare. Sveriges Kommuner och Landstings studier i fråga om invånarnas inställning till digital service i välfärden visar att tre fjärdedelar av invånarna är positivt inställda till att kommuner och landsting kommunicerar digitalt och erbjuder digital service (Invånarnas inställning till digital service i välfärden 2018). Myndigheten för vård- och omsorgsanalys har studerat befolkningens inställning till nyttjande och skydd av digitala uppgifter om vård och hälsa för olika ändamål (För säkerhets skull. Befolkningens inställning till nytta och risker med digitala hälsouppgifter, rapport 2017:10). Undersökningen visar på ett högt förtroende för vårdens hantering och skydd av patientinformation. Majoriteten önskade att uppgifterna skulle användas men med ett tillfredsställande integritetsskydd. I undersökningen framkom vidare att man önskade få information om vilka uppgifterna är, hur de används och av vem. De flesta ville att uppgifterna skulle användas för olika ändamål, men många ville tillåta detta först efter det att man fått information om användningen samt erbjudits möjlighet att tacka nej eller efter det att man lämnat sitt medgivande.
Reglering av dataskydds- och sekretessfrågor
Internationell nivå – FN, Europarådet och EU
Förenta nationerna (FN) antog 1948 den allmänna förklaringen om de mänskliga rättigheterna. Förklaringen är inte formellt bindande för medlemsstaterna, men ses som ett uttryck för sedvanerättsliga regler. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. I artikel 29
5 (20)
anges att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter.
Den europeiska konventionen om skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen, innehåller bestämmelser till skydd för den enskildes rätt till respekt för privat- och familjelivet (art. 8.1). Ytterligare en central konvention är Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter, förkortad dataskyddskonventionen. I denna finns bestämmelser om automatisk databehandling av personuppgifter. I anslutning till Europakonventionen antog Europarådets ministerkommitté rekommendationer som gäller behandling av personuppgifter inom vissa områden. Rekommendationerna är inte direkt bindande. En av rekommendationerna, Recommendation No. R (97) 5 of the Committee of Ministers to Member States on the protection of medical data, antogs 1997 i syfte att förtydliga vad som gäller för personuppgifter om hälsa (hälsouppgifter) enligt artikel 6 i dataskyddskonventionen. Rekommendationen är tillämplig på insamling och automatiserad behandling av hälsouppgifter. Rekommendationen uppdaterades i mars 2019.
Av Europeiska unionens stadga om de grundläggande rättigheterna, förkortad EU-stadgan, följer att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer och att var och en har rätt till skydd av de personuppgifter som rör honom eller henne och att dessa uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund samt att var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem (artiklarna 7 och 8 i EU-stadgan.)
Den 27 april 2016 antogs Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), nedan kallad dataskyddsförordningen. Förordningen började tillämpas den 25 maj 2018. Personuppgiftslagen (1998:204) upphävdes och ersattes av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, nedan benämnd dataskyddslagen, i samband med att dataskyddsförordningen
6 (20)
började tillämpas. Flera anpassningar i olika registerförfattningar gjordes för att tydliggöra att dessa innehåller ytterligare kompletterande bestämmelser till dataskyddsförordningen och dataskyddslagen samt för att i övrigt anpassa den nationella lagstiftningen till dataskyddsförordningen.
Reglering som syftar till att säkerställa ett likvärdigt skydd av de grundläggande fri- och rättigheterna, i synnerhet rätten till integritet, när det gäller behandling av personuppgifter inom sektorn för elektronisk kommunikation finns även i Europaparlamentets och rådets direktiv 2002/58/EG av den 12 juli 2002 om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation (direktiv om integritet och elektronisk kommunikation).
Nationell reglering när det gäller hantering av uppgifter om hälsa eller personliga förhållanden
Frågan om myndigheters behandling av personuppgifter på automatiserad väg innefattar avvägningar mellan skyddet för den personliga integriteten och andra viktiga samhällsintressen. I regeringsformen, förkortad RF, anges bl.a. att det allmänna ska värna om den enskildes privatliv och familjeliv (1 kap. 2 § fjärde stycket). Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 §). Denna fri- och rättighet kan under vissa förutsättningar begränsas genom lag (2 kap. 20 och 21 §§).
I offentlighets- och sekretesslagen (2009:400), förkortad OSL, regleras sekretess i det allmännas verksamhet. Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innebär således en begränsning av både rätten att ta del av allmänna handlingar och yttrandefriheten.
Sekretess gäller inom hälso- och sjukvården för uppgift om en enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (25 kap. 1 § OSL). Det finns dock bestämmelser som bryter denna sekretess. Till exempel hindrar inte sekretessen att uppgifter lämnas mellan olika hälso- och sjukvårdsmyndigheter inom en kommun eller ett landsting och mellan allmänna och enskilda vårdgivare enligt det som föreskrivs om
7 (20)
sammanhållen journalföring i patientdatalagen (25 kap. 11 § 3 OSL). Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretessen inte heller att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller inom socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet inom socialtjänstens område (25 kap. 13 § OSL).
När det gäller skyddet för uppgifter som förekommer inom hälso- och sjukvård som bedrivs av enskilda näringsidkare får den som tillhör eller har tillhört sådan verksamhet inte obehörigen röja vad han eller hon i denna verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden (6 kap. 12 § patientsäkerhetslagen [2010:659]). Motsvarande tystnadsplikt gäller i enskilt bedriven verksamhet enligt SoL, för uppgift om enskildas personliga förhållanden (15 kap. 1 §).
Sekretess gäller inom socialtjänsten för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (26 kap. 1 § OSL). Det finns dock bestämmelser som bryter sekretessen. Till exempel hindrar sekretessen inte att uppgift om en enskild eller någon närstående till denne lämnas från en myndighet inom socialtjänsten till en annan sådan myndighet eller till en myndighet inom hälso- och sjukvården, om det behövs för att ge den enskilde nödvändig vård, behandling eller annat stöd och denne inte har fyllt arton år, fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel eller vårdas med stöd av lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Detsamma gäller uppgift om en gravid person eller någon närstående till denne, om uppgiften behöver lämnas för en nödvändig insats till skydd för det väntade barnet (26 kap. 9 § OSL).
Dataskydd i socialtjänst och hälso- och sjukvård
Behandlingen av personuppgifter inom socialtjänsten och hälso- och sjukvården regleras också av särskilda s.k. registerlagar, främst patientdatalagen (2008:355) och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Utöver dessa lagar så innehåller också SoL, särskilda regler om bl.a. behandling av personuppgifter och gallring inom socialtjänstens verk-
8 (20)
samheter. Lagarna kompletteras av förordningar samt i vissa fall myndighetsföreskrifter. Det finns vidare annan lagstiftning där personuppgiftsbehandling för hälsouppgifter regleras, bl.a. lagen (2002:297) om biobanker i hälsooch sjukvården m.m., lagen (2018:1212) om nationell läkemedelslista samt lagen (2017:612) om samverkan vid utskrivning från sluten hälso- och sjukvård.
Tidigare översyner och utredningar
Övergången till en i huvudsak digital hantering av personuppgifter inom såväl socialtjänsten som hälso- och sjukvården har pågått under lång tid. Det har också mot denna bakgrund gjorts översyner av regleringen av personuppgiftsbehandling. Några exempel är Socialdatautredningen vars slutbetänkande Behandling av personuppgifter inom socialtjänsten (SOU 1999:109) låg till grund för lagen om behandling av personuppgifter inom socialtjänsten som trädde i kraft 2001, Patientdatautredningen vars slutbetänkande Patientdatalag (SOU 2006:82) låg till grund för patientdatalagen som trädde i kraft 2008, Socialtjänstdatautredningen vars slutbetänkande Socialtjänsten – Integritet-Effektivitet (SOU 2009:32) lämnades i mars 2009 men inte föranledde några lagstiftningsåtgärder och utredningen Rätt information i vård och omsorg. Den sistnämnda utredningens delbetänkandet Rätt information – Kvalitet och patientsäkerhet för vuxna med nedsatt beslutsförmåga (SOU 2013:45) föranledde ändringar i bl.a. patientdatalagen. Det handlade bl.a. om att en vårdgivare under vissa omständigheter får göra uppgifter om en patient som inte endast tillfälligt saknar förmåga att ta ställning tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring respektive en vårdgivare får ta del av uppgift om vilken vårdgivare som har gjort uppgifter tillgängliga. Utredningens slutbetänkande – Rätt information på rätt plats i rätt tid (SOU 2014:23) – låg till grund för bl.a. ändringar i lagen (1996:1156) om receptregister.
Utöver dessa kommittéer finns exempel på utredningar som har gjorts internt inom Regeringskansliet kring frågor som rör personuppgiftsreglering inom hälso- och sjukvården, t.ex. departementspromemoriorna Nationell läkemedelslista (Ds 2016:44) och Ny lag om koordineringsinsatser inom hälso- och sjukvård (Ds 2018:5).
9 (20)
En översyn av vissa frågor som gäller personuppgiftshantering inom socialtjänst- och hälso- och sjukvårdsverksamhet
Sedan den övergripande regleringen av personuppgiftshanteringen inom socialtjänsten och hälso- och sjukvårdsområdet tillkom så har verksamheterna utvecklats på olika sätt. Det har tillkommit flera nya regleringar som påverkar hur personuppgifter får hanteras inom socialtjänsten och hälsooch sjukvården. Exempel som har nämnts är dataskyddsförordningen och dataskyddslagen. I samband med att dataskyddsförordningen skulle börja tillämpas gjorde regeringen en översyn av regleringen inom Socialdepartementets område, för att anpassa nationell rätt till dataskyddsförordningen. Detta ledde till ändringar i ett stort antal lagar. Propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (prop. 2017/18:171) avgränsades till att hantera de anpassningar i författningar inom Socialdepartementets verksamhetsområde som vid det tillfället bedömdes behövas med anledning av dataskyddsförordningen (prop. 2017/18:171 s. 58). Ett annat exempel är lagen om nationell läkemedelslista som kommer att ersätta lagen om receptregister och lagen (2005:258) om läkemedelsförteckning i juni 2020. Här kan vidare nämnas OSL som trädde i kraft 2009, som reglerar stora delar av sekretessen i socialtjänst och hälso- och sjukvård, och patientsäkerhetslagen, som reglerar sekretess i enskild verksamhet och som trädde i kraft 2010.
Datainspektionen har sedan patientdatalagen infördes genomfört flera långsiktiga tillsynssatsningar. Myndigheten påbörjade 2012 en första bred tillsyn av alla landsting och fem privata vårdgivare. Områden som analyserades var bl.a. möjligheter att spärra uppgifter. Datainspektionen har vidare genomfört kontroller av den kommunala hälso- och sjukvården. Exempelvis genomförde myndigheten sammanlagt 18 tillsynsinsatser som fokuserade på behörighetsstyrning och loggkontroller i kommuner under 2013. Utöver tematiska och långsiktiga tillsynsinsatser görs enskilda insatser initierade efter t.ex. klagomål från enskilda eller via uppgifter i medierna. Många av de tillsynsinsatser som gjorts under åren har tydliggjort gränserna för hur personuppgifter får hanteras i socialtjänsten och hälso- och sjukvården. I myndighetens tillsynsplan för 2019 och 2020 ligger även hälso- och sjukvården med som ett särskilt utpekat område för insatser under 2019.
Det finns vidare exempel på domstolsärenden där personuppgiftshantering inom hälso- och sjukvården har belysts. Landstinget i Uppsala gav tidigare patienter möjlighet att digitalt ”dela” sin journal med någon annan, ett s.k.
10 (20)
ombud. Vid tillsyn av tjänsten förelade Datainspektionen landstinget att upphöra med att ge ombud direktåtkomst med motiveringen att sådan åtkomst enligt lag uttryckligen endast kan ges till den enskilde själv, dvs. inte till dennes ombud. Föreläggandet överklagades och målet avgjordes slutligt i Högsta förvaltningsdomstolen där domstolen konstaterade att Datainspektionen haft fog för att förelägga landstinget att upphöra med att ge ombud direktåtkomst till landstingets personuppgifter om enskilda (HFD 2017 ref. 67).
Riksdagen har vidare i ett tillkännagivande anfört att regeringen bör överväga om det finns anledning att göra en översyn av patientdatalagen och annan relevant lagstiftning. Det är enligt riksdagen angeläget att lagstiftningen på området är anpassad till de krav som dagens teknik ställer, samtidigt som den personliga integriteten beaktas (bet. 2018/19:SoU8 punkt 58, rskr. 2018/19:233).
Regeringen kan konstatera att den lagstiftning som styr personuppgiftshantering inom och mellan socialtjänsten och hälso- och sjukvården fungerat väl i övergången från att hanterat personuppgifter på papper till ett i huvudsak digitalt arbetssätt. Regleringen ger ett avvägt skydd mellan intresset av att behandla personuppgifter och intresset av att skydda enskilda personers integritet. Dock bedöms det finnas behov av en översyn av vissa frågor på området. Bedömningen bygger på det som har anförts inledningsvis om förändringen på senare år i det sätt som socialtjänsten och hälso- och sjukvården organiserar sig på, den ökade användningen av digitala stöd för personuppgiftshantering samt klargöranden kring lagstiftningen utifrån bl.a. vad Datainspektionen uttryckt i sina tillsynsinsatser.
Utredningsuppdraget
Utgångspunkten för samtliga uppdrag är att de rör frågor kring personuppgiftshantering i socialtjänst och hälso- och sjukvård. I dessa fall handlar det i princip uteslutande om uppgifter som rör människors hälsa och livssituation vilket är information av integritetskänslig karaktär. Utredaren ska därför i samband med att förslag lämnas särskilt redogöra för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet samt skydd för den personliga integriteten. Frågorna som ska utredas behöver primärt analyseras utifrån dataskyddsförordningen men även utifrån befintlig reglering, bl.a. ska EU-stadgan, Europakonventionen, 2 kap. 6 § RF och dataskyddslagen beaktas. Eventuella inskränkningar i integritetsskyddet ska följas av analyser samt
11 (20)
proportionerliga och tydliga avvägningar där alternativa metoder och mindre integritetskränkande alternativ ska övervägas eller där förslag på särskilda integritetsskyddande åtgärder lämnas.
För samtliga uppdrag gäller att utredaren ska lämna författningsförslag där så anses nödvändigt.
Möjlighet till direktåtkomst mellan vissa verksamheter
Ett sätt att lämna ut personuppgifter i elektronisk form är genom s.k. direktåtkomst. Begreppet direktåtkomst är inte definierat i lag. Med direktåtkomst menas vanligen att någon har direkt tillgång till någon annans databas eller register och på egen hand kan söka efter information, dock utan att kunna påverka innehållet i databasen eller registret. Begreppet brukar också anses innefatta att den som är ansvarig för databasen eller registret inte har någon kontroll över vilka uppgifter som mottagaren vid ett visst tillfälle tar del av. Vid direktåtkomst anses de uppgifter som omfattas av åtkomsten utlämnade i och med att åtkomsten medges.
I princip anses allt elektroniskt utlämnande som inte görs genom direktåtkomst göras genom utlämnande på medium för automatiserad behandling. Som exempel kan nämnas att personuppgifter lämnas via upptagningar mellan myndigheter, e-post eller USB-minne. Begreppet anses omfatta överlämnande av elektroniskt lagrade uppgifter via alla slags medium för lagring och överföring (Överskottsinformation vid direktåtkomst, SOU 2012:90 s. 198).
Det normala i dag är emellertid att ett informationsutbyte mellan myndigheter sker elektroniskt mellan it-system genom en fråga-svar-funktion. Högsta förvaltningsdomstolen har i den s.k. Lefi-onlinedomen (HFD 2015 ref. 61) ansett att gränsdragningen mellan vad som är direktåtkomst och annat utlämnande på medium för automatiserad behandling beror på om den aktuella uppgiften kan anses förvarad hos den mottagande myndigheten enligt 2 kap. 3 § andra stycket tryckfrihetsförordningen. Avgörande är således om uppgiften är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. Högsta förvaltningsdomstolens dom kan tolkas så att den tekniska utformningen av en myndighets system för utlämnande av uppgifter kan bli avgörande för om utlämnandet ska anses
12 (20)
som direktåtkomst eller som annat utlämnande på medium för automatiserad behandling I domen fann Högsta förvaltningsdomstolen att mottagande myndighets åtkomst till uppgifter hos den utlämnande myndigheten genom ett system som utformats med en fråga-svar-funktionalitet inte utgjorde direktåtkomst.
Direktåtkomst är enligt förarbetena till patientdatalagen (prop. 2007/08:126 s. 244) en form av elektroniskt utlämnande till en extern mottagare. Direktåtkomst sker när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst givet tillfälle tar del av. Inom hälso- och sjukvården finns i dag vissa möjligheter till direktåtkomst. Sammanhållen journalföring innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation (6 kap. patientdatalagen) Detta gäller såväl mellan offentliga vårdgivare som mellan offentliga och enskilda vårdgivare. Vårdgivaren får under vissa förutsättningar ge en patient direktåtkomst till hela eller delar av patientens patientjournal (5 kap. 5 § samma lag). För socialtjänsten saknas en reglering liknande den som finns för sammanhållen journalföring inom hälso- och sjukvården som tillåter att olika utförare har direktåtkomst till varandras dokumentation. Det råder sekretess mellan socialtjänst och hälso- och sjukvård och därför är det heller inte tillåtet med direktåtkomst mellan dessa verksamheter. Frågan om direktåtkomst mellan socialtjänst och hälso- och sjukvård har också belysts av Datainspektionen i ett tillsynsärende från 2011 om TioHundranämnden i Norrtälje där vissa personuppgifter tillgängliggjordes direkt mellan nämnden och en utförare (Datainspektionen, dnr 876– 2010). Datainspektionen ansåg i det ärendet att det krävs författningsändringar både i regelverken som gäller för hälso- och sjukvården och socialtjänsten för att det ska vara tillåtet att tillämpa sammanhållen journalföring mellan hälso- och sjukvården och socialtjänsten.
Som beskrivits tidigare finns i dag flera olika vårdgivare och utförare i socialtjänsten och hälso- och sjukvården. En patient kan under en enskild vårdprocess möta många olika offentliga och privata vårdgivare. Patienter med kroniska eller långvariga sjukdomstillstånd kan också behöva hjälp av flera olika vårdgivare parallellt. Särskilt stort är detta behov för äldre och multisjuka personer. Behovet av att kunna utbyta information mellan vårdgivare eller utförare i syfte att ge en god och säker vård och omsorg, med bibehållen integritet och säkerhet, har således ökat under senare år. Utredaren ska
13 (20)
därför se över möjligheterna att införa direktåtkomst, i likhet med den möjlighet som i dag ges genom sammanhållen journalföring genom en s.k. sammanhållen vård- och omsorgsdokumentation mellan
- verksamheter som avser äldre personer, t.ex. hemtjänst eller dagverk-
samhet för personer med demenssjukdom, och personer med funktionsnedsättning som har insatser enligt SoL, t.ex. boendestöd och insatser enligt LSS, och
- verksamheter som nämns ovan och hälso- och sjukvård. Utgångspunkten för uppdraget ska vara den personuppgiftsbehandling som sker inom den individinriktade vård- och omsorgsverksamheten.
Om så är relevant ska utredaren se över möjligheterna att använda elektroniskt utlämnande som alternativ till direktåtkomst.
Frågeställningen berör såväl landstingens och kommunernas verksamheter inom nämnda områden som enskild vårdgivare inom hälso- och sjukvården eller enskild verksamhet inom socialtjänstens områden. Utredningsuppdraget innefattar även att lämna förslag till nödvändiga ändringar i lagstiftningen om sekretess och tystnadsplikt.
Uppdraget omfattar inte att utreda särskilda frågor som rör personer med nedsatt beslutsförmåga. Behövs särskild reglering om sådana personer på det område som omfattas av utredningsuppdraget bör den föreslagna regleringen utformas i enlighet med befintlig reglering, t.ex. 2 kap. 2 a § patientdatalagen och 25 kap. 13 § OSL.
Som framgår av första punktsatsen ovan görs en avgränsning av frågeställningen till att handla om verksamheter inom socialtjänsten som rör äldre personer och personer med funktionsnedsättningar. Hanteringen av personuppgifter inom socialtjänsten spänner över många verksamhetsområden där känsliga personuppgifter registreras. Detta är särskilt tydligt när det gäller områden där det finns lagstiftning om tvång, t.ex. vård till vuxna personer med missbruksproblem eller verksamheter riktade till barn och unga. Sådana verksamheter är olämpliga att hantera i ett system med direktåtkomst eftersom personen i de fall en utredning leder till en insats med tvång inte själv kan välja om informationen ska exponeras för andra delar av socialtjänsten eller hälso- och sjukvården. De två verksamheter som har valts bedöms vara dels så betydande räknat såväl till antal personer som får insatser
14 (20)
som till antal aktörer som utför dem att ett utökat informationsutbyte är av stort värde för många patienter eller brukare, dels verksamheter utan tvång vilket gör att personen kan göra avvägda val om ifall man vill vara med i en sammanhållen vård- och omsorgsdokumentation eller inte.
Utvecklings- och kvalitetssäkringsarbete inom och mellan hälso- och sjukvård och socialtjänst
I förarbetena till patientdatalagen diskuteras behovet av att kunna följa upp hur verksamheterna utvecklas. Det finns olika faktorer som kan behöva följas, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för respektive insats eller annan uppföljning avseende kostnadseffektivitet, produktivitet m.m. Vidare framgår att uppföljning inte är något självändamål, dess syfte är att generera kunskap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga (prop. 2007/08:126 s. 174). Att kvaliteten i verksamheten systematiskt och fortlöpande ska utvecklas och säkras inom socialtjänsten framgår bl.a. av 3 kap. 3 § SoL och 6 § LSS. Uppföljningen kan ske på olika nivåer i verksamheterna: kliniken, vårdinrättningen, nämnden, landstinget, kommunen, sjukvårdsregionen eller nationen.
Av förarbetena till patientdatalagen framgår även att det förutom regelverket för regionala och nationella kvalitetsregister inte finns några särskilda bestämmelser som syftar till att möjliggöra verksamhetsuppföljning över vårdgivargränser (prop. 2007/08:126 s. 175). Frågan om gemensamma verksamhetsuppföljningar för socialtjänst och hälso- och sjukvård har aktualiserats i ett tillsynsärende som rör Stockholms läns landsting och Österåkers kommun (Datainspektionen, dnr 643–2015). Ärendet handlar om att kommun och landsting har samkört och analyserat vissa personuppgifter inom ramen för ett projekt som rör ersättningsmodeller för vård och omsorg av äldre. I ärendet hänvisar Datainspektionen till förarbetena till patientdatalagen där det står följande: ”När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S2007:92)”. Som framgått under rubriken Tidigare översyner och utredningar ledde inte Socialtjänstdatautredningens betänkande till lagstiftningsåtgärder.
15 (20)
För socialtjänstens del följer det av OSL att sekretess gäller mellan myndigheter inom socialtjänsten. Kommunerna har frihet att organisera sina nämnder som de själva önskar efter lokala behov och förutsättningar. Varje nämnd i en sådan organisation är att anse som en egen myndighet i OSL:s mening och då gäller sekretess som huvudregel i förhållande till andra myndigheter och andra enskilda än brukaren.
Möjligheterna att följa upp verksamheter som har patienter eller brukare som behandlas av flera olika vårdgivare eller utförare varierar därför beroende på hur verksamheterna är organiserade inom en kommun eller ett landsting. I ett landsting med olika vårdgivare saknas i dag möjlighet till en mer sammanhållen verksamhetsuppföljning på samma sätt som i ett landsting med få vårdgivare. Via kvalitetsregistren, som förs för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet och möjliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå, kan viss uppföljning göras av hälso- och sjukvårdens kvalitet. Dessa register har varit värdefulla för vårdens utveckling och regleringen av dem bör kvarstå. Registren är dock oftast avgränsade till enskilda medicinska specialiteter eller sjukdomsgrupper och har byggts upp under lång tid samt avser som minst en hel region. En huvudman i form av ett landsting kan dock ha behov av mer mångfacetterad eller varierad information för kvalitetssäkringsarbete i den egna huvudmannens verksamhet, bedriven i egen regi eller av anlitade utförare, än vad som får finnas i ett kvalitetsregister. Detta behov kan dessutom variera över tid. Det kan t.ex. handla om analyser på en aggregerad eller övergripande nivå för vissa åldersgrupper eller geografiskt avgränsade delar av ett landsting. Beslut om sådan behandling av personuppgifter för kvalitetsutveckling, som bör avse hela eller åtminstone väsentliga delar av huvudmannens hälsooch sjukvårdsverksamhet, bedriven i egen regi eller av anlitade utförare, bör vara förbehållna det högsta politiska organet hos huvudmannen. Personuppgifter som på detta sätt behandlas för kvalitetsutveckling bör inte få spridas utanför landstinget.
Liknande situation gäller kommuner med olika nämndorganisationer. Då många äldre personer eller personer med funktionsnedsättning i dagsläget får insatser från olika utförare finns ett behov av att skapa mer jämlika förutsättningar för kvalitetsutveckling av verksamheterna oberoende av organisationsform hos kommunen. Liksom för landstingen bör beslut om sådan behandling av personuppgifter för kvalitetsutveckling vara förbehållna det
16 (20)
högsta politiska organet och besluten bör avse hela eller åtminstone väsentliga delar av kommunens verksamhet med omsorg om äldre personer och personer med funktionsnedsättning. Personuppgifter bör inte få spridas utanför kommunen.
Utredaren ska därför se över möjligheterna till en utvidgad informationsöverföring för kvalitetsutveckling mellan:
- vårdgivare i hälso- och sjukvård,
- vårdgivare i hälso- och sjukvård och kommunal nämnd eller utförare av
kommunens arbetsuppgifter inom socialtjänst för äldre personer och personer med funktionsnedsättning, och
- kommunala nämnder eller utförare av kommunens arbetsuppgifter inom
socialtjänsten för äldre personer och personer med funktionsnedsättning. Möjligheter till kvalitetsuppföljning för enskilda vårdgivare inom hälso- och sjukvården eller enskild verksamhet i förhållande till andra myndigheter och andra enskilda än brukaren inom socialtjänstens område ska ingå i analysen.
Utredningsuppdraget innefattar även att lämna förslag till nödvändiga författningsändringar, t.ex. kopplat till behandling av personuppgifter, sekretess och tystnadsplikt.
Sekretessbestämmelser för viss personuppgiftshantering i socialtjänst och hälso- och sjukvård
Som framgår under rubriken Nationell reglering när det gäller hantering av uppgifter om hälsa eller personliga förhållanden ovan så skiljer sig dagens reglering av sekretess mellan myndigheter åt mellan hälso- och sjukvård och socialtjänst. Inom hälso- och sjukvården hindrar inte sekretessen enligt OSL att uppgift lämnas till en enskild vårdgivare med begränsningen att det ska göras i enlighet med vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Ordningen med sammanhållen journalföring gör dock att gränserna för den inre sekretessen är större i ett landsting med få enskilda vårdgivare än i ett landsting med fler enskilda vårdgivare. I vissa fall krävs då bl.a. inte ett aktivt samtycke för att utbyta patientinformation. Denna skillnad när det gäller förutsättningarna för att utbyta information i relation till vårdens organisering har lyfts av Riksrevisionen i rapporten Rätt information vid rätt tillfälle inom vård och omsorg (RiR 2011:19, avsnitt 3.1.2). För socialtjänstens del finns ingen motsvarande reglering i OSL.
17 (20)
Skillnaden mellan sekretessregleringarna och behovet av en mer likvärdig hantering av personuppgifter har lyfts i olika sammanhang, bl.a. av utredningen Socialtjänstdatautredningen och utredningen Rätt information i vård och omsorg.
Utredaren ska mot denna bakgrund:
- se över möjligheterna att införa sekretessbrytande bestämmelser för
socialtjänsten i likhet med bestämmelserna om hälso- och sjukvårdssekretess som framgår av 25 kap. 11 § OSL,
- analysera behovet av ändring i sekretesslagstiftningen utifrån utrednings-
frågan om en sammanhållen vård- och omsorgsdokumentation, se rubriken Möjlighet till direktåtkomst mellan vissa verksamheter ovan, samt
- undersöka om det är möjligt eller lämpligt att, med bibehållen integritet
och säkerhet, tillåta ytterligare uppgiftslämnande mellan myndigheter inom hälso- och sjukvård och enskilda vårdgivare och i sådana fall föreslå nödvändiga författningsändringar. Om utredaren lämnar författningsförslag bör dessa avgränsas till att röra den individinriktade vård- och omsorgsverksamheten.
Möjlighet att ge ombud åtkomst till patientjournal
Patientjournalen är i grunden ett arbetsinstrument och utgör ett stöd för vård och behandling av patienterna. Personal som inte har träffat patienten tidigare ska kunna använda patientjournalen för att bedöma vilka åtgärder som kan behöva vidtas för att kunna ge patienten en god och säker vård. Patientjournalen är också en informationskälla för patienten. Denne ska kunna få insyn, kunskap och ökad delaktighet i sin hälsa och vård. En patient har i dag möjlighet till direktåtkomst till sådana uppgifter om sig själv som vårdgivaren får lämna ut (5 kap. 5 § patientdatalagen).
Den nationella tekniska lösningen för att ge patienter åtkomst till sin information tillhandahålls via Inera AB:s tjänst Journalen. Inera är ett bolag, som ägs av SKL Företag, kommuner och landsting och som har till uppgift att koordinera och utveckla gemensamma digitala lösningar för kommuner och landsting. Invånarna når tjänsten via 1177 Vårdguidens e-tjänster och i dagsläget är alla landsting anslutna, men det finns skillnader i hur många verksamheter inom respektive landsting som tillhandahåller tjänsten till sina patienter. Tjänsten har över två miljoner användare. I vissa landsting kunde
18 (20)
patienter tidigare välja att dela sin journal med ett ombud. Patienten angav i sådant fall ombudets personnummer och valde om ombudet skulle ges tillgång till hela journalen eller delar av den. Efter en rättsprocess stängdes tjänsten ner. En mer utförlig beskrivning av ärendet har getts under rubriken En översyn av vissa frågor som gäller personuppgiftshantering inom socialtjänst- och hälso- och sjukvårdsverksamhet ovan.
Från och med 2020 kommer det att finnas möjlighet att ge ett ombud direktåtkomst till uppgifter i den nationella läkemedelslistan (5 kap. 6 § lagen om nationell läkemedelslista).
Många patienter har behov av att kunna utse en person som kan hjälpa dem med det praktiska kring deras vårdprocesser. Behovet kan komma sig av att patienten på grund av hög ålder eller fysiska hinder behöver hjälp med att hålla ordning på sina besök, diagnoser eller läkemedel. Utredaren ska därför se över möjligheterna att:
- ge ett ombud åtkomst till patientjournalen.
Uppkomna frågeställningar för fortsatt utredning
I dessa direktiv hanteras ett antal avgränsade frågor som rör personuppgiftshanteringen inom och mellan socialtjänst och hälso- och sjukvård. Den digitala utvecklingen rör sig dock snabbt framåt och nya lösningar från andra sektorer kan införas i socialtjänsten och hälso- och sjukvården och skapa nya sätt att leverera eller effektivisera tjänster jämfört med i dag. Framsteg görs i dag också på många områden i hälso- och sjukvården, bl.a. inom life sciencesektorn. Utvecklingen inom detta område bygger till stor del på tillgång till data som rätt använd, och med respekt för den personliga integriteten, bidrar till att utveckla framtidens vård och omsorg. Utöver den tekniska utvecklingen finns en parallell utveckling inom det rättsliga området. Domstolsbeslut på EU-nivå eller inom Sverige, tillsynsinsatser m.m. påverkar rättstillämpningen och därmed ramarna för hur personuppgifter får hanteras. Denna växelverkan mellan den tekniska utvecklingen och rättstillämpningen kommer sannolikt att fortsätta och det är mot den bakgrunden önskvärt att regeringen uppmärksammas på eventuella andra frågeställningar som har uppkommit under uppdragets genomförande och som kan behöva utredas vidare. Detta gäller även där så är lämpligt frågeställningar avseende användning av patientdata inom life science-området. Utredaren ska därför:
19 (20)
- sammanställa och översiktligt beskriva eventuella ytterligare frågeställ-
ningar som utredningen under arbetet med utredningsuppdraget uppmärksammat och som utredaren bedömer kräver vidare analys ur ett dataskydds- eller sekretessperspektiv.
Konsekvensbeskrivningar
Utredaren ska göra nödvändiga kostnadsberäkningar och andra konsekvensbeskrivningar i enlighet med kommittéförordningen (1998:1474). Som framgått under rubriken Utredningsuppdraget ska utredaren i samband med att förslag läggs särskilt redogöra för hur hänsyn tagits till behovet av informationssäkerhet, rättssäkerhet samt skydd för den personliga integriteten. Konsekvensanalysen avseende jämställdhet ska om så är påkallat omfatta konsekvenser för personer som är utsatta för våld eller hot om våld, t.ex. hedersrelaterat våld eller förtryck. Om förslagen påverkar den kommunala självstyrelsen, ska de konsekvenser och de särskilda avvägningar som föranlett förslagen särskilt redovisas (se 14 kap. 3 § RF).
Kontakter och redovisning av uppdraget
Utredaren ska samråda med berörda organisationer. Särskilt relevanta aktörer är företrädare för kommuner, landsting, Sveriges Kommuner och Landsting, privata eller enskilda verksamheter samt patient- och personalorganisationer. Samråd ska ske med berörda myndigheter, t.ex. Datainspektionen, Socialstyrelsen, E-hälsomyndigheten och Myndigheten för samhällsskydd och beredskap. Utredaren ska vidare samråda med andra pågående utredningar som är relevanta, bl.a. Utredningen Sammanhållen kunskapsstyrning (S 2018:12), Utredningen om välfärdsteknik i äldreomsorgen (S 2018:11), Framtidens socialtjänst (S 2017:03) och Samordnad utveckling för god och nära vård (S 2017:01). Uppdraget ska slutredovisas senast den 31 maj 2021. Ett delbetänkande som rör samtliga utredningsfrågor utom ombuds åtkomst till patientjournal och uppkommande frågeställningar för fortsatt utredning ska dock lämnas senast den 17 januari 2021.
(Socialdepartementet)
20 (20)