Ds 2022:4
Ökade möjligheter till användning av välfärdsteknik inom äldreomsorgen
1. Sammanfattning
Denna promemoria innehåller förslag till en ändring i socialtjänstlagen (2001:453) som innebär att socialnämnden får rätt att använda digital teknik när bistånd ges i form av hemtjänst eller boende i särskilt boende. Exempel på digital teknik är trygghetslarm med gps-funktion, läkemedelsrobotar och kamera för tillsyn i bostaden. Den digitala tekniken ska bara få användas utanför den mänskliga kroppen.
Därutöver lämnas förslag till ändringar i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Bland annat föreslås vissa krav på dataskyddsåtgärder vid användning av digital teknik med funktioner som innebär monitorering, sensorering eller positionering. Vidare föreslås informationssäkerhetsstärkande åtgärder som innebär att den personuppgiftsansvarige ska bestämma villkor för tilldelning av behörighet för åtkomst till personuppgifter och kontrollera åtkomst till sådana uppgifter. Det föreslås också att regeringen eller den myndighet som regeringen bestämmer ska ges rätt att meddela närmare föreskrifter om vilken information som ska lämnas till den enskilde inför användningen av digital teknik.
Promemorian är avgränsad till att endast avse socialtjänstens verksamhet avseende hemtjänst och särskilda boendeformer för äldre. Dock gäller de informationsstärkande åtgärderna för hela socialtjänstens verksamhet.
Samtliga författningsändringar föreslås träda i kraft den 1 juli 2023.
2. Författningsförslag
2.1. Förslag till lag om ändring i socialtjänstlagen (2001:453)
Härigenom föreskrivs att det i socialtjänstlagen (2001:453) ska införas en ny paragraf, 4 kap. 2 c §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 kap.
2 c §
Digital teknik får användas när bistånd ges i form av hemtjänst eller boende i en sådan boendeform som avses i 5 kap. 5 § andra och tredje styckena. Den digitala tekniken får bara användas utanför den mänskliga kroppen.
Denna lag träder i kraft den 1 juli 2023.
Författningsförslag
2.2. Förslag till lag om ändring i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
Härigenom föreskrivs i fråga om lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
dels att 11 § ska ha följande lydelse,
dels att det ska införas två nya paragrafer, 9 och 10 §§, och
närmast före 9 och 10 §§ nya rubriker av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
När behandling av personuppgifter sker med viss digital teknik
9 § 1 Om den digitala teknik som används vid insatser enligt 4 kap. 2 c § socialtjänstlagen (2001:453) har funktioner som möjliggör monitorering, sensorering eller positionering av den registrerade, ska den personuppgiftsansvarige säkerställa att
1. endast de personuppgifter som är nödvändiga för att uppnå syftet med användningen av tekniken behandlas, och
2. insamlade personuppgifter inte sparas under längre tid än vad som är nödvändigt för att uppnå det ändamål för vilket uppgifterna samlades in.
1 Tidigare 9 § upphävd genom 2018:440.
Ds 2022:4 Författningsförslag
Tilldelning av behörighet för åtkomst och kontroll av åtkomst
10 § 2 Den som bedriver verksamhet inom socialtjänsten ska
1. bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat,
2. se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras, och
3. göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om enskilda som förs helt eller delvis automatiserat.
Behörigheten enligt första stycket 1 ska begränsas till vad som behövs för att personen ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten.
11 §
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vilka som är personuppgiftsansvariga
och om begränsning av den i 6 §
tillåtna behandlingen av personuppgifter samt om sökbegrepp,
Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
1. vilka som är personupp-
giftsansvariga,
2. begränsning av den i 6 §
tillåtna behandlingen av personuppgifter,
2 Tidigare 10 § upphävd genom 2018:440.
Författningsförslag
direktåtkomst och samkörning av personuppgifter.
3. sökbegrepp,
4. direktåtkomst,
5. samkörning av personupp-
gifter,
6. de krav på skyddsåtgärder som avses i 9 §,
7. villkor för tilldelning av behörighet, dokumentation och kontroll av åtkomst enligt 10 §,
8. säkerhetsåtgärder vid helt eller delvis automatiserad behandling av personuppgifter, och
9. vilken information som ska lämnas till den registrerade inför användningen av digital teknik enligt 4 kap. 2 c § socialtjänstlagen (2001:453) .
Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredje land.
Denna lag träder i kraft den 1 juli 2023.
3. Ärendet
Regeringen beslutade den 16 augusti 2018 att ge en särskild utredare i uppdrag att se över och lämna förslag på åtgärder som kan främja införandet av välfärdsteknik för ökad trygghet, som stärker självständighet och livskvalitet för äldre och som avlastar personal och moderniserar verksamheten. I mars 2020 överlämnades betänkandet Framtidens teknik i omsorgens tjänst (SOU 2020:14) till regeringen. I betänkandet föreslås en reglering som gör det möjligt att ge vård och omsorg till personer med nedsatt beslutsförmåga. Betänkandet innehåller även förslag om upprättande av en individuell plan utan samtycke inom såväl vård som omsorg när en enskild har nedsatt beslutsförmåga. Vidare föreslås en reglering som tydliggör att digital teknik får användas inom socialtjänsten och att den får användas utan samtycke vid nedsatt beslutsförmåga. Slutligen föreslås bestämmelser om informationssäkerhet inom socialtjänsten. Bestämmelserna föreslogs träda i kraft den 1 juli 2021.
Betänkandet har remissbehandlats. Under beredningen av betänkandet i Regeringskansliet har det framkommit att förslagen i vissa delar bör ändras och att analysen av förslagens förenlighet med dataskyddslagstiftningen behöver fördjupas. Inom Socialdepartementet har därför denna promemoria tagits fram. I promemorian lämnas förslag som reglerar användningen av digital teknik inom socialtjänstens äldreomsorg, vissa krav på dataskyddsåtgärder vid socialtjänstens användning av digital teknik samt informationssäkerhetsstärkande åtgärder inom socialtjänsten.
4. Bakgrund
4.1. Socialtjänstens mål
Varje kommun svarar för socialtjänsten inom sitt område och kommunen har det yttersta ansvaret för att personer får det stöd och den hjälp som de behöver, 2 kap. 1 § socialtjänstlagen (2001:453). Socialtjänstens individinriktade verksamheter omfattar ett brett område och information behöver hanteras för många olika ändamål. Exempel på områden inom kommunernas socialtjänst är hemtjänst, stöd och service till personer med psykisk ohälsa eller funktionsnedsättningar, stöd till äldre personer i särskilda boenden och stöd till barn och unga.
I den inledande portalparagrafen 1 kap. 1 § socialtjänstlagen regleras socialtjänstens övergripande mål. Där anges bl.a. att socialtjänstens verksamhet ska bygga på respekt för människors självbestämmanderätt och integritet. Det innebär att beslut ska tas i samförstånd med den enskilde. Även om den enskilde inte har rätt att kräva när och hur en insats ska ges, anses bestämmelsen förutsätta att socialtjänsten så långt det är möjligt ska ta hänsyn till den enskildes önskemål.
Att verksamheten ska bygga på respekt för människors självbestämmanderätt och integritet ställer även krav på hur socialtjänsten ska bedriva sin verksamhet. I 5 kap. 5 § socialtjänstlagen regleras särskilt att den äldre personen ska, så långt det är möjligt, kunna välja när och hur stöd och hjälp i boendet och annan lättåtkomlig service ska ges. Det innebär t.ex. att en person behöver ges möjlighet att komma till tals i alla frågor som rör honom eller henne. Socialtjänsten behöver ta reda på om personen vill ha en insats eller inte och hur den insatsen behöver utformas och genomföras för att bäst tillgodose personens behov och önskemål.
Bakgrund
Det gäller både under handläggningen av ett ärende och när insatsen utförs.
I 5 kap. 4 § socialtjänstlagen finns en bestämmelse om en nationell värdegrund för äldreomsorgen. Enligt bestämmelsen ska socialtjänstens omsorg om äldre inriktas på att äldre personer får leva ett värdigt liv och känna välbefinnande. I Socialstyrelsens allmänna råd (SOSFS 2012:3) om värdegrunden i socialtjänstens omsorg om äldre finns rekommendationer om hur man bör arbeta för att se till att äldre personer kan utöva sitt självbestämmande och inflytande. Rekommendationerna innebär bl.a. att kommunikationen med den äldre personen bör anpassas till personens förutsättningar och att personalen har ett förhållningssätt som inbjuder den äldre personen att föra fram sina åsikter och önskemål.
4.2. Rätten till bistånd
Av 4 kap. 1 § socialtjänstlagen följer att den som inte själv kan tillgodose sina behov eller få dem tillgodosedda på annat sätt har rätt till bistånd av socialnämnden för sin livsföring i övrigt. Av bestämmelsen följer vidare att den enskilde genom biståndet ska tillförsäkras en skälig levnadsnivå och att biståndet ska utformas så att det stärker den enskildes möjligheter att leva ett självständigt liv. Enligt 4 kap. 2 § socialtjänstlagen får socialnämnden också ge bistånd utöver vad som följer av 4 kap. 1 § om det finns skäl för det. Vidare gäller enligt 4 kap. 2 a § socialtjänstlagen att socialnämnden utan föregående behovsprövning får erbjuda hemtjänst till äldre personer. Ett sådant erbjudande förutsätter dock bl.a. att den äldre personen har informerats om i vilken utsträckning och på vilket sätt han eller hon kan påverka utförandet av insatserna och om rätten att alltid kunna ansöka om bistånd enligt 4 kap. 1 § socialtjänstlagen.
Bistånd för sin livsföring i övrigt innefattar olika slags insatser för stöd, omsorg och vård. När det gäller insatser till äldre personer kan det handla om hemtjänst i ordinärt boende, plats i särskilt boende, trygghetslarm, matdistribution, ledsagning, dagverksamhet, kontaktperson eller boendestöd.
Av 5 kap. 5 § andra stycket socialtjänstlagen framgår att kommunen ska inrätta särskilda boenden för service och omvårdnad för äldre människor som behöver särskilt stöd. Kommunen kan
Bakgrund
anordna de boendeformer som är mest ändamålsenliga med utgångspunkt i de lokala förhållandena. Begreppet särskilda boenden är inte preciserat i lag utan är sedan den s.k. Ädelreformen ett samlingsbegrepp för de former av boenden som tidigare benämndes servicehus/servicelägenhet, ålderdomshem, gruppboenden för dementa och sjukhem. Platser för korttidsvård eller korttidsboenden är också en del i begreppet särskilda boenden. Dessa särskilda boendeformer ska vara för dem som inte längre kan bo kvar i sitt ordinarie boende på grund av att behovet av tillsyn eller kravet på trygghet och säkerhet inte längre kan tillgodoses i det egna hemmet.
Det är även möjligt för kommuner att inrätta s.k. biståndsbedömda trygghetsboenden enligt 5 kap. 5 § tredje stycket socialtjänstlagen. Boendeformen är avsedd för äldre personer som inte har så omfattande omsorgsbehov att heldygnsvård är nödvändig för att tillgodose den enskildes behov, men som däremot bedöms behöva ökad trygghet och gemenskap med andra, när det inte längre upplevs tryggt att bo kvar i det ordinarie boendet. Bistånd i form av plats i särskilt boende kan enbart ges efter en prövning enligt 4 kap. 1 eller 2 § socialtjänstlagen.
4.3. Omfattningen av insatser till äldre enligt socialtjänstlagen
År 2020 hade 400 000 personer 65 år eller äldre minst ett pågående beslut om insats med stöd av 4 kap. 1 § socialtjänstlagen. De vanligaste insatserna var trygghetslarm, hemtjänst, särskilt boende, matdistribution och ledsagning (Socialstyrelsen [2019] Statistik om socialtjänstinsatser till äldre 2020). Samma år bodde 108 000 personer i särskilda boenden. Socialtjänstinsatserna som redovisas i den officiella statistiken är hemtjänst i ordinarie boende, särskilt boende, trygghetslarm, matdistribution, ledsagning, dagverksamhet, korttidsplats, kontaktperson eller familj, boendestöd, avlösning av anhörig, och annat bistånd (figur 1).
Bakgrund
4.4. Begreppet skälig levnadsnivå som grund för rätten till bistånd
I förarbetena till 2001 års socialtjänstlag, prop. 2000/01:80, tar regeringen ställning till hur begreppet skälig levnadsnivå ska tolkas och tillämpas i förhållande till vilken insats som biståndet avser och insatsens kvalitet. På s. 90 f. anges följande. Skälig levnadsnivå innebär inte bara en nivåbestämning utan ger också uttryck för vilken form av insats, vård och behandling, andra stödformer eller ekonomiskt bistånd, som kan komma i fråga. Att tydligt särskilja nivå från innehåll är omöjligt utan att den skäliga levnadsnivån blir ett uttryck för kvaliteten i insatsen och för vilken ambitionsnivå som
Bakgrund
kan vara rimlig i ett enskilt fall mot bakgrund av rättighetsbestämmelsens syfte.
I propositionen betonas också att det är viktigt att markera att socialtjänstlagens grundläggande syfte är att garantera att medborgarna får sina behov av bistånd tillgodosedda. Där anges att nivåerna på insatserna därför måste vara sådana att detta uppfylls och att begreppet skälig levnadsnivå i detta hänseende blir ett uttryck för att vissa minimikrav på insatsen vad gäller kvaliteten uppnås. Vidare sägs det att vid bedömningen av vilken insats som kan komma i fråga måste en sammanvägning göras av olika omständigheter, såsom den önskade insatsen i jämförelse med andra insatser samt den enskildes önskemål. I propositionen framhålls också att det inte kan finnas en obegränsad frihet för den enskilde att välja sociala tjänster oberoende av kostnad. Det ligger i både kommunens och den enskildes intresse att biståndet ska utformas så att det svarar mot det man vill uppnå. Oftast innebär det att det råder samstämmighet mellan den enskilde och tjänstemannen om lämplig insats. I de fall det inte är möjligt måste tolkningen av begreppet skälig levnadsnivå ske mot bakgrund av rättighetsbestämmelsens grundläggande syfte, dvs. en yttersta garanti för medborgarnas livsföring i olika avseenden. Detta utesluter emellertid inte att kommunen, när likvärdiga insatser finns att tillgå, ges möjlighet att välja det billigaste alternativet.
4.5. Utförande av insatser
Socialtjänstens utförande av insatser till enskilda utgör en dominerande del av verksamheten och hör till en av socialtjänstens viktigaste uppgifter. De insatser som ska tillgodose personliga behov omfattar en mängd olika åtgärder som bl.a. syftar till att ge människor vård och stöd i boendet, möjligheter till sysselsättning och gemenskap eller stöd och hjälp med olika sociala problem. Insatserna ska tillgodose och anpassas efter individuella behov och utifrån lokala förutsättningar. För alla biståndsinsatser gäller att de ska utformas så att de stärker den enskildes möjligheter att leva ett självständigt liv.
Att stärka den enskildes möjligheter till ett självständigt liv är ett centralt uppdrag för socialtjänsten. Insatser ska därför utformas så
Bakgrund
att de stärker den enskildes möjlighet till ett självständigt liv. När det gäller insatser som ska tillgodose personliga behov för livsföringen i övrigt kan det bl.a. handla om att ha kontroll över sin dagliga tillvaro och att ges möjligheter till självständighet och att så långt möjligt klara sig på egen hand.
Av 5 kap. 5 § socialtjänstlagen följer att en äldre person så långt det är möjligt ska kunna välja när och hur stöd och hjälp i boendet och annan lättåtkomlig service ska ges. Bestämmelsen förtydligar att den äldres önskemål ska beaktas. Bestämmelsen tillkom i syfte att stödja, påskynda och förstärka utvecklingen av att biståndsbeslut som rör hemtjänst ska utformas efter en samlad tidsram för de insatser som beslutas, grundade på redovisade behov och en bedömning av skälig levnadsnivå. Ett rambeslut om tid grundat på den enskildes behov kan innebära en ökad frihet att avgöra när de beviljade insatserna ska utföras. Vid bedömningen av vilken insats som kan komma i fråga måste en sammanvägning göras av olika omständigheter såsom den önskade insatsens lämplighet, kostnaderna för den önskade insatsen i jämförelse med andra insatser samt den enskildes önskemål.
4.5.1. Krav på insatser
Enligt 3 kap. 3 § socialtjänstlagen ska insatser inom socialtjänsten vara av god kvalitet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras. I Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2011:9) om ledningssystem för systematiskt kvalitetsarbete finns regler för hur verksamheterna ska arbeta för att säkra verksamhetens kvalitet. Med hjälp av processer och rutiner samt ett förbättringsarbete ska verksamheten uppnå god kvalitet. Det systematiska förbättringsarbetet ska bestå av riskanalys, egenkontroll och hantering av avvikelser. Kravet på god kvalitet i 3 kap. 3 § socialtjänstlagen gäller såväl för privata som offentliga utförare av socialtjänst. En viktig förutsättning för god kvalitet är tillgång till personal med lämplig utbildning och kompetens.
Bakgrund
4.5.2. Förändringar i befolkning och arbetsmarknad
Antalet kvinnor och män som är 80 år och äldre beräknas öka med 340 000 personer fram till 2035, vilket innebär en ökning med 60 procent (SCB – Trender och Prognoser 2020. Befolkning, utbildning, arbetsmarknad – med sikte på år 2035). Personer som är 80 år och äldre har de största behoven av vård- och omsorgsinsatser. Behovet av både hälso- och sjukvård och äldreomsorg kommer därför att öka under den närmaste tioårsperioden. Det innebär ett stort behov av nyrekrytering av i synnerhet omsorgspersonal inom äldreomsorgen och att efterfrågan på personal till äldreomsorgen kommer att vara fortsatt stor.
Sveriges Kommuner och Regioner (SKR) anger i ekonomirapporten Oktober 2021, om kommunernas och regionernas ekonomi, att kompetensförsörjningen är en av välfärdens viktigaste frågor idag och under det kommande decenniet. Rapporten påvisar att den demografiska försörjningskvoten varierar kraftigt mellan kommunerna och regionerna idag och kommer att öka i nästan alla län fram till 2030. För att klara kompetensförsörjningen behövs olika strategier för att attrahera, utveckla och behålla medarbetare med rätt kompetens. Det handlar både om att vara en attraktiv arbetsgivare och om att hitta lösningar för ett hållbart arbetsliv. SKR och regeringen har ingått en överenskommelse som syftar till att ge kommunerna bättre förutsättningar att verksamhetsutveckla äldreomsorgen genom digitalisering (Överenskommelse mellan staten och Sveriges Kommuner och Regioner om äldreomsorg – teknik, kvalitet och effektivitet med den äldre i fokus). I överenskommelsen anger SKR att den demografiska behovsökningen i kommunsektorn kommer att öka med sju procent mellan 2020 och 2030. Ökningen är störst inom äldreomsorgen och i omsorgen om personer med funktionsnedsättning. Inom dessa verksamheter behöver arbetsstyrkan öka med ca 29 procent under perioden, om arbetssätten inte förändras. Därtill uppgår ersättningsrekryteringar för pensionsavgångar i välfärden (kommuner, regioner och privata utförare) till drygt 30 000 per år. Samtidigt ökar antalet i arbetsför ålder inte i tillräckligt stor omfattning för att möta behoven av arbetskraft.
Även inom Välfärdskommissionen diskuterades frågor om kompetensförsörjning. I Välfärdskommissionens slutredovisning
Bakgrund
till regeringen uttalade kommissionen att digitalisering och välfärdsteknik är ett sätt att effektivt nyttja offentliga resurser, och att det bl.a. kan bidra till en hållbar kompetensförsörjning. Rätt utnyttjad kan digitaliseringen exempelvis skapa ett bättre arbetsliv och en bättre arbetsmiljö, menade kommissionen.
4.5.3. Välfärdsteknik
Med begreppet digital teknik avses tekniska verktyg, system och programvaror som finns digitalt. Digital teknik som används inom vård och omsorg kallas ofta för välfärdsteknik.
Användningen av välfärdsteknik vid insatser i form av hemtjänst eller särskilt boende för äldre innebär att tekniken samlar in och registrerar vissa uppgifter om den enskilde. Tekniken bygger ofta på funktioner såsom monitorering (t.ex. tillsyn via kamera), sensorering (t.ex. tillsyn via rörelsedetektor eller larmmattor) eller positionering (t.ex. gps), vilket innebär funktioner som registrerar var den enskilde befinner sig. Uppgifterna tillgängliggörs i bild, ljud eller text för larmpersonal som övervakar tekniken utifrån ett bestämt tidsschema eller när tekniken larmar. Uppgifterna ger en indikation på om den enskilde befinner sig i en nödsituation eller på annat sätt kan behöva fysisk tillsyn av omsorgspersonal. De uppgifter som samlas in kan avse om den enskilde befinner sig i sin säng under natten eller om hon eller han av något skäl inte befinner sig där och kan behöva hjälp. Det kan även vara uppgifter om var den enskilde rent fysiskt befinner sig i sin bostad eller utomhus och om den enskilde är på en plats där hon eller han kan behöva hjälp. Den hjälp som socialtjänsten kan behöva bistå med utifrån dessa uppgifter kan vara av enklare slag som att genom ett telefonsamtal hjälpa den enskilde att komma hem, men också av livsavgörande slag som att fysiskt träffa den enskilde och se till att denne tas till sjukhus på grund av olycka eller sjukdom.
Utredningen om välfärdsteknik i äldreomsorgen (S 2018:11) hade i uppdrag att ge förslag på åtgärder som kan främja införandet av välfärdsteknik för ökad trygghet och som stärker självständighet och livskvalitet för äldre och som avlastar personal och moderniserar verksamheten. Syftet var att förbättra förutsättningarna för
Bakgrund
verksamheterna och personalen inom äldreomsorgen att bättre ta tillvara potentialen i att använda välfärdsteknik.
Välfärdsteknik inom socialtjänsten kan sägas ha två huvudsakliga syften:
- teknik för trygghet och självständighet för enskilda
- teknik till stöd för personalen och omsorgsgivaren.
En stor del av den välfärdsteknik som används av socialtjänsten fyller i olika grad dessa båda syften.
Inom såväl socialtjänsten som utvecklingsarbete och uppföljning används termen välfärdsteknik. Socialstyrelsens definition av begreppet välfärdsteknik är följande: Digital teknik som syftar till att bibehålla eller öka trygghet, aktivitet, delaktighet eller självständighet för en person som har eller löper förhöjd risk att få en funktionsnedsättning. Enligt definitionen är målet med användningen av välfärdsteknik högre kvalitet och effektivitet i vård och omsorg på samhällsnivå.
En term som ligger nära välfärdsteknik är hjälpmedel för det dagliga livet. Socialstyrelsens definition lyder: ”Individuellt utprovad produkt som syftar till att bibehålla eller öka aktivitet, delaktighet eller självständighet genom att kompensera en funktionsnedsättning”.
Gränsen mellan välfärdsteknik och hjälpmedel för det dagliga livet är inte skarp, och därför publicerade Socialstyrelsen år 2019 ett meddelandeblad om regler kring välfärdsteknik utifrån olika lagrum (Välfärdsteknik inom socialtjänsten och hälso- och sjukvården, Nr 3/2019). Vissa produkter kan ges till den enskilde både som välfärdsteknik efter ett biståndsbeslut enligt socialtjänstlagen eller som förskrivet hjälpmedel enligt hälso- och sjukvårdslagen (2017:30).
4.5.4. Regeringens satsningar på välfärdsteknik
För att stimulera och öka användningen av välfärdsteknik har flera satsningar gjorts för att stödja utvecklingen. Under 2010–2014 avsatte regeringen stimulansmedel för att utveckla e-hälsa och välfärdstjänster i kommunerna. Satsningen uppgick till 20 miljoner kronor för år 2010 och 20 miljoner för 2011. År 2012 fördubblades
Bakgrund
stödet till 40 miljoner kronor. Medlen användes till regionala samordnare, till att utveckla tekniska infrastrukturer och till nationella informationsstrukturer och fackspråk inom socialtjänsten.
År 2018 avsatte regeringen ett statsbidrag om 350 miljoner kronor till kommunerna för att investera i välfärdsteknik. Socialstyrelsen fördelade medlen och gjorde en uppföljning av hur kommunerna hade använt pengarna. Uppföljningen redovisades i 2019 års rapport om e-hälsa och välfärdsteknik i kommunerna.
I januari 2020 ingick regeringen en ny överenskommelse med SKR: Överenskommelse om äldreomsorgen – teknik, kvalitet och effektivitet med den äldre i fokus. Den innebär bl.a. att kommunerna fick 168,7 miljoner kronor som stimulansbidrag för att stärka den digitala utvecklingen inom äldreomsorgen. Vidare utgick ett bidrag om 15 miljoner kronor till tio modellkommuner och 16,3 miljoner kronor till SKR för att utveckla ett stöd för digitalisering till kommunerna. Samma summor planeras att betalas ut 2021 och 2022.
Regeringen har årligen sedan 2014 gett Socialstyrelsen i uppdrag att följa utvecklingen av användningen av e-hälsa och välfärdsteknik i kommunerna. Av rapporten E-hälsa och välfärdsteknik i kommunerna 2021 framgår bl.a. följande.
- Användningen av digital nattillsyn ökar och cirka 76 procent av kommunerna har infört detta för äldre som bor i ordinärt boende. Över 3 000 personer har sådan tillsyn. Allt fler kommuner använder också digital tillsyn under dagen.
- Drygt 70 procent av kommunerna har tagit fram styrande dokument i form av digitaliseringsplaner eller liknande för att kunna bedriva en planerad verksamhetsutveckling med stöd av digitalisering.
- 58 procent av kommunerna har ett ledningssystem som omfattar välfärdsteknik och 28 procent har ett som omfattar e-tjänster.
- Användning av säker hantering av identiteter och behörigheter inom socialtjänsten ökar. 35 procent av kommunerna har säkrat samtliga system där personuppgifter behandlas. Andelen kommuner där all personal i handläggningen och i utförarledet har tillgång till stark autentisering har dock ökat markant i förhållande till 2019 och 2020.
Bakgrund
4.5.5. Exempel på digital teknik inom äldreomsorgen
I vissa fall beviljas digital teknik i äldreomsorgen genom ett biståndsbeslut enligt 4 kap. 1 § socialtjänstlagen efter en ansökan om en specifik form av insats, t.ex. trygghetslarm. I andra fall kan tekniken också vara en del i genomförandet av ett biståndsbeslut om t.ex. hemtjänst.
Digital teknik är delvis också kopplad till begreppet hjälpmedel som förskrivs enligt hälso- och sjukvårdslagen eller till sådan teknik som den enskilde själv skaffar. Kommunen kan också efter en individuell bedömning besluta om digital teknik som ett led i bostadsanpassning enligt lagen (2018:222) om bostadsanpassningsbidrag. När det gäller bostadsanpassning kan det t.ex. handla om spisvakt eller automatiska dörröppnare.
Tekniken kan således användas av personen själv, en närstående, personal eller någon annan i personens närhet. Viss teknik syftar främst till att vara ett stöd för personalen, t.ex. digitala lås.
Aktiva och passiva larm
Trygghetslarm är en tjänst som innebär att brukare vid mer akuta händelser i hemmet eller på annan plats kan ta kontakt med en larmcentral för att påkalla tillsyn eller hjälp. Den vanligaste formen är en larmknapp som brukaren har på sig. Trygghetslarmet består då av en larmdosa med högtalartelefon som via telefonen kopplas in i den enskildes bostad och som fungerar tillsammans med larmdosan. Den enskilde larmar genom att trycka på en larmknapp och larm går till en larmcentral. När larmcentralen svarar beskriver den enskilde via högtalartelefonen vad denne behöver ha hjälp med. Det är kommunens larmgrupp och nattpatrull som i första hand hjälper den enskilde när denne larmar. Larmen är s.k. aktiva larm.
Det finns även andra digitala tekniker som kan användas i den enskildes bostad efter behov, som t.ex. passagelarm, fallarm och rökdetektorer. Dessa larm är s.k. passiva larm, eftersom de larmar automatiskt när de aktiveras utan att den enskilde själv behöver aktivera larmet.
Bakgrund
Mobila trygghetslarm (gps)
Mobila trygghetslarm, ibland även kallade gps-larm, är ett annat exempel på digital teknik inom välfärden som underlättar för äldre att leva ett tryggt och mer självständigt liv. Det finns olika typer av mobila trygghetslarm, exempelvis mobiltelefoner, skosulor, dosor att ha i fickan eller runt halsen och klockor. Tekniken bygger på en positioneringstjänst som visar var bäraren av tekniken fysiskt befinner sig. Om användaren av ett mobilt trygghetslarm saknas, kan anhöriga eller omsorgspersonal med hjälp av digital teknik få fram en tillförlitlig position som gör det enkelt att lokalisera användaren. Efter påbörjad lokalisering kan man genom tekniken läsa av användarens position. Det är också möjligt att genom tekniken ringa in det område som användaren vanligen rör sig i. I ett sådant fall sänds ett automatiskt larm om att användaren rör sig utanför det förutbestämda området. Ett mobilt trygghetslarm kan också ha en samtalsfunktion så att det går att prata med användaren och på så sätt hjälpa till på distans.
Trygghets- eller tillsynskamera
Kamera är ytterligare ett exempel på digital teknik som används inom välfärden för att möjliggöra för omsorgsgivaren att på distans utöva tillsyn över en person i dennes bostad. Om tillsynen sker nattetid monteras en kamera upp i sovrummet hemma hos personen. Beroende på den enskildes tillsynsbehov kan ibland fler än en kamera monteras upp i den enskildes bostad, t.ex. i köket, sovrummet eller någon annan plats där den enskilde brukar vistas. I de flesta fall har kameran en fast placering och kan inte panorera eller zooma. Tillsynen görs genom att personalen på larmcentralen eller annan personal aktiverar kameran under ett kort tidsintervall. Tillsynen kan utföras antingen på planerade tider eller vid larm. Skulle den enskilde inte vara synlig vid kameratillsynen kan ansvarig omvårdnadspersonal kontaktas och göra hembesök.
Bakgrund
Digitala lås
Digitala lås är tekniska lösningar som kan ersätta vanliga nycklar. Det är lås som inte öppnas med vanlig nyckel, utan med en kod eller separat nyckelbricka. Vid användning av digitala lås monteras ett nytt låsvred på insidan av dörren till den bostad som ska förses med lås. Från utsidan syns inte att ett digitalt låsvred är installerat. Personalen kan sedan öppna brukarens dörr genom en applikation i mobiltelefonen eller med en digital nyckel. När personalen öppnar och stänger låset registreras vem som kommit, ankomsttid och tid för när personalen lämnar.
Läkemedelsrobotar
Läkemedelsrobotar är elektroniska verktyg och tekniska lösningar som kan ersätta personlig läkemedelsutdelning. Det vanliga är att kommunen fattar ett biståndsbeslut om ”hjälp med läkemedel” enligt socialtjänstlagen och att beslutet genomförs genom användning av en läkemedelsrobot. Läkemedelsroboten ersätter då en insats som annars hade utförts genom att t.ex. en undersköterska kommer hem till den äldre och delar ut läkemedel. Det finns också möjlighet för enskilda som inte i övrigt har behov av hemtjänstinsatser att själva hyra en läkemedelsrobot av apoteket. Läkemedelsrobotar hjälper den enskilde att ta rätt läkemedel, i rätt mängd och vid rätt tidpunkt, vilket kan bidra till ökad hälsa och självständighet. De är också ett effektivt verktyg för vård- och omsorgsgivare. Läkemedelsrobotarna signalerar genom ljus eller ljud när det är dags att ta medicin. Genom ett knapptryck matar roboten ut en påse med läkemedelsdosen. Samtidigt kan roboten skicka ett meddelande till sjuksköterska eller hemtjänstpersonal och meddela om patienten tagit medicinen eller inte.
Genom att läkemedlen är dosförpackade efter den enskildes ordination och att de tas vid rätt tid blir den enskildes läkemedelsanvändning säkrare och risken för läkemedelsframkallad sjuklighet minskar.
Bakgrund
4.6. Den enskildes integritet och dataskydd
Dataskydd är ett begrepp som används för att ange skyddet för den personliga integriteten i de regelverk som ska tillämpas vid behandling av personuppgifter. Dataskyddsbestämmelserna för socialtjänstens verksamhet, däribland hemtjänst och särskilda boenden, återfinns dels i EU-rätten, dels i nationell rätt. Dataskyddsbestämmelserna kompletterar och förtydligar det integritetskrav som socialtjänsten ska beakta i ärendehandläggning och verkställighet av socialtjänstinsatser.
4.6.1. EU:s dataskyddsförordning
De grundläggande reglerna för all personuppgiftsbehandling inom EU finns i Europaparlamentets och rådets förordning (EU) 2016/679 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), fortsättningsvis kallad EU:s dataskyddsförordning. Förordningen är direkt tillämplig i alla medlemsstater, vilket innebär att verksamheter inom socialtjänsten direkt kan tillämpa förordningens bestämmelser. I vissa fall förutsätter, eller tillåter, dock EU:s dataskyddsförordning att nationella bestämmelser införs som kompletterar förordningen.
EU:s dataskyddsförordning tillämpas vid helt eller delvis automatiserad behandling av personuppgifter samt vid manuell behandling av personuppgifter som ingår i eller kommer att ingå i ett register, artikel 2.1. Således är tillämpningsområdet brett.
4.6.2. Nationell rätt
Nationella dataskyddsbestämmelser finns i dels den generella lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förkortad dataskyddslagen, dels annan sektorsförfattning och registerlagstiftning.
Bakgrund
Dataskyddslagen
Dataskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen innehåller bestämmelser som på generell nivå kompletterar EU:s dataskyddsförordning, 1 kap. 1 § dataskyddslagen. De nationella bestämmelser som behövs eller är lämpliga och som är av generell karaktär, i betydelsen att de rör hela samhället eller flertalet myndigheter, finns alltså i dataskyddslagen. Eftersom dataskyddslagen endast utgör ett komplement till EU:s dataskyddsförordning finns det stora flertalet av de regler som ska tillämpas i EU:s dataskyddsförordning, som tillämpas direkt av myndigheter, företag och andra personuppgiftsansvariga. Flera av dataskyddslagens hänvisningar till EU:s dataskyddsförordning är därför av upplysande karaktär. Det gäller främst hänvisningarna i bestämmelserna om rättslig grund, känsliga personuppgifter och skadestånd. Andra hänvisningar till EU:s dataskyddsförordning rör bl.a. vilka myndigheter som är behöriga att pröva olika frågor eller som ska vidta åtgärder enligt EU:s dataskyddsförordning samt vilka förfarandebestämmelser som ska gälla när förordningen saknar bestämmelser eller hänvisar till att nationell rätt ska tillämpas. Dataskyddslagen ska därför läsas tillsammans med EU:s dataskyddsförordning och termer och uttryck i lagen har samma betydelse som i EU:s dataskyddsförordning.
Dataskyddslagen är subsidiär i förhållande till avvikande bestämmelser i annan lag eller i förordning, 1 kap. 6 §. Det gäller bl.a. registerförfattningar. I den del en registerförfattning inte reglerar viss typ av personuppgiftsbehandling, kan således dataskyddslagen innehålla tillämpliga bestämmelser.
Dataskyddslagen innehåller bestämmelser som ger en generell rättslig grund för behandling av personuppgifter som är nödvändig för att fullgöra rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning som följer av bl.a. lag eller annan författning, 2 kap. 1 och 2 §§. Bestämmelserna kan sägas utgöra ett införlivande av direkt tillämpliga förordningsbestämmelser, men regeringen har ansett att det finns anledning att i dataskyddslagen upplysningsvis tydliggöra att en rättslig förpliktelse respektive en uppgift av allmänt intresse eller myndighetsutövning utgör en rättslig grund för behandling av personuppgifter, om förpliktelsen följer av bl.a. lag eller annan författning (prop. 2017/18:105 s. 54, 61 och 63).
Bakgrund
Sektorsförfattning och registerlagstiftning för socialtjänstens personuppgiftsbehandling
För personuppgiftsbehandling inom socialtjänstens verksamhet gäller – utöver EU:s dataskyddsförordning och den generella dataskyddslagen – bestämmelser i socialtjänstlagen och i registerförfattningarna lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUF. Dataskyddslagen kompletterar SoLPUL, men registerlagstiftningen har företräde framför dataskyddslagen, 4 § andra stycket SoLPUL och 1 kap. 6 § dataskyddslagen. Om bestämmelser saknas i SoLPUL kan det således finnas tillämpliga bestämmelser i dataskyddslagen eller i socialtjänstlagen.
4.6.3. Vissa definitioner
Med personuppgift avses varje upplysning som avser en identifierad eller identifierbar fysisk person, en registrerad, enligt artikel 4.1 i EU:s dataskyddsförordning. Som identifikatorer anger förordningen förutom namn, identifikationsnummer, lokaliseringsuppgift eller online-identifikatorer (t.ex. IP-adress) även faktorer som är specifika för personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Bilder på och ljudupptagningar av individer kan vara personuppgifter, även om inga namn nämns. Avgörande är om uppgiften, enskilt eller i kombination med andra uppgifter, kan knytas till en levande person.
Behandling av personuppgifter omfattar enligt artikel 4.2 EU:s dataskyddsförordning en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller inte. Det gäller t.ex. insamling, registrering, strukturering, lagring, bearbetning, läsning, användning, spridning och radering. Så snart personuppgifter på något sätt hanteras – automatiserat eller manuellt, oberoende av teknik – är det alltså fråga om behandling i förordningens mening.
EU:s dataskyddsförordning är tillämplig även på pseudonymiserade uppgifter. Med pseudonymisering avses åtgärder som innebär att personuppgifterna inte längre direkt kan hänföras till en specifik registrerad utan att kompletterande information
Bakgrund
används, artikel 4.5. Även om man har kodat, krypterat eller på annat sätt pseudonymiserat uppgifterna, är de personuppgifter i dataskyddsförordningens mening så länge de kan hänföras till en identifierbar fysisk person med hjälp av kompletterande uppgifter. Krypterade uppgifter omfattas också av definitionen av personuppgifter, om någon har tillgång till en krypteringsnyckel som kan göra uppgifterna läsbara så att det går att identifiera individer.
Uppgifter om hälsa definieras i artikel 4.15 EU:s dataskyddsförordning som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus.
4.6.4. Principer för behandling av personuppgifter
All behandling av personuppgifter ska enligt artikel 5 i EU:s dataskyddsförordning ske utifrån följande sex grundläggande principer:
1. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade (laglighet, korrekthet och öppenhet).
2. Uppgifterna ska som huvudregel samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning).
3. Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (uppgiftsminimering).
4. Uppgifterna ska vara korrekta och om nödvändigt uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att personuppgifter som är felaktiga i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål (korrekthet).
5. Uppgifterna får som huvudregel inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för det ändamål för vilket personuppgifterna behandlas (lagringsminimering).
Bakgrund
6. Uppgifterna ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).
Det är alltid den personuppgiftsansvarige, dvs. den som bestämmer ändamålen och medlen med behandlingen i fråga, som ansvarar för och ska kunna visa att nämnda principer efterlevs (ansvarsskyldighet), artikel 5.2.
Laglighet, korrekthet och öppenhet
Den grundläggande principen om lagligheten är en hänvisning till de rättsliga grunderna i artikel 6.1 i EU:s dataskyddsförordning. Principen om korrekthet innebär att behandlingen ska vara rättvis, skälig, rimlig och proportionell i förhållande till den registrerade. Den bedömning som ska göras är om en i sig laglig behandling kan vara oskälig i förhållande till den registrerade. Principen om korrekthet innebär således att en intresseavvägning behöver göras avseende behandlingen (prop. 2017/18:105 s. 47).
Öppenhetsprincipen innebär att uppgifter behandlas på ett transparent sätt i förhållande till den registrerade. Principen preciseras ytterligare i artiklarna 12–15. Sammantaget innebär öppenhetsprincipen att det bör vara klart och tydligt för den registrerade hur dennes personuppgifter behandlas eller kommer att behandlas, att all information och kommunikation i samband med behandling av personuppgifter bör vara lättillgänglig och lättbegriplig samt att språket som används bör vara klart och tydligt, se skäl 39.
Ändamålsbegränsning
Kravet att personuppgifter inte får behandlas för ändamål som är oförenliga med insamlingsändamålen innebär att den personuppgiftsansvarige måste ha tänkt igenom varför personuppgifter behövs innan de samlas in och att ändamålen med behandlingen måste vara bestämda senast vid insamlingen av personuppgifterna.
Bakgrund
Ändamålen ska anges bl.a. i information till den registrerade (artiklarna 13–15) och vid eventuellt förhandssamråd med tillsynsmyndigheten (artikel 36). Den personuppgiftsansvarige bör därför skriftligen dokumentera ändamålet, även om det inte finns något krav på skriftlig dokumentation av ändamålet i EU:s dataskyddsförordning.
Uppgiftsminimering
Principen innebär att den personuppgiftsansvarige ska säkerställa att endast den mängd personuppgifter som är nödvändig för att uppnå ändamålen med behandlingen behandlas. Ovidkommande personuppgifter får således inte behandlas och inte heller en allt för omfattande mängd av personuppgifter får behandlas. Den personuppgiftsansvarige måste överväga vilka personuppgifter som behöver behandlas med hänsyn till ändamålet med behandlingen och om syftet med behandlingen rimligen kan uppnås genom andra medel, exempelvis genom att i stället använda anonymiserade eller aggregerade data.
Korrekthet – riktighet
Den personuppgiftsansvarige har en skyldighet att på eget initiativ vidta rimliga åtgärder för att radera eller rätta felaktiga personuppgifter som behandlas i syfte att säkerställa att personuppgifterna är korrekta. Bedömningen ska göras i förhållande till de ändamål för vilka personuppgifterna behandlas. Principen utvecklas i artiklarna 16–18 i EU:s dataskyddsförordning som beskriver den registrerades rätt till rättelse, radering och begränsning.
Lagringsminimering
Personuppgifter får inte bevaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för behandlingsändamålen. Om uppgifterna inte längre behövs för ändamålen, måste den personuppgiftsansvarige därför antingen radera personuppgifter eller anonymisera dem så att de inte
Bakgrund
längre är att bedöma som personuppgifter enligt artikel 4.1 i EU:s dataskyddsförordning, se skäl 39.
Integritet och konfidentialitet
Den som är personuppgiftsansvarig har ett ansvar att se till att ingen obehörig kommer åt personuppgifterna så att de används på ett otillåtet sätt. Principerna är särskilt viktiga när det handlar om s.k. känsliga personuppgifter, vilket bl.a. är personuppgifter om hälsa.
Ansvarsskyldighet
Med personuppgiftsansvarig avses enligt artikel 4.7 i EU:s dataskyddsförordning en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Enligt 11 § SoLPUF är en kommunal myndighet personuppgiftsansvarig för den behandling av personuppgifter inom socialtjänsten som myndigheten utför. Den som ansvarar för privat verksamhet är enligt 17 § personuppgiftsansvarig för den behandling som görs i dess verksamhet.
Ansvarsskyldigheten är förenad med en administrativ sanktionsavgift, artikel 83 i EU:s dataskyddsförordning. Avgiften kan utgå om den personuppgiftsansvarige inte använder korrekt rättslig grund (artikel 6), behandlar känsliga personuppgifter på felaktigt sätt (artikel 9), ger bristande eller felaktig information till den registrerade (artiklarna 12–22), inte säkerställer integritetsstärkande åtgärder på korrekt sätt (artiklarna 25 och 32), brister i att upprätta en konsekvensbedömning eller i att initiera förhandssamråd (artiklarna 35 och 36) samt om föreläggande från tillsynsmyndigheten inte följs (artikel 58).
I Sverige beslutar Integritetsskyddsmyndigheten (IMY) om förelägganden och sanktionsavgiften, 6 kap. 1 och 2 §§ dataskyddslagen. För svenska myndigheter är sanktionsavgiften i de fall som nämns i föregående stycke bestämd till högst 5 000 000 eller högst 10 000 000 kronor beroende på överträdelse, 6 kap. 2 § dataskyddslagen. För enskilda uppgår sanktionsavgiften till högst två eller högst fyra procent av den totala globala årsomsättningen
Bakgrund
under föregående budgetår, beroende på överträdelse, artikel 85.4–6 i EU:s dataskyddsförordning.
5. Överväganden och förslag
5.1. Socialtjänsten ska ges tydligt lagstöd för användning av digital teknik inom hemtjänsten och i särskilda boenden
5.1.1. Användningen av digital teknik i äldreomsorgen behöver få tydligare lagstöd
Förslag: Det ska i socialtjänstlagen tas in en bestämmelse om att
digital teknik får användas när bistånd ges i form av hemtjänst eller boende i särskilt boende. Den digitala tekniken ska bara få användas utanför den mänskliga kroppen.
Bedömning: Bestämmelsen bör reglera användningen av
digital teknik generellt i stället för att reglera användningen av specifika tekniska produkter.
Skälen för förslaget och bedömningen
Behov av strukturell förändring i äldreomsorgen ger upphov till nya frågor
Som har beskrivits i avsnitt 4.5.2 står äldreomsorgen inför stora utmaningar. Den demografiska utvecklingen och de möjligheter som den tekniska utvecklingen innebär gör att äldreomsorgen de kommande åren står inför behov av, och möjligheter till, strukturella förändringar. Det finns många fördelar med att använda välfärdsteknik vid genomförandet av insatser inom äldreomsorgen. Ökad användning av välfärdsteknik i omsorgen kan bidra till ökad flexibilitet i insatsernas utformning och genomförande med bibehållen eller ökad kvalitet. Insatser kan ske på bestämda tider och minskar risker för brister i tillsynen t.ex. för att personal har blivit försenad. Med hjälp av tekniken kan t.ex. tillsynsinsatsen utföras i
Överväganden och förslag
tid samtidigt som personalen kan avsluta andra omvårdnadsinsatser i lugn och ro utan jäkt och stress för personalen eller den enskilde. De tekniska lösningarna kan också vara ständigt närvarande hos den enskilde för att snabbt larma vid behov. Det gör att den enskilde kan känna sig trygg med att snabbt får hjälp, oavsett när under dygnet behovet av hjälp uppstår. Tekniken ger en ökad möjlighet till självbestämmande samtidigt som trygghet uppnås genom vetskapen att hjälp kommer om behov av hjälp skulle uppstå under t.ex. en promenad. Välfärdsteknik kan även bidra till eller öka tryggheten för kvinnor och män som upplever oro och ensamhet. Tekniken kan också ha en positiv effekt på de äldres hälsa, då de i större utsträckning kan leva självständigt och planera sin tid. Ett exempel kan vara att den äldre själv kan ta sina läkemedel med hjälp av en läkemedelsrobot som programmerats utifrån när läkemedel ska tas och med beaktande av den äldres vanor och rutiner. Sammantaget ökar tekniken den enskildes självbestämmande samtidigt som behovet av trygghet och omsorg säkerställs.
För personalen ger tekniken minskad stress och ökade möjligheter att fokusera på äldre med ett större omsorgsbehov. Användningen av välfärdsteknik innebär också att personalen avlastas från rutinmässiga arbetsuppgifter. På så sätt kan äldreomsorgen effektiviseras. Det medför också en förbättrad arbetsmiljö för personalen att kunna slutföra sina arbetsuppgifter med mindre stress och med minskad oro för att något ska ha hänt när personalen inte är där eller inte kommer att vara där under viss tid.
Som framgår av avsnitt 4.5.4 finns det utmaningar när det gäller kompetensförsörjningen inom äldreomsorgen. Professionell och kunnig personal och resurser behöver därför användas där de bäst behövs, t.ex. för de insatser som inte kan ersättas av tekniska lösningar. Det handlar således om omdisponering av personalens arbetstid, med bibehållen kvalitet i omsorgen.
Som redogjorts för i avsnitt 4.5.2 använder kommunerna digital teknik i socialtjänstens verksamhet i större utsträckning än tidigare, bl.a. olika slags välfärdsteknik. Exempelvis erbjuds äldre personer mobila trygghetslarm, läkemedelsrobotar eller nattillsyn genom kamera.
Den ökade användningen av välfärdsteknik inom socialtjänstens verksamhet har väckt frågor om huruvida kommunerna har rättsligt
Ds 2022:4 Överväganden och förslag
stöd för att använda digital teknik i sin verksamhet, framför allt i förhållande till regelverken om dataskydd och skyddet för den personliga integriteten. Det rör t.ex. vilken information den enskilde ska få inför det att en kamera monteras i bostaden för tillsyn, en så kallad trygghetskamera, och hur länge uppgifter som registreras om den enskilde får sparas. Andra frågor som uppstått är i vilken utsträckning den enskilde har rätt att välja hur en insats ska utföras, när det gäller en insats som tidigare utförts av omsorgspersonal men som nu i stället lika väl kan genomföras med hjälp av digital teknik.
För att möjliggöra för kommuner att på ett rättssäkert sätt utveckla äldreomsorgens användning av välfärdsteknik bör det införas en tydlig författningsreglering av under vilka förutsättningar som viss digital teknik får användas i äldreomsorgen.
Allmänna utgångspunkter för en ny reglering
Förslagen i denna promemoria utgår från förslagen i Framtidens teknik i omsorgens tjänst (SOU 2020:14) och syftar till att tydliggöra att även sådana insatser som tillhandahålls med hjälp av välfärdsteknik i hemtjänst eller i särskilt boende ska tillhandahållas under samma grundförutsättningar som i övrigt gäller för alla insatser enligt socialtjänstlagen. Det innebär bl.a. att teknikanvändningen ska bygga på respekt för människors självbestämmanderätt och integritet, att användningen så långt det är möjligt ska ta hänsyn till den enskildes önskemål och att insatser som genomförs med hjälp av digital teknik ska tillförsäkra den enskilde en skälig levnadsnivå och stärka den enskildes möjligheter att leva ett självständigt liv. Också insatser med hjälp av digital teknik ska vara av god kvalitet. Förslaget omfattar insatser i form av hemtjänst och särskilda boenden för äldre. Socialtjänstens insatser med stöd av lagen (1990:52) med särskilda bestämmelser om vård av unga, lagen (1988:870) om vård av missbrukare i vissa fall och lagen (1993:387) om stöd och service till vissa funktionshindrade omfattas inte av förslaget. Skälet för begränsningen till användning av digital teknik inom hemtjänst och särskilda boendeformer för äldre är att behovet av nya arbetssätt är som störst inom de områdena samt att det inom äldreomsorgen redan idag finns viss kunskap och erfarenhet av användning av teknik i omsorgen. Med hänsyn till den
Överväganden och förslag
demografiska utvecklingen och framtida utmaningar med kompetensförsörjningen inom äldreomsorgen är det dessutom särskilt angeläget att användningen av digital teknik skyndsamt regleras på de områdena.
En central del i SOU 2020:14 var författningsförslag med fokus på reglering av samtycke från personer med nedsatt beslutsförmåga i syfte att underlätta användningen av välfärdsteknik inom äldreomsorgen. Förslagen bereds i Regeringskansliet men behandlas inte inom ramen för denna promemoria. Promemorians förslag syftar således inte till att göra det möjligt för socialnämnden att kunna tillhandahålla insatser med hjälp av välfärdsteknik till personer som har nedsatt beslutsförmåga och därmed inte själva kan ta ställning till en erbjuden insats eller på vilket sätt den tillhandahålls. Promemorians förslag syftar inte heller till att göra det möjligt för socialnämnden att tillhandahålla insatser utan någons samtycke.
Teknikanvändningen ska regleras i lag
Enligt 2 kap. 6 § andra stycket regeringsformen är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Integritetsskyddet enligt 2 kap. 6 § regeringsformen är dock inte absolut utan kan under vissa förutsättningar begränsas genom lag (2 kap. 20 § regeringsformen). Socialtjänstens insatser i form av hemtjänst och särskilda boenden för äldre kan i sig innebära ett betydande intrång i den personliga integriteten, t.ex. när personal från hemtjänsten kommer hem till den enskilde för att hjälpa denne med olika slags omvårdnadsbehov. Det kan omfatta att se till att den enskilde är trygg och säker på natten eller hjälp med påklädnad och personlig hygien. Uppgifter om den enskilde, ofta av integritetskänsligt slag, dokumenteras bl.a. för planering, uppföljning och administration av socialtjänstens verksamhet. Den användning av digital teknik som föreslås regleras i denna promemoria innebär också ett intrång genom att uppgifter om den enskilde samlas in på ett automatiserat sätt. Oavsett hur uppgifterna om den enskilde samlas in innebär förslagen i denna promemoria ingen ändring av socialtjänstlagens
Ds 2022:4 Överväganden och förslag
grundprincip att biståndsinsatser bara ska kunna ges om den enskilde frivilligt samtycker till dem. Det innebär att även om den användning av välfärdsteknik som föreslås i denna promemoria kan utgöra ett intrång i den enskildes personliga integritet så blir, i likhet med vad som sagt ovan, inte grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen tillämpligt, då det inte i något fall är avsett att tekniken ska kunna användas utan den enskildes samtycke.
I propositionen Transportstyrelsens olycksdatabas (prop. 2020/21:124 s.14 f.) betonas emellertid att det i svensk rätt länge har varit en ambition att särskilt integritetskänslig registerföring ska regleras i lag, främst därför att en sådan normgivningsnivå säkerställer att det görs en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för registerföringen, se t.ex. betänkandet Myndighetsdatalag (SOU 2015:39 s. 94). Lagreglering bidrar även till stabilitet och långsiktig förutsebarhet. I tidigare lagstiftningsarbeten finns principiella ställningstaganden om att myndighetsregister med ett stort antal registrerade personer och ett integritetskänsligt innehåll bör vara reglerade i lag (t.ex. prop. 2020/21:124, prop. 1990/91:60 s. 58 och prop. 1997/98:44 s. 41).
Även om förslagen i denna promemoria om användning av digital teknik i sig inte avser någon form av registerföring, så motiverar den personuppgiftsbehandling som sker vid användningen av digital teknik inom äldreomsorgen en grundlig utredning och en ingående avvägning mellan integritetsintresset och de intressen som talar för användningen av tekniken. Av det skälet bör även de författningsförslag som presenteras i denna promemoria regleras i lag. En sådan reglering bör bl.a. fastställa de rättsliga ramarna för personuppgiftsbehandlingen och innehålla bestämmelser som ger ett grundläggande skydd för den enskildes personliga integritet med möjlighet till komplettering på föreskriftsnivå.
En ny bestämmelse bör föras in i socialtjänstlagen
Den nya bestämmelsen i socialtjänstlagen ska klargöra att digital teknik, dvs. tekniska verktyg, system och programvaror som finns digitalt, får användas inom socialtjänsten när bistånd ges i form av hemtjänst eller boende i särskilda boendeformer för äldre. För att ge
Överväganden och förslag
utrymme för framtida innovationer och ändrade användningsområden bör bestämmelsen vara teknikneutral. Några exempel på sådan digital teknik som idag används inom hemtjänsten och i särskilda boendeformerför äldre är trygghetslarm med gps-funktion, läkemedelsrobotar och trygghetskameror. Förslaget innebär att digital teknik får används i samband med att en biståndsinsats ges i form av hemtjänst eller särskilt boende för äldre. Teknik som inte ges som en biståndsinsats utan i stället används i syfte att vara ett arbetsredskap för personalen omfattas därmed inte av förslaget till författningsreglering. Så är exempelvis ofta fallet med s.k. digitala dörrlås. I den mån sådana arbetsredskap behandlar personuppgifter omfattas de emellertid av promemorians förslag till förtydligande av krav på vissa säkerhetsåtgärder, se avsnitt 5.2.4.
I denna promemoria bedöms det vara mest lämpligt att i lag reglera under vilka förutsättningar som digital teknik får används när biståndsinsatser ges till äldre personer, i stället för att reglera användningen av vissa utpekade tekniska produkter. Skälet för det är att den tekniska utvecklingen sker kontinuerligt och nya digitala tekniska lösningar i framtiden kan vara mer lämpade för användning inom äldreomsorgen än befintliga lösningar. Det är därför motiverat att ha en teknikneutral lagreglering av användningen av digital teknik inom äldreomsorgen.
Den föreslagna bestämmelsen i socialtjänstlagen ska reglera användning av digital teknik inom hemtjänsten. Hemtjänst är en del i socialnämndens skyldighet enligt 5 kap. 5 § socialtjänstlagen att ge äldre, som behöver det, stöd och hjälp i hemmet och annan lättåtkomlig service. Hemtjänstinsatserna ska underlätta den dagliga livsföringen och i många fall också göra det möjligt för den enskilde att bo kvar i det egna hemmet. Hemtjänsten kan indelas i uppgifter av servicekaraktär och uppgifter som mer inriktas mot personlig omvårdnad. Med serviceuppgifter kan avses bl.a. praktisk hjälp med hemmets skötsel. Med personlig omvårdnad avses de insatser som därutöver behövs för att tillgodose fysiska, psykiska och sociala behov. Det kan handla om hjälp för att kunna äta och dricka, klä sig och förflytta sig, sköta personlig hygien och i övrigt insatser för att bryta isolering och för att känna trygghet och säkerhet i det egna hemmet (prop. 1996/97:124 s. 88).
Den föreslagna bestämmelsen ska även omfatta användning av digital teknik i särskilda boendeformer, dvs. sådana boendeformer
Ds 2022:4 Överväganden och förslag
som omnämns i 5 kap. 5 § socialtjänstlagen. Enligt 5 kap. 5 § andra stycket socialtjänstlagen ska kommunen inrätta särskilda boendeformer för service och omvårdnad för äldre människor som behöver särskilt stöd. Ett särskilt boende kännetecknas av krav på att bostaden ska vara utformad och utrustad så att den boende kan fortsätta leva ett så självständigt liv som möjligt samt krav på att de tjänster som den enskilde behöver ska kunna ges under alla tider på dygnet. I begreppet särskilt boende enligt andra stycket 5 kap. 5 § socialtjänstlagen omfattas även platser för korttidsvård eller korttidsboende (prop. 2005/06:115 s. 75). Den boendeform som regleras i 5 kap. 5 § tredje stycket socialtjänstlagen är så kallat biståndsbedömt trygghetsboende. Det är en form av särskilt boende för den grupp äldre som inte har så omfattande omsorgsbehov att heldygnsvård är nödvändig för att tillgodose den enskildes behov, men som däremot bedöms behöva få ökad trygghet och gemenskap med andra, när kvarboende i ordinärt boende inte längre upplevs tryggt. Denna form av särskilt boende bör t.ex. kunna erbjuda gemensamma måltider, kulturella aktiviteter och umgänge för att öka tryggheten och tillgodose behovet av gemenskap hos äldre (prop. 2017/18:273 s. 56).
Den digitala teknik som omfattas av förslaget är bara sådan teknik som används utanför kroppen. Det innebär att tekniken ska vara en fristående teknisk enhet utanför kroppen. Exempel på sådan teknik är skosulor eller klockor med gps-funktion. Detta ska skiljas från annan digital teknik som används i den mänskliga kroppen, oftast i medicinska syften som t.ex. pacemaker, cochleaimplantat och vissa blodsockermätare. Skälen för den begränsningen i användningen är att flera aspekter behöver analyseras noggrant innan sådan digital teknik bör få användas för omsorgsbehov inom hemtjänst eller särskilt boende för äldre. Exempelvis måste de etiska aspekterna av att använda en sådan teknik utredas mer noga än vad som är möjligt inom ramen för denna promemoria. Därtill uppkommer frågor om ansvar för den enskildes hälsa efter de fysiska ingrepp som kan behövas vid användning av sådan teknik. Slutligen krävs en noggrann integritets- och proportionalitetsanalys av behovet av användning av sådan digital teknik. Sådana avvägningar görs inte heller inom ramen för denna promemoria.
Eftersom förslaget till ny bestämmelse i socialtjänstlagen ska reglera på vilket sätt vissa biståndsinsatser ska kunna tillhandahållas
Överväganden och förslag
och utföras, bör en ny bestämmelse föras in efter de bestämmelser i socialtjänstlagen som reglerar grundförutsättningarna för den enskildes rätt till bistånd och rätt till fast omsorgskontakt (bestämmelserna om rätt till fast omsorgskontakt träder i kraft den 1 juli 2022 och 1 juli 2023 och behandlas i propositionen En fast omsorgskontakt i hemtjänsten [prop. 2021/22:116]). Den nya paragrafen bör därför föras in som en ny 2 c § i 4 kap. socialtjänstlagen.
Grundprinciperna i socialtjänstlagen gäller
Att socialnämnden med stöd av den föreslagna bestämmelsen i socialtjänstlagen ska ges ett uttryckligt författningsstöd för att få använda digital teknik inom hemtjänsten och i särskilda boenden innebär inte någon skillnad för tillämpningen av de grundprinciper som ska ligga till grund för utförandet av socialtjänstens biståndsinsatser i allmänhet. Det innebär, så som betonats tidigare i detta avsnitt, att vid användningen av digital teknik ska teknikanvändningen bygga på respekt för människors självbestämmanderätt och integritet, att användningen så långt det är möjligt ska ta hänsyn till den enskildes önskemål och att insatser som genomförs med hjälp av digital teknik ska tillförsäkra den enskilde en skälig levnadsnivå och stärka den enskildes möjligheter att leva ett självständigt liv. Även insatser med hjälp av digital teknik ska vara av god kvalitet.
Den enskilde kan välja bort insatser som utförs med digital teknik
Promemorians lagförslag innebär inte någon ändring av socialtjänstlagens grundprincip att biståndsinsatser som ges ska vara frivilliga. Trots det har det uttryckts en generell farhåga för att en enskild individ i vissa fall skulle kunna känna sig tvingad att tacka ja till en insats, t.ex. i form av nattillsyn med kamera i stället för personliga besök av personal, ställt mot en upplevd risk att annars helt och hållet blir utan insats. I det sammanhanget bör därför några centrala regelverk på grundlagsnivå och av folkrättslig art särskilt nämnas.
Beträffande grundlagsskyddet mot frihetsberövanden och tvång från det allmänna anges i 2 kap. 6 § andra stycket regeringsformen
Ds 2022:4 Överväganden och förslag
att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden.
I förarbetena till bestämmelsen i regeringsformen (En reformerad grundlag prop. 2009/10:8) diskuterades innebörden av begreppet samtycke. Det påpekades bl.a. att enligt dåvarande personuppgiftslagen (1998:204) fick personuppgifter som huvudregel behandlas helt eller delvis automatiserat – eller i manuella register – bara om den enskilde genom en frivillig, särskild och otvetydig viljeyttring godtog behandlingen efter att ha informerats om denna (s. 178–179). Vidare uttalades att innebörden av kravet på samtycke bör bedömas på samma sätt som motsvarande krav enligt bestämmelsen om förbud mot åsiktsregistrering i dåvarande 2 kap. 3 § regeringsformen. I förarbetena till den bestämmelsen nämndes Statistiska centralbyråns undersökningar av politiska opinioner i landet som exempel på situationer när registreringen av politisk åskådning karaktäriserades av att de skedde med de registrerades samtycke (SOU 1975:75 s. 135). Vid remissbehandlingen av det förslaget påpekade dåvarande Datainspektionen bl.a. att samtyckeskravet förutsatte att de berörda personerna tillfrågades om sitt samtycke och att de därvid fick all den information som kunde tänkas påverka deras villighet att låta sin politiska åsikt registreras, bl.a. underrättelse om ändamålet med registrering och om hos vem uppgifterna förvaras (prop. 1975/76:209 s. 243). Denna reglering borde enligt förarbetena till regeringsformen tjäna som vägledning vid bedömandet av vad som fordras för att en åtgärd ska falla utanför grundlagsskyddet redan på grund av att den vidtas med den enskildes samtycke (s. 179).
Dåvarande personuppgiftslagen har ersatts av EU:s dataskyddsförordning. Ledning för tolkningen av begreppet samtycke kan därför i detta sammanhang även hämtas ur propositionen Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till EU:s dataskyddsförordning (prop. 2017/18:171). I artikel 4.11 i EU:s dataskyddsförordning definieras samtycke som varje slag av frivillig, specifik, informerad och otvetydig viljeyttring, genom vilken den registrerade, antingen genom ett uttalande eller genom en entydig bekräftande handling, godtar behandling av personuppgifter som rör honom eller henne. Det är en definition som liknar
Överväganden och förslag
dåvarande personuppgiftslagens definition. Samtycket beskrivs närmare skäl 42 i EU:s dataskyddsförordning, där det bl.a. uttalas att samtycke inte bör betraktas som frivilligt om den registrerade inte har någon genuin eller fri valmöjlighet eller inte utan problem kan vägra eller ta tillbaka sitt samtycke. I skäl 43 anges vidare att samtycke inte bör utgöra giltig rättslig grund för behandling av personuppgifter i ett särskilt fall där det råder betydande ojämlikhet mellan den registrerade och den personuppgiftsansvarige, särskilt om den personuppgiftsansvarige är en offentlig myndighet och det därför är osannolikt att samtycket har lämnats frivilligt när det gäller alla förhållanden som denna särskilda situation omfattar. Regeringen noterade i prop. 2017/18:171 att det finns uppfattningar om att kravet på samtycke har skärpts i EU:s dataskyddsförordning, men att skäl 42 och 43 till viss del motsvaras av vad som har angetts i uttalandena från den s.k. Artikel 29-gruppen, bl.a. att ett samtycke som i en vårdsituation getts under hot om att medicinsk vård annars inte kommer att ges, eller att medicinsk vård av lägre kvalitet kommer att ges, inte kan betraktas som frivilligt (s. 86 och 87). Regeringen bedömde dock att även i de fall den personuppgiftsansvarige är en offentlig myndighet så torde det finnas utrymme för samtycke som rättslig grund för personuppgiftsbehandling t.ex. om den registrerade har fri valmöjlighet eller utan problem kan vägra eller ta tillbaka sitt samtycke (s. 87).
Därutöver ingår rätten till respekt för den personliga integriteten som en del i rätten till respekt för privatlivet enligt den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna, förkortad Europakonventionen. Europakonventionen är inkorporerad i svensk rätt genom lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. Av 2 kap. 19 § regeringsformen framgår att lag eller annan föreskrift inte får meddelas i strid med Sveriges åtaganden på grund av konventionen. Av artikel 8 i konventionen följer att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Denna rättighet får inte inskränkas av det allmänna annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till vissa närmare angivna ändamål. Europadomstolen har klargjort att begreppet
Ds 2022:4 Överväganden och förslag
privatliv bl.a. omfattar en persons fysiska och psykiska integritet, rätten till personlig utveckling och självbestämmande.
En liknande rättighet finns i EU:s stadga om de grundläggande rättigheterna, som kodifierar grundläggande fri- och rättigheter som redan är erkända inom EU. I artikel 7 föreskrivs, med artikel 8 i Europakonventionen som förebild, att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sin korrespondens. Av artikel 8 följer att var och en har rätt till skydd för personuppgifter. Rättighetens innebörd är att personuppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Enligt artikel 52 måste varje begränsning i utövandet av de fri- och rättigheter som erkänns i stadgan vara föreskriven i lag och vara förenlig med det väsentliga innehållet i dessa fri- och rättigheter. Begränsningar får, med beaktande av proportionalitetsprincipen, göras endast om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors fri- och rättigheter.
De socialtjänstinsatser som berörs av förslagen i denna promemoria, hemtjänst och särskilt boende, tillhandahålls endast efter en ansökan från den enskilde. Det har i vissa sammanhang argumenterats för att det kan finnas situationer då den enskilde som vill ha hemtjänst eller plats i särskilt boende kan behöva acceptera att sådana insatser tillhandahålls med hjälp av digital teknik, om tekniken i det enskilda fallet kan anses ge den enskilde en skälig levnadsnivå. Det kan i sin tur få den yttersta konsekvensen att en enskild som inte vill ta emot en insats med digital teknik i så fall tackar nej till den, med följden att insatsen uteblir. Ett exempel på olika uppfattningar om huruvida insatser genom digital teknik är tillräckliga för att den enskilde ska uppnå skälig levnadsnivå är en lagakraftvunnen dom i Kammarrätten i Göteborg från den 1 juni 2018 (mål nr 4506–17). Kammarrätten fann att en 80-årig kvinna hade rätt till bistånd i form av ”två tillsyner per natt av personal som kommer till hennes hem”. Kammarrätten noterade att det framgick av utredningen att den enskilde inte var i behov av någon omvårdnadsinsats nattetid, vilket innebar att tillsynsbehovet i och för sig kunde tillgodoses genom nattillsyn med stöd av kamera. Att mot den enskildes önskemål besluta om tillsyn genom kamera i hennes sovrum ansågs inte i överensstämmelse med vare sig
Överväganden och förslag
socialtjänstlagens intentioner att verksamheten ska bygga på respekt för den enskildes självbestämmanderätt och integritet eller 22 § kameraövervakningslagen (2013:460) som innebar att kameraövervakningen bygger på frivillighet. Kammarrätten gjorde därför bedömningen att hon för att uppnå en skälig levnadsnivå hade rätt till nattillsyn som utförs av personal som kommer till hemmet. Kammarrätten var dock inte enig. Rättens ordförande ansåg (i likhet med förvaltningsrätten) att den enskilde hade tillförsäkrats en skälig levnadsnivå genom kommunens beslut om bistånd i form av tillsyn två gånger per natt med trygghetskamera.
Som konstaterats i avsnitt 4.4 framgår av förarbetena till socialtjänstlagen att vid bedömningen av vilken form av biståndsinsats som kan komma i fråga och det sätt på vilket en insats ska verkställas måste en sammanvägning göras av olika omständigheter såsom den önskade insatsens lämplighet som sådan, kostnaderna för den i jämförelse med andra insatser samt den enskildes önskemål. Det kan inte finnas en obegränsad frihet för den enskilde att välja sociala tjänster oberoende av kostnad. I RÅ 2011 ref. 48 (målet gällde insatser enligt lagen [1993:387] om stöd och service till vissa funktionshindrade, LSS) har Högsta förvaltningsdomstolen också uttalat att vid de bedömningar och avvägningar som ska göras för den närmare utformningen en insats måste hänsyn tas till lokala förhållanden som organisatoriska aspekter, tillgång till adekvat personal m.m. En viss flexibilitet måste också finnas.
Med tanke på den ökade användningen av olika former av digital teknik inom ett stort antal olika samhällsområden och det sätt som den digitala tekniken inom äldreomsorgen är tänkt att användas, får som utgångspunkt därför anses att användning av digital teknik vid utförandet av en hemtjänstinsats eller insats i särskilt boende i allmänhet ger en sådan skälig levnadsnivå som socialtjänstlagen kräver. Samtidigt har socialtjänsten alltid det yttersta ansvaret för att enskilda får det stöd och den hjälp som de behöver. Det innebär att socialtjänsten tillsammans med den enskilde i de fall han eller hon uttryckligen inte vill ta emot en insats genom digital teknik, i dialog med den enskilde, behöver hitta andra lösningar inom ramen för socialtjänsten eller andra socialtjänstinsatser som tillgodoser den enskildes behov. Främst i de fall då användningen av digital teknik skulle ställa krav på den enskilde som inte är rimliga utifrån den enskildes förmåga att kunna tillgodogöra sig tekniken, bör det
Ds 2022:4 Överväganden och förslag
kunna anses att användning av digital teknik innebär att insatsen inte uppfyller kravet på att ge en skälig levnadsnivå till den enskilde. Detsamma gäller även om den enskilde på grund av medicinska skäl har behov som inte kan tillgodoses med digital teknik utan i stället gör personlig tillsyn nödvändig. Vidare ska poängteras att den enskilde som motsätter sig att en insats tillhandahålls med hjälp av digital teknik alltid har rätt att ansöka om en viss specifik insats, t.ex. tillsyn i form av besök av personal, och få ett överklagbart beslut efter en sådan ansökan. Den som en gång tackat ja till en insats med digital teknik har dessutom alltid möjlighet att ändra inställning och tacka nej till fortsatt användning av sådan teknik. Mot den bakgrunden bedöms det inte finnas någon risk för att enskilda kan riskera att anse sig tvingade att samtycka till insatser med digital teknik. En enskilds samtycke till en biståndsinsats med digital teknik inom hemtjänst eller särskilda boendeformer för äldre får som utgångspunkt därför förutsättas vara grundat på en fri valmöjlighet och vara en frivillig, särskild och otvetydig viljeyttring som föregåtts den information som den enskilde behöver för att kunna ta ställning på det sätt som krävs enligt 2 kap. 6 § regeringsformen.
5.1.2. Risker för den personliga integriteten
Bedömning: Förslagen i denna promemoria säkerställer att den
enskilde tillförsäkras ett ändamålsenligt och proportionerligt skydd mot obehörigt intrång i den personliga integriteten.
Skälen för bedömningen: Socialtjänstens insatser i form av
hemtjänst och särskilda boenden för äldre kan i sig innebära ett betydande intrång i den personliga integriteten, t.ex. när personal från hemtjänsten kommer hem till den enskilde för att hjälpa denne med olika slags omvårdnadsbehov. Det kan omfatta att se till att den enskilde är trygg och säker på natten eller hjälp med påklädnad och personlig hygien. Den enskilde har inte heller möjlighet att själv bestämma vem som utför omsorgsinsatserna, även om den enskildes önskan i många fall påverkar hur utförare planerar sin verksamhet. Uppgifter om den enskilde, ofta av integritetskänsligt slag, dokumenteras bl.a. för planering, uppföljning och administration av socialtjänstens verksamhet. Den användning av digital teknik som
Överväganden och förslag
föreslås regleras i denna promemoria innebär också ett intrång, genom att teknik i stället för personal samlar in uppgifter om den enskilde. Huruvida en insats med hjälp av digital teknik innebär ett större eller mindre intrång i den personliga integriteten än en personlig insats beror på den enskildes uppfattning om insatsen i varje enskilt fall. Oavsett hur uppgifterna om den enskilde samlas in innebär förslagen i denna promemoria emellertid inte något avsteg från socialtjänstlagens princip om att biståndsinsatser bara ska kunna ges om den enskilde frivilligt samtycker till dem. Eftersom förslaget också är begränsat till teknik som finns utanför kroppen, är det också enkelt att ta bort tekniken om enskilde efter hand motsätter sig den. Det innebär att även om den användning av digital teknik som föreslås i denna promemoria utgör ett intrång i den enskildes personliga integritet så blir inte grundlagsskyddet i 2 kap. 6 § andra stycket regeringsformen tillämpligt, då det inte i något fall är avsett att tekniken ska kunna användas mot den enskildes vilja (jfr avsnitt 5.1.1.).
Vad gäller den personuppgiftsbehandling som ofrånkomligen uppstår vid användning av digital teknik, behövs inget särskilt samtycke från den enskilde. Rättslig grund för sådan personuppgiftsbehandling finns i artikel 6.1 c och e (rättslig förpliktelse och allmänt intresse) i EU:s dataskyddsförordning (se avsnitt 5.2.1). Man skulle ändå, som en integritetsstärkande åtgärd, kunna tänka sig att i lagförslaget föreslå krav på samtycke för personuppgiftsbehandlingen. Det finns emellertid inte någon möjlighet att utföra en insats med hjälp av digital teknik utan att samtidigt registrera personuppgifter. Det skulle inte var möjligt för den enskilde att acceptera en sådan insats utan att samtidigt ge sitt samtycke till den personuppgiftsbehandling som ofrånkomligen sker vid utförandet av insatsen. Samtycke som integritetsstärkande åtgärd skulle därför endast bli en administrativ börda för socialtjänsten. Frågan om samtycke skulle också sakna mening för den enskilde, då det inte finns någon reell möjlighet att avstå från att lämna samtycke till personuppgiftbehandling i de fall den enskilde önskar ta emot insatsen genom digital teknik. Det är dock av största vikt att den enskilde känner förtroende för socialtjänsten och utförare av socialtjänstinsatser. Öppenhet och transparens är avgörande för att ett sådant förtroende ska bibehållas. Det är därför angeläget att den enskilde får information om vilken personuppgiftsbehandling som
Ds 2022:4 Överväganden och förslag
förekommer. Sådan information är också viktig för att den enskilde ska ges möjlighet att fatta ett välgrundat beslut om han eller hon vill ta emot en insats som genomförs med digital teknik. Det föreslås därför ett bemyndigande att meddela föreskrifter kring hur sådan information ska lämnas. Det förslaget beskrivs i avsnitt 5.2.5.
De personuppgifter som ofrånkomligen registreras vid utförande av en insats genom digital teknik kan upplevas som integritetskänsliga. Det är därför viktigt att den enskilde känner sig trygg i hur uppgifterna behandlas, i vilken omfattning uppgifter behandlas och vem som har tillgång till uppgifterna. Regeringen föreslår därför även bestämmelser som syftar till att stärka dataskyddet. Det handlar dels om regler som förtydligar vilka personuppgifter som får samlas in, och i vilken omfattning de får sparas (se avsnitt 5.2.3), dels regler om behörighetsstyrning, uppgifter om åtkomst till uppgifterna samt systematiska kontroller (se avsnitt 5.2.4). De föreslagna bestämmelserna om behörighetsstyrning och uppgifter om åtkomst medför att den enskilde genom att begära ut uppgift om vem som har tagit del av de registrerade uppgifterna, själv kan få insyn i personuppgiftsbehandlingen. Det är också tänkbart att vetskap om att det inte är möjligt att ta del av registrerade uppgifter av nyfikenhet utan risk att bli avslöjad, kan ha en avhållande effekt och därmed stärka skyddet för den enskildes integritet.
Med de åtgärder som syftar till att stärka dataskyddet och förslag på krav att den enskilde informeras om personuppgiftsbehandlingen, ges den enskilde möjlighet att ta ställning till sådana insatser på ett likvärdigt sätt som till insatser som inte utförs med teknik.
5.1.3. Socialstyrelsens föreskrifter om ordination och hantering av läkemedel i hälso- och sjukvården kan behöva ändras
Bedömning: Socialstyrelsens föreskrifter och allmänna råd om
ordination och hantering av läkemedel i hälso- och sjukvården kan behöva anpassas till användningen av läkemedelsrobotar.
Skälen för bedömningen: Som konstaterats i avsnitt 4.5.5 kan en
läkemedelsrobot tillhandahållas äldre som en del av verkställigheten
Överväganden och förslag
av ett biståndsbeslut om hjälp med läkemedel. Vid planeringen av hur en insats om hjälp med läkemedel ska genomföras behöver det utredas om den enskilde har förmågan att dels uppfatta och agera på läkemedelsrobotens signaler, dels själv kunna ta sina läkemedel från den dosförpackning som läkemedelsroboten levererar. Det är också viktigt att den personal som hanterar läkemedelsroboten har rätt kompetens.
Att hantera läkemedel innebär en kedja som börjar med att läkare förskriver läkemedel och avslutas med att den äldre tar sitt läkemedel. Däremellan krävs att dosförpackningar iordningställs, administreras och överlämnas till den äldre. Vissa delar kan delegeras till undersköterska och vissa delar kan utföras av en läkemedelsrobot. Alla dessa moment, inklusive delegation, regleras i Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2017:37) om ordination och hantering av läkemedel i hälso- och sjukvården.
Inom hemtjänsten kan undersköterskor utföra administrering och överlämnande av läkemedel till den äldre på delegation med stöd av 9 kap. 1–3 §§ i ovan nämnda föreskrifter och allmänna råd. Av 9 kap. 4 § samma föreskrifter och allmänna råd följer att den som genom delegering får uppgiften att iordningställa och administrera eller överlämna läkemedel ska ha dokumenterade kunskaper om hantering av läkemedel. Det finns inga krav på att den som fått uppgiften genom delegering också ska ha kunskaper om hur en läkemedelsrobot ska användas och riskerna vid en sådan användning. Sådana bestämmelser finns dock i Socialstyrelsens föreskrifter (HSLF-FS 2021:52) om användning av medicintekniska produkter i hälso- och sjukvården. Av 3 kap. 3 § föreskrifterna följer att den hälso- och sjukvårdspersonal som ska använda och hantera medicintekniska produkter ska ha kunskap bl.a. om produkternas funktion, riskerna vid användningen av produkterna på patienterna och hanteringen av produkterna. Dessa föreskrifter är troligen inte tillämpliga inom hemtjänsten, bl.a. eftersom en undersköterska som arbetar i hemtjänsten inte omfattas av begreppet ”hälso- och sjukvårdspersonal”. Det begreppet definieras i 1 kap. 4 § patientsäkerhetslagen (2010:659). Av bestämmelsen framgår att med hälso- och sjukvårdspersonal avses den som har legitimation för ett yrke inom hälso- och sjukvården, personal som är verksam vid sjukhus och andra vårdinrättningar och som medverkar i hälso- och sjukvård av patienter och den som i annat fall vid hälso- och sjukvård av
Ds 2022:4 Överväganden och förslag
patienter biträder en legitimerad yrkesutövare. Även om en undersköterska utför uppgifterna inom hemtjänsten efter delegering från en sjuksköterska är det oklart huruvida undersköterskan biträder en legitimerad yrkesutövare. Mot denna bakgrund kan Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2017:37) om ordination och hantering av läkemedel i hälso- och sjukvården behöva anpassas till användningen av läkemedelsrobotar inom hemtjänsten.
Överväganden och förslag
5.2. Dataskyddsreglerna ska bli tydligare
5.2.1. Det finns laglig grund för att behandla personuppgifter när en insats utförs med hjälp av digital teknik
Bedömning: Den rättsliga grunden i EU:s dataskyddsförordning
för behandlingen av personuppgifter i samband med användningen av digital teknik vid utförande av hemtjänstinsatser eller i särskilda boendeformer för äldre är att behandlingen är nödvändig för att fullgöra en rättslig förpliktelse enligt artikel 6.1 c och för att utföra en arbetsuppgift av allmänt intresse enligt artikel 6.1 e.
Utförandet av insatserna är ändamålsenligt och nödvändigt. Promemorians förslag till dataskyddsåtgärder och integritetsstärkande åtgärder säkerställer ett effektivt och proportionerligt skydd för den enskildes personliga integritet när digital teknik används i insatser inom socialtjänstens äldreomsorg.
Skälen för bedömningen
Rättslig grund enligt artikel 6.1 i EU:s dataskyddsförordning för personuppgiftsbehandling vid användningen av digital teknik inom äldreomsorgen
När en insats i form av hemtjänst eller särskilt boende för äldre utförs med hjälp av digital teknik innebär det att en personuppgiftsbehandling sker. Behandlingen behöver därför ha stöd i minst en av de rättsliga grunder som räknas upp i artikel 6.1 i EU:s dataskyddsförordning. Det är framför allt de rättsliga grunderna i artikel 6.1 a (samtycke), 6.1 c (rättslig förpliktelse) eller artikel 6.1 e (allmänt intresse) som kan vara aktuella i detta sammanhang.
Inom socialtjänsten kan samtycke utgöra en rättslig grund, se avsnitt 5.1.1. Regeringen har dock i propositionen Ny dataskyddslag (prop. 2017/18:105 s. 56 f.) förklarat att den verksamhet som en statlig eller kommunal myndighet bedriver inom ramen för sin befogenhet alltid är av allmänt intresse och att den rättsliga grunden i artikel 6.1 e vanligen därför bör tillämpas av myndigheter, även utanför området för myndighetsutövning. För Socialdepartements verksamhetsområden, alltså däribland socialtjänstens verksamhet,
Ds 2022:4 Överväganden och förslag
har regeringen uttalat att det framför allt är grunder såsom en rättslig förpliktelse (artikel 6.1 c) eller ett allmänt intresse eller led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e) som utgör rättslig grund för behandling av personuppgifter (prop. 2017/18:171 s. 87). Det gäller även i de fall som socialtjänstinsatser inom äldreomsorgen utförs med hjälp av digital teknik. Det innebär att inget särskilt samtycke behöver inhämtas för den personuppgiftsbehandling som är ofrånkomlig när en insats utförs med hjälp av teknik.
Den rättsliga grunden är fastställd i nationell rätt enligt artikel 6.3 b i EU:s dataskyddsförordning
En rättslig förpliktelse eller uppgift av allmänt intresse ska enligt artikel 6.3 i EU:s dataskyddsförordning vara rättsligt reglerad i unionsrätten eller nationell rätt. Socialtjänstens verksamhet är rättsligt reglerad i framför allt socialtjänstlagen, men även i andra författningar som lagen om stöd och service till vissa funktionshindrade, lagen med särskilda bestämmelser om vård av unga och lagen om vård av missbrukare i vissa fall. Den uppgift som socialtjänsten har enligt socialtjänstlagen är att tillförsäkra enskilda ett socialt skydd och en skälig levnadsnivå.
Även privata utförare, entreprenörer eller kommunala bolag utför en uppgift av allmänt intresse när de på uppdrag av en kommunal eller statlig myndighet utför en förvaltningsuppgift som åligger kommunen eller myndigheten (prop. 2017/18:105 s. 58).
Förslaget till ny bestämmelse i 4 kap. 2 c § socialtjänstlagen i avsnitt 5.1.1 innebär att det tydliggörs att den rättsliga grunden för personuppgiftsbehandling till följd av användningen av digital teknik vid insatser inom ramen för hemtjänst eller särskilda boenden för äldre i enlighet med artikel 6.3 b i EU:s dataskyddsförordning är fastställd i nationell rätt.
Överväganden och förslag
Det är nödvändigt att behandla personuppgifter i samband med att insatser i form av hemtjänst eller särskilda boenden för äldre utförs med hjälp av digital teknik
Enligt artikel 6.3 i EU:s dataskyddsförordning ska behandlingen av personuppgifter vara nödvändig för att fullgöra den rättsliga förpliktelsen eller för att utföra arbetsuppgiften av allmänt intresse eller myndighetsutövningen. Det måste alltså finnas ett samband mellan behandlingen av personuppgifter och utförandet av de insatser inom äldreomsorgen som följer av socialtjänstlagen. Den rättsliga grunden i nationell rätt ska vidare enligt artikel 6.3 utformas så att den uppfyller ett mål av allmänt intresse och är proportionell mot det legitima mål som eftersträvas.
Begreppet nödvändig ska enligt förarbetena till dataskyddslagen inte tolkas så att arbetsuppgiften bara kan fullgöras på just det valda sättet. Den metod som den personuppgiftsansvarige väljer måste – som all offentlig förvaltning – vara ändamålsenlig, effektiv och proportionerlig och inte medföra ett onödigt intrång i enskildas privatliv (prop. 2017/18:105 s. 60).
Vid bedömningen av om behandlingen av personuppgifter vid utförandet av insatser i form av hemtjänst eller särskilda boenden för äldre enligt socialtjänstlagen med hjälp av digital teknik är förenlig med artikel 6.3 måste inledningsvis de tvingande reglerna om ärendehandläggning och genomförande av beslut beaktas. Bestämmelserna finns primärt i socialtjänstlagen, men även sekundärt i förvaltningslagen (2017:900) och offentlighets- och sekretesslagen (2009:400), förkortad OSL. Socialstyrelsen har vidare utfärdat föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation vid handläggning av ärenden och genomförande av insatser enligt socialtjänsten, bl.a. verksamhet enligt socialtjänstlagen. Reglerna innebär att socialtjänsten måste behandla personuppgifter inom ramen för sin verksamhet.
I 11 kap.5 och 6 §§socialtjänstlagen finns det s.k. dokumentationskravet som innebär att socialtjänsten ska dokumentera handläggningen av ärenden som rör enskilda samt genomförandet av beslut om stödinsatser, vård och behandling. Privat verksamhet har samma skyldighet enligt 7 kap. 3 § första stycket socialtjänstlagen.
Med handläggning av ärenden avses alla åtgärder från det att ett ärende anhängiggörs till dess att det avslutas genom beslut.
Ds 2022:4 Överväganden och förslag
Därutöver ska dokumentation även ske av sådant rent faktiskt handlande som utgör genomförande av beslut om stödinsatser, vård och behandling. Alltså ska även insatser i form av hemtjänst och särskilda boenden för äldre dokumenteras, oavsett om insatsen tillhandahålls med hjälp av digital teknik eller på annat sätt.
Dokumentationen ska enligt 11 kap. 6 § socialtjänstlagen utformas med respekt för den enskildes integritet, dvs. den bör begränsas till vad som behövs för en riktig bedömning av ärendet och dess handläggning och onödiga uppgifter om den enskildes personliga förhållanden ska undvikas (prop. 1996/97:124 s. 182 f.). Dokumentationen ska dock vara så pass utförlig att den kan användas av socialtjänstens personal som ett arbetsinstrument för den individuella planeringen, för handläggningen av ärendet, för genomförandet och för uppföljning av ärendehandläggningen och insatsen (prop. 1996/97:124 s. 182
)
.
Socialtjänstens dokumentation sker i s.k. personakter. Personakterna hör samman med sammanställningar om de enskilda. Sammanställningarna fungerar som sökregister, dvs. ett administrativt hjälpmedel. Personakterna och därtill hörande sökregister utgör således stommen i socialtjänstens handlingar och det är främst där som personuppgifter finns, även s.k. känsliga uppgifter. Av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) framgår att personuppgifter avseende bl.a. den enskildes namn, kontaktuppgifter och person- eller samordningsnummer ska dokumenteras i personakten, liksom uppgifter om hälsa och omsorgsbehov samt inkomst. Personuppgiftsbehandlingen avseende insatser inom socialtjänstens verksamhet ska således omfatta dessa uppgifter.
Därutöver finns det i socialtjänstlagen att krav på att personakter ska gallras fem år efter dagen för sista anteckningen, 12 kap. 1 § socialtjänstlagen. För enskilda verksamhetsutövare är gallringsfristen två år, 7 kap. 3 § andra stycket socialtjänstlagen. Kravet har tillkommit av hänsyn till den enskildes integritet och till att uppgifterna inte ska bevaras längre än vad som är nödvändigt med hänsyn till ändamålet med behandlingen (prop. 2000/01:80 s. 156 f.). Undantag från denna gallringsfrist gäller för vissa ärenden som rör barn samt för viss forskning, 7 kap.1 och 2 §§socialtjänstförordningen (2001:937).
Överväganden och förslag
Insamlingen av uppgifter vid utförandet av insatser inom hemtjänst eller särskilda boenden för äldre med hjälp av digital teknik sker antingen vid på förhand förbestämda tidpunkter eller när den enskilde själv utlöser ett larm eller genom att personal initierar ett larm eller eftersökning. Uppgifterna översänds till en systemenhet hos socialtjänsten som registrerar uppgifterna. Det bekräftas genom logglistor och vid larm upprättas en larmrapport. Larmrapporten är en administrativ handling som gallras efter fem år och logglistorna gallras efter två år, Råd för den kommunala socialtjänsten mm (SKR Gallringsråd nr 5) s. 41 f. De övriga uppgifter som inte är en del av larmrapporten bör kunna gallras relativt omgående då det inte finns behov av att lagra dem. Exempelvis anger Europeiska dataskyddsstyrelsen att bildupptagning som sker genom videoenheter bör gallras inom några dagar (p. 121 riktlinjer [3/2019] för behandling av personuppgifter genom videoenheter, version 2.0, 2020-01-29).
Sammanfattningsvis bidrar dokumentationskravet och gallringsbestämmelserna i socialtjänstlagen till att socialtjänsten följer dataskyddsprinciperna om uppgifts- respektive lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning. Bestämmelserna är obligatoriska med syftet att säkerställa att de insatser som socialtjänsten tillhandahåller enskilda tillförsäkrar dem en skälig levnadsnivå.
Därutöver ger registerförfattningen SoLPUL och, i den del registerförfattningen saknar bestämmelser, dataskyddslagen ramen för de ändamål för vilka socialtjänsten får behandla personuppgifter. Hemtjänstinsatser och insatser i särskilda boenden för äldre är sådan faktisk verksamhet inom socialtjänsten som omfattas av begreppet socialtjänstens verksamhet i 2 § SoLPUL (prop. 2000/01:80 s. 137). Både offentlig och privat verksamhet omfattas. I 6 § SoLPUL anges inom vilka ramar personuppgiftsbehandling inom socialtjänsten är tillåten, dvs. för vilket ändamål behandlingen får ske. Det är inte någon uttrycklig ändamålsbestämmelse, utan i stället lägger 6 § SoLPUL fast en yttersta ram för när behandling av personuppgifter är tillåten. Personuppgifter får behandlas bara om behandlingen är nödvändig för att arbetsuppgifterna inom socialtjänsten ska kunna utföras.
Till denna rambestämmelse finns möjligheten för regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om
Ds 2022:4 Överväganden och förslag
nödvändiga begränsningar av tillåten personuppgiftsbehandling, 11 § SoLPUL. Med stöd av bemyndigandet har regeringen avgränsat ändamålet för kommunala myndigheters personuppgiftsbehandling bl.a. till handläggning av ärenden om bistånd och annat stöd samt genomförande av beslut om bistånd, stödinsatser, vård och behandling samt annan social service som följer av bestämmelserna i socialtjänstlagen samt till tillsyn, uppföljning, utvärdering, kvalitetssäkring och administration av verksamheten, 12 § första stycket 1 och 10 SoLPUF. Den personuppgiftsbehandling som är tillåten inom privat verksamhet är avgränsad till dokumentation av den omsorg som ges inom verksamheten samt för verksamhetens administration (18 § SoLPUF).
Sammantaget kan det konstateras att hemtjänstinsatser och insatser i särskilda boenden för äldre är arbetsuppgifter inom den sociala omsorgen som tillhandahålls äldre i enlighet med bestämmelserna i socialtjänstlagen. Det gäller oavsett om insatserna tillhandahålls med hjälp av digital teknik eller personal. Arbetsuppgifterna består av att planera insatser till enskilda, handlägga ärenden samt att genomföra och följa upp insatser och ärendehandläggningen. Dessa arbetsuppgifter ska också dokumenteras i enlighet med dokumentationskravet i socialtjänstlagen (7 kap. 3 § första stycket respektive 11 kap. 5 och 6 §§). Behandling av personuppgifter som sker i samband med dessa arbetsuppgifter och deras administration är tillåten med stöd av 6 § SoLPUL, 12 § 1 och 10 samt 18 § SoLPUF.
I avsnitt 4.5.5 har nyttan av att kunna använda digital teknik vid genomförandet av insatser inom äldreomsorgen beskrivits. I korthet är nyttan av att använda digital teknik inom äldreomsorgen att tekniken möjliggör för den enskilde att leva ett mer självständigt liv där aktiviteter kan planeras utifrån egna behov och önskemål, men också att inte bli störd nattetid av att ibland okända människor kommer in i bostaden för att kontrollera att allt står rätt till. På så sätt får den enskilde ökat självbestämmande över sin tid och vem som befinner sig i bostaden och också en trygghet i att veta att hjälp kommer snabbt om en olycka inträffar eller annat hjälpbehov uppstår. Den enskilde behöver inte invänta att personal ska komma enligt ett schema, där förseningar på grund av utökat omsorgsbehov hos en enskild fördröjer tillsynen för en annan. För personalen avlastar den digitala tekniken rutinmässiga arbetsuppgifter och
Överväganden och förslag
bidrar till en bättre arbetsmiljö med mindre stress och möjligheter till att ge kvalitativ omsorg där det behövs. Med hänsyn till den demografiska utvecklingen och bristen på omsorgspersonal är det effektivt och ändamålsenligt att använda personalens kompetens där den bäst behövs och samtidigt säkerställa att enskilda får den tillsyn och trygghet de har rätt till enligt socialtjänstlagen. Eftersom tekniken möjliggör för den enskilde att på egen hand röra sig i och utanför sitt hem bidrar tekniken också till en ökad trygghet och självständighet för den enskilde.
Ändamålet med behandlingen av uppgifterna är således att vid behov snabbt kunna säkerställa den enskildes trygghet i sin vardag eller att få hjälp i en akut situation. Eftersom huvudprincipen i socialtjänstlagen är att insatser ska ges på frivillig grund, är det väsentligt att socialtjänsten kommer överens med den enskilde om på vilket sätt insatser med hjälp av digital teknik ska utföras. Den enskilde behöver förstå hur tekniken fungerar när den är igång, exempelvis när och på vilket sätt kameratillsyn sker eller att gpspositionering sker löpande medan larmmatta som regel är ett passivt larm som inte registrerar några uppgifter förrän viss beröring sker (vid fall). Placeringen av tekniken i den enskildes bostad behöver göras i samråd med den enskilde och det måste också vara tydligt vem som ansvarar för teknikens funktion samt tekniska support och underhåll.
Användningen av digital teknik i samband med utförandet av insatser i form av hemtjänst eller särskilt boende för äldre effektiviserar således insatsernas genomförande och ökar därmed den enskildes trygghet. Vidare bidrar det till minskad stress för personalen och bättre allokering av socialtjänstens resurser, något som till följd av den demografiska utvecklingen och bristen på personal inom äldreomsorgen är nödvändigt. Användningen av digital teknik vid insatser i form av hemtjänst eller särskilt boende för äldre är en uppgift av allmänt intresse som är rättsligt reglerad i socialtjänstlagen. Utifrån de förslag till förtydliganden av dataskyddet för den enskilde som föreslås i avsnitt 5.2.3–5.2.5 (krav på funktioner som säkerställer uppgifts- och lagringsminimering, tilldelning av behörighet för elektronisk åtkomst och kontroll av åtkomst samt information till den enskilde) är den personuppgiftsbehandling som följer av användningen av tekniken ändamålsenlig, effektiv och proportionerlig i förhållande till intrånget i den
Ds 2022:4 Överväganden och förslag
enskildes personliga integritet. Genom promemorians förslag till nya bestämmelser i 4 kap. 2 c § socialtjänstlagen och 9–11 §§ SoLPUL preciseras insatsernas utförande i lag och utrymmet för att göra intrång i den personliga integriteten begränsas. Den rättsliga grunden för berörda insatser förtydligas därmed för den som berörs av insatserna. Förslaget påverkar emellertid inte förutsättningarna för insatsernas tillhandahållande, utan det är alltjämt fråga om tillhandahållande av en uppgift av allmänt intresse som följer av en lagstadgad skyldighet i socialtjänstlagen. Den behandling av personuppgifter som sker i samband med att en insats till äldre utförs med hjälp av digital teknik bedöms därför vara nödvändig för att säkerställa att socialtjänsten kan tillhandahålla insatser till äldre personer så att de får det stöd och den hjälp som de har rätt till enligt socialtjänstlagen.
I sammanhanget är det också viktigt att komma ihåg att användningen av digital teknik vid insatser inom äldreomsorgen faller under socialtjänstlagen, vilket bl.a. innebär att insatserna i fråga ska bygga på frivillighet. Den enskilde har därför alltid möjlighet att avstå från insatsen i fråga om hon eller han upplever att intrånget i den personliga integriteten blir allt för ingripande. Bedömningen av socialtjänstens skyldighet att säkerställa att den enskilde får en skälig levnadsnivå genom en viss typ av insats måste dock avgöras utifrån omständigheterna i det enskilda fallet.
5.2.2. Det är tillåtet att behandla känsliga personuppgifter vid insatser med hjälp av digital teknik
Bedömning: I artikel 9.2 h i EU:s dataskyddsförordning finns
stöd för behandling av känsliga personuppgifter i samband med att en insats inom äldreomsorgen utförs med hjälp av digital teknik.
Skälen för bedömningen: I artikel 9.1 i EU:s dataskyddsförordning
finns ett förbud mot behandling av vissa kategorier av personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om
Överväganden och förslag
hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dessa kategorier av personuppgifter kallas vanligen känsliga personuppgifter, se bl.a. 3 kap. 1 § dataskyddslagen, och 7 § första stycket 2 SoLPUL.
De uppgifter som socialtjänsten behandlar i hemtjänsten och i särskilda boenden för äldre är många gånger känsliga personuppgifter om framför allt den enskildes hälsa. Även om många av de uppgifter som finns i personakten inte är känsliga uppgifter var för sig, kan uppgifterna sammantaget ge en tydlig bild av den enskilde, och det kan vara integritetskänsligt. Insatserna planeras, genomförs och följs upp utifrån den enskildes behov av stöd och hjälp, ofta på grund av hälsorelaterade skäl av fysiskt eller kognitivt slag vilket innebär behandling av känsliga personuppgifter som rör hälsa. Även andra känsliga personuppgifter om exempelvis religiös eller filosofisk övertygelse kan emellertid också behöva behandlas om insatsen t.ex. omfattar att inhandla eller tillaga mat. Socialtjänstens verksamheter har således i hög grad behov av att behandla känsliga personuppgifter.
Det finns ett antal undantag från förbudet att behandla känsliga personuppgifter, undantag som är listade i artikel 9.2. Om något av dessa undantag är uppfyllt, får sådana känsliga personuppgifter som anges i artikel 9.1 behandlas. Det första undantaget (artikel 9.2 a) rör samtycke. För att känsliga personuppgifter ska kunna behandlas med stöd av någon av de andra undantagsgrunderna i artikel 9.2 krävs det att behandlingen är nödvändig dels för att uppnå något av de syften som anges i artikel 6.1 b–f, dels för just de syften som anges i artikel 9.2 b–j. När det gäller nödvändighetskravet har regeringen bedömt att innebörden av detta krav är densamma i artikel 9 som i artikel 6, dvs. kravet på att en personuppgiftsbehandling ska kunna anses vara nödvändig ska inte tolkas så snävt som att det också innebär att behandlingen ska vara oundgänglig (prop. 2017/18:105 s. 75 f.).
Som tidigare sagts i avsnitt 5.2.1 har regeringen i prop. 2017/18:171 s. 87 uttalat att socialtjänsten som regel kan tillämpa rättslig grund utifrån syftet att fullgöra en rättslig förpliktelse (artikel 6.1 c) eller att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e). Regeringen har vidare fastställt att begreppet social
Ds 2022:4 Överväganden och förslag
omsorg i undantagsbestämmelsen i artikel 9.2 h avser arbetsuppgifter som utförs inom socialtjänsten (prop. 2017/18:105 s. 94).
När det gäller socialtjänstens behandling av känsliga personuppgifter har regeringen valt att ge socialtjänsten rätt att behandla alla kategorier av känsliga personuppgifter (prop. 2017/18:171 s. 186). Både i registerlagstiftningen och i den generella dataskyddslagen upplyses om att socialtjänsten har rätt att behandla känsliga personuppgifter med stöd av artikel 9.2 h i de fall behandlingen är nödvändig för verksamheten respektive för social omsorg eller förvaltning av hälso- och sjukvårdstjänster, social omsorg samt deras system, 7 § SoLPUL och 3 kap. 5 § dataskyddslagen.
Begreppet verksamhet i SoLPUL omfattar inte enbart den verksamhet som utgör själva handläggning av ett ärende, utan också rent faktisk verksamhet som t.ex. social hemhjälp, vård och behandling vid behandlingshem, servicehus och annan social service som lämnas av socialnämnden (prop. 2000/01:80 s. 137). Att behandling får ske när det är nödvändigt för verksamheten lades till efter synpunkt från Lagrådet, som menade att faktisk verksamhet annars skulle uteslutas från bestämmelsen trots att en stor del av socialtjänsten utgörs av sådan, se Lagrådets yttrande i prop. 2000/01:80 s. 272. Om en behandling av känsliga personuppgifter är nödvändig för verksamheten – inklusive rent faktiskt handlande – är den således tillåten med stöd av 7 § SoLPUL. Det ställs inga krav på att insatsen ska utföras på ett visst sätt, varför även insatser som utförs med hjälp av digital teknik omfattas.
Om känsliga personuppgifter får behandlas med stöd av undantaget i artikel 9.2 h, ska den som behandlar eller ansvarar för behandlingen omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt, artikel 9.3 i EU:s dataskyddsförordning. Kravet på tystnadsplikt i dessa fall framgår också av 3 kap. 5 § andra stycket dataskyddslagen och 7 § tredje stycket SoLPUL. Inom socialtjänstens område gäller som regel tystnadsplikt både i den offentliga sektorn enligt 26 kap. 1 § OSL och i den privata sektorn, se 15 kap. 1 § socialtjänstlagen.
Utifrån ovan redovisade krav för behandling av känsliga personuppgifter inom äldreomsorgen är bedömningen att motsvarande krav även gäller vid behandling av känsliga personuppgifter till följd av att insatserna utförs med hjälp av digital
Överväganden och förslag
teknik. Den behandling som sker i samband med insatsens utförande är en integrerad del av insatsen.
Den digitala teknik som används har funktioner som samlar in och registrerar de känsliga personuppgifter som personal på annat sätt samlat in och registrerar vid en insats. Det följer av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) att personuppgifter avseende bl.a. den enskildes uppgifter om hälsa och omsorgsbehov samt inkomst ska dokumenteras av socialtjänsten i syfta att socialtjänsten ska kunna bedriva sin verksamhet. Med beaktande av promemorians förslag till förtydligande av den rättsliga grunden i socialtjänstlagen samt de funktionskrav på den teknik som används, kompletterande informationssäkerhetsåtgärder samt information till den enskilde som föreslås i SoLPUL, har promemorian i avsnitt 5.2.1 bedömt att det är ändamålsenligt och proportionerligt att behandla personuppgifter inom äldreomsorgen vid insatser med hjälp av digital teknik. Även känsliga personuppgifter behöver behandlas vid användningen av tekniken, och stöd för det finns i artikel 9.2 h i EU:s dataskyddsförordning. Behandlingen är därmed tillåten enligt 7 § andra stycket SoLPUL. Slutligen gäller den tystnadsplikt som åligger personalen enligt 26 kap. 1 § OSL respektive 15 kap. 1 § socialtjänstlagen även för uppgifter som samlas in med digital teknik. Behandlingen uppfyller därigenom även kravet på konfidentialitet i 7 § tredje stycket SoLPUL.
5.2.3. Dataskyddsåtgärder för digital teknik med vissa funktioner
Förslag: Om den digitala teknik som används när bistånd ges i
form av hemtjänst eller särskilda boenden för äldre har funktioner som möjliggör monitorering, sensorering eller positionering vid insatsens utförande, ska den personuppgiftsansvarige säkerställa att
1. endast de personuppgifter som är nödvändiga för att uppnå syftet med användningen av tekniken behandlas, och
2. insamlade personuppgifter inte sparas under längre tid än vad som är nödvändigt för att uppnå det ändamål för vilket uppgifterna samlades in.
Ds 2022:4 Överväganden och förslag
Regeringen eller den myndighet som regeringen bestämmer ska ges rätt att meddela föreskrifter i fråga om dessa krav.
Skälen för förslaget
Funktionen hos viss digital teknik som används vid insatser inom äldreomsorgen
Om det inom äldreomsorgen används digital teknik som bygger på monitorering, sensorering eller positionering av den enskilde, innebär det att personuppgifter behandlas. Begreppen rör tekniska funktioner som kan finnas i digital teknik inom insatser i äldreomsorgen. Med monitorering avses en teknisk funktion som innebär att uppgifter om var den enskilde är och hur denne rör sig kan uppfattas visuellt, t.ex. en kamera. Med sensorering avses en teknisk funktion som innebär att uppgifter om den enskildes rörelser eller massa samlas in, t.ex. en matta som känner av en viss tyngd över en viss yta. Med positionering avses en teknisk funktion hos digital teknik som innebär att uppgifter om var den enskilde befinner sig samlas in, t.ex. en inbyggd gps-funktion i en klocka. Det gäller således både funktioner som ger uppgifter som innebär att den enskilde direkt kan identifieras och funktioner som ger uppgifter som innebär att den enskilde indirekt kan identifieras genom att utvisa en bestämd plats denne befinner sig på. Det beror på att det med hjälp av andra uppgifter än exempelvis en tydlig bild av ansiktet är möjligt att härleda personen till en viss adress och därmed indirekt till en viss identifierbar person. Teknik som bygger på monitorering, sensorering eller positionering får därför anses innebär att det sker en identifiering av personer, varför EU:s dataskyddsförordning är tillämplig vid personuppgiftsbehandling med hjälp av sådan teknik (jfr artikel 4.1 i EU:s dataskyddsförordning).
Syftet med att utföra insatser med hjälp av digital teknik med funktioner som monitorering, sensorering eller positionering är som regel att snabbt kunna förebygga olyckor, eventuellt med sjukvård som följd. Genom kameratillsyn på bestämda tider kan den enskilde få regelbunden och punktlig nattlig tillsyn med möjlighet till larm för hjälp. För en del bidrar sådan nattillsyn också till en förbättrad nattsömn och därigenom förbättrad hälsa genom att inte bli störd av att omsorgspersoner kommer in i bostaden för fysisk tillsyn. Andra
Överväganden och förslag
kan dock uppleva tillsynen som skrämmande och insatsen riskerar i dessa fall inte att bidra till förbättrad sömn eller hälsa. Ytterligare ett syfte med nattillsyn med hjälp av digital teknik med funktionen monitorering kan vara att fördela resurser inom omsorgspersonalen mer effektivt. Det gäller exempelvis i de fall omsorgspersonal behöver resa mycket långa sträckor för att säkerställa att det inte har uppstått ett hjälpbehov för den enskilde under natten. Kameratillsyn bidrar i dessa fall också till att omsorgspersonal i stället kan utföra en insats till enskilda som har ett känt hjälpbehov nattetid och inte enbart behov av tillsyn. Den personuppgiftsansvarige behöver således i varje enskilt fall utvärdera syftet med en insats med hjälp av digital teknik som har funktioner som monitorering, sensorering eller positionering och om syftet också uppnås genom en sådan insats. Denna utvärdering behöver göras löpande under en insats.
När uppgifterna samlas in på annat sätt än med hjälp av digital teknik påbörjas personuppgiftsbehandling i EU:s dataskyddsförordnings mening när uppgifterna förs in i personakten. Det innebär att dataskyddsreglerna aktualiseras först vid denna tidpunkt. Användningen av digital teknik vid utförandet av insatser inom äldreomsorgen innebär dock att behandling av personuppgifter sker i realtid redan när insatsen utförs i stället för den senare tidpunkten när uppgifterna förs in i personakten. Av kraven på dataskydd i EU:s dataskyddsförordning följer dock att uppgiftsminimering ska eftersträvas även vid behandling av uppgifter i realtid genom att utnyttja inbyggda begränsningsfunktioner i tekniken (privacy by design eller the internet of things). Det saknas dock preciserade krav i SoLPUL på sådana begränsningsfunktioner, vilket innebär att den personuppgiftsansvarige direkt ska tillämpa bestämmelserna i artiklarna 24, 25 och 32 i EU:s dataskyddsförordning.
Hemtjänstinsatser och insatser i särskilda boenden för äldre innebär alltid ett intrång i den personliga integriteten, oavsett om insatsen görs med hjälp av digital teknik eller inte. Användningen av digital teknik vid dessa insatser tydliggör dock integritetsintrånget, eftersom det finns en osäkerhet kring vilka som har möjlighet att ta del av de uppgifter som samlas in och också hur länge uppgifterna sparas. För att stärka tilliten till sådana insatser är det därför viktigt att tekniken är utrustad med effektiva dataskyddsåtgärder som bl.a. säkerställer uppgiftsminimering och lagringsbegränsning, se artikel 5.1 c och e i EU:s dataskyddsförordning. I både EU:s dataskydds-
Ds 2022:4 Överväganden och förslag
förordning och nationell rätt finns därutöver krav på öppenhet och information till den enskilde om den teknik som används.
EU:s dataskyddsförordning har inte några särskilda krav för teknik som innebär monitorering, sensorering eller positionering, utan den riskbedömning som beskrivs i artiklarna 24, 25 och 32 gäller även för den tekniken. Europeiska dataskyddsstyrelsens riktlinjer betonar emellertid att sådan övervakning kan tjäna många syften och också kan vara ett stöd bl.a. för enskilda personers liv och fysiska integritet. Europeiska dataskyddsstyrelsen lyfter även att kameraövervakning får ske även om känsliga personuppgifter kommer att behandlas. Även principerna om lagringsbegränsning och uppgiftsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning framhålls. Enligt riktlinjerna bör de personuppgifter som behandlas genom kameraövervakningen i de flesta fall raderas, helst automatiskt, efter några dagar (punkt 12 och 121 i Europeiska dataskyddsstyrelsens riktlinjer [3/2019] för behandling av personuppgifter genom videoenheter [version 2.0, 2020-01-29] för tolkning och tillämpning av EU:s dataskyddsförordning vid användning av kamera för övervakning av platser eller personer).
Mot bakgrund av den bristande tilliten till viss digitala teknik som används i socialtjänstens insatser inom äldreomsorgen, av att kraven på dataskyddsåtgärder i EU:s dataskyddsförordning är generellt utformade och Europeiska dataskyddsstyrelsens riktlinjer bör det införas en ny bestämmelse i SoLPUL som tydliggör kraven på uppgifts- och lagringsminimering för sådana typer av funktioner i digital teknik som innebär ett särskilt stort integritetsintrång. En sådan bestämmelse bör ange att en personuppgiftsansvarig som tillhandahåller en insats inom hemtjänst eller särskilda boenden för äldre med hjälp av digital teknik med funktioner för monitorering, sensorering eller positionering måste säkerställa att endast de personuppgifter som är nödvändiga för att uppnå syftet med användningen av tekniken i fråga behandlas. Bestämmelsen bör dessutom ange att de personuppgifter som samlas in med hjälp av tekniken i fråga inte heller sparas längre tid än vad som är nödvändigt för att uppnå ändamålet för vilket uppgifterna samlades in, dvs. med biståndsinsatsen i fråga. Genom en sådan bestämmelse tydliggörs vikten av kraven på uppgifts- och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordnings, något som bedöms vara särskilt angeläget när insatser inom äldreomsorgen utförs med hjälp av
Överväganden och förslag
digital teknik med funktioner för monitorering, sensorering eller positionering. Detta eftersom intrånget i den personliga integriteten riskerar att bli större när insatsen utförs med sådan teknik än när den utförs på annat sätt, se även avsnitt 5.1.2.
Vilka uppgifter som är nödvändiga att samla in genom användningen av tekniken i fråga kan variera beroende på vilken teknisk lösning som används och vad som är insatsens syfte.
Beroende på vad syftet är med en biståndsinsats som ges med hjälp av digital teknik med funktioner som möjliggör monitorering, sensorering eller positionering behöver socialtjänsten således i varje enskild situation bedöma vilka uppgifter som är nödvändiga för att uppnå syftet med användningen av tekniken i fråga och hur länge dessa uppgifter behöver sparas.
Om insatsens syfte är att säkerställa den enskildes behov av trygghet och säkerhet i sitt hem och i sin vardag, kan det vara nödvändigt att behandla uppgifter om var den enskilde befinner sig, liksom uppgifter om den enskildes namn, adress och telefonnummer. Däremot behöver sannolikt inte uppgifter om exempelvis den enskildes utseende, röst, puls eller hjärtslag samlas in eftersom det inte kan anses vara uppgifter som är nödvändiga för att kunna genomföra insatsen i fråga. Det är också uppgifter, vars insamlande kan begränsas genom att utnyttja inbyggda begränsningsfunktioner i tekniken (privacy by design eller the internet of things), jfr artikel 25 i EU:s dataskyddsförordning.
En uppgift om var den enskilde befinner sig är endast relevant när insatsen utförs. En sådan uppgift bör kunna gallras relativt omgående efter insatsens genomförande, eftersom ett eventuellt hjälpbehov ska tillgodoses omedelbart och uppgiften därefter förlorat sin betydelse, vilket också är i linje med Europeiska dataskyddsstyrelsens riktlinjer. Det är dock nödvändigt att spara vissa uppgifter, t.ex. att tillsyn med hjälp av kamera har skett på det sätt man har kommit överens med den enskilde om eller att ett hjälpbehov har uppstått. Det är uppgifter som i regel dokumenteras i en logglista och är därför nödvändiga att spara för att uppnå ändamålet med insatsen i fråga. Logglistan ska enligt SKR:s Gallringsråd nr 5 gallras efter två år.
Eftersom kommuner kommer att omfattas av de föreslagna bestämmelserna om uppgifts- och lagringsminimering, är fråga om föreskrifter som enligt 8 kap. 2 § första stycket tredje punkten
Ds 2022:4 Överväganden och förslag
regeringsformen ska meddelas i lag. Förslaget är därför att de nya bestämmelserna förs in som en ny 9 § i SoLPUL. Den nya paragrafen bör av tydlighetsskäl föregås av en ny rubrik om funktionskrav på digital teknik.
Särskilda regler vid kameratillsyn
Kameratillsyn innebär att uppgifter samlas in genom en monitoreringsfunktion som registrerar rörliga bilder. Idag används vanligen en kamera som är kopplad till en videoenhet. Till videoenheten kan vid behov en ljudfunktion kopplas. För det fall en personuppgiftsansvarig vill använda kamera vid insatser avseende nattillsyn inom hemtjänst eller särskilda boenden behöver vissa bestämmelser i kamerabevakningslagen (2018:1200) beaktas innan insatsen genomförs. Ansökan om tillstånd om att kamerabevaka ett särskilt boende eller inom hemtjänsten behövs emellertid inte, då det inte är fråga om bevakning av en plats dit allmänheten har tillträde, 7 § kamerabevakningslagen. Däremot behöver andra regler i kamerabevakningslagen beaktas, t.ex. om upplysning om kamerabevakning (15 §), förhandlingsskyldighet med arbetstagarorganisationer (21 §) och tystnadsplikt avseende det inspelade materialet (22 §).
Personövervakning i kamerabevakningslagens mening sker när personer kan identifieras genom övervakningen. Identifiering är möjlig när man utan större osäkerhet kan skilja de personer som iakttas från andra personer, t.ex. om hela personen eller personens ansikte syns tydligt. Även sådant som utmärkande klädsel, speciella kroppsrörelser eller särskild kroppskonstitution kan möjliggöra identifiering (prop. 2017/18:231 s. 21). Utifrån denna definition är en insats i form av nattillsyn med hjälp av kamera, där det inte är möjligt att identifiera den enskilde, inte personbevakning i kamerabevakninglagens mening. I de fall nattillsynen i dessa fall sker regelbundet är det således inte heller fråga om kamerabevakning. Däremot är det alltid fråga om personuppgiftsbehandling, då det med hjälp av andra uppgifter än den bild monitoreringsfunktionen registrerar går att härleda personen i fråga till en viss adress och därmed indirekt till en viss identifierbar person.
Överväganden och förslag
En insats med hjälp av kamera i den privata bostaden får alltid anses innebära ett betydande intrång i den personliga integriteten, varför principerna om inbyggt dataskydd och dataskydd som standard (jfr artikel 25 i EU:s dataskyddsförordning) är särskilt viktiga att beakta för att i största möjliga mån begränsa integritetsintrånget för den enskilde. Den personuppgiftsansvarige behöver genomföra och integrera lämpliga tekniska åtgärder för att skydda de enskildas rättigheter och t.ex. se till att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålet.
Inbyggd integritetsskyddande teknik kan exempelvis vara funktioner som begränsar vilka personuppgifter som samlas in genom att automatiskt maskera bildmaterialet så att det inte är möjligt att identifiera personer i fråga. Vidare kan vissa kameror ställas in för aktivering först efter olika typer av larm, onormala rörelsemönster eller särskilda ljud, vilket begränsar den tid under vilken uppgifter samlas in. Andra tekniska skyddsåtgärder går ut på att begränsa lagringstiden så att registrerade uppgifter endast sparas i realtid eller en mycket kort tid efter registreringen. Även kamerans placering i bostaden eller boendet väger in i bedömningen av integritetsintrånget. Kamerans placering bör vara på ett sätt som minskar integritetsintrånget i största möjliga mån och den bör inte vara rörligt monterad. Kameran bör inte heller kunna styras manuellt eller ha optik som innebär att det går att zooma. För det fall en mikrofon är kopplad till videoenheten bör den som regel vara avstängd, men i vissa fall ändå kunna slås på av den som ansvarar för kamerabevakningsinsatsen för att vid behov kommunicera med den enskilde. Kameratillsynen bör om möjligt också utföras på tider då så få människor som möjligt uppehåller sig inom området. Även alternativa åtgärder behöver övervägas och bedömas vara otillräckliga för att uppnå önskat syfte.
Den personuppgiftsansvarige behöver komma överens med den enskilde om hur ofta tillsyn ska göras, liksom hur långt intervall som ska löpa mellan extra kontroller om den enskilde inte befinner sig på platsen och hur många extra kontroller som ska göras innan en uppföljningsinsats vidtas med tillsyn av personal. En sådan överenskommelse gör den enskilde mer delaktig i insatsens utformning och kan också skapa en ökad tillit till en insats med hjälp av digital teknik.
Ds 2022:4 Överväganden och förslag
Integritetsöverväganden inför en insats som utförs med hjälp av digital teknik
Det följer av artiklarna 24, 25 och 32 i EU:s dataskyddsförordning att den personuppgiftsansvarige behöver göra en riskbedömning innan en insats tillhandahålls med hjälp av digital teknik. Syftet med användningen av tekniken ska formuleras och det ska säkerställas att integritetsintrånget blir så litet som möjligt för den enskilde. Det innebär att den personuppgiftsansvarige behöver överväga på vilket sätt insatsen säkerställer uppgifts- och lagringsminimering av de uppgifter som samlas in av den digitala tekniken. Detta görs i syfte att begränsa intrånget i den enskildes personliga integritet i största möjliga mån. Den personuppgiftsansvarige behöver alltså redan vid planeringen av inköpen av den digitala tekniken ställa krav på vissa inbyggda funktioner som möjliggör uppgifts- och lagringsminimering, dvs. kravspecifikationen behöver innehålla funktionskrav för den digitala teknik som upphandlas.
När sedan den personuppgiftsansvarige överväger en konkret insats i form av hemtjänst eller särskilt boende för äldre, behöver det övervägas om den enskilde tillförsäkras en skälig levnadsnivå genom ett utförande med hjälp av digital teknik eller om en annan form av utförande i stället är lämpligare. En alternativ åtgärd till exempelvis trygghetskamera nattetid kan vara att tillsynen sker genom att personal under ett eller flera tillfällen kommer in i den enskildes bostad och sovrum för att kontrollera om hon eller han sover i sin säng eller har behov av hjälp. Det krävs även vid detta alternativ att den enskilde känner tillit till insatsen, att personalen endast tittar till den enskilde, lämnar bostaden och sedan håller tyst om vad som i övrigt har uppfattats i bostaden via syn, hörsel eller lukt. En sådan alternativ insats måste också anses innebära ett betydande intrång i den boendes personliga integritet. Personligt utförande av en tillsynsinsats kan således ur integritetssynpunkt framstå som ett större intrång i den personliga integriteten än ett utförande med hjälp av digital teknik, eftersom tekniken ofta har inbyggda funktioner som innebär att uppgiftsinsamlingen kan begränsas och också raderas förhållandevis snabbt. I exemplet med kameratillsyn finns funktioner som möjliggör att den enskilde inte kan identifieras i bild genom värmekamera eller med hög upplösning av bildskärpan.
Överväganden och förslag
Den personuppgiftsansvarige behöver också överväga hur snabbt den enskildes behov av trygghet behöver tillgodoses. Digital teknik säkerställer att larm utlöses omedelbart när en viss händelse inträffar, t.ex. ett fall. Bor den enskilde tillsammans med någon som har förmåga att själv larma, kanske det inte är nödvändigt med en teknisk lösning som automatiskt utlöser ett larm. Men för det fall den enskilde bor ensam eller inte kan få hjälp av någon i hushållet, kan ett mobilt trygghetslarm, en larmmatta eller en trygghetskamera snabbt larma och på så sätt säkerställa den enskildes trygghet på ett bättre sätt än personlig ledsagning eller tillsyn på vissa tider.
Bemyndigande krävs för preciserade funktionskrav
Utifrån gällande regelverk om personuppgiftshantering vid användningen av teknik som innebär monitorering, sensorering eller positionering vid insatser inom äldreomsorgen kan det konstateras att det är väsentligt att syftet med att utföra insatsen behöver vägas mot det integritetsintrång användningen av tekniken innebär. Varje situation har olika förutsättningar och ytterst bygger insatsens genomförande också på den enskildes rätt till självbestämmande.
Den riskbedömning den personuppgiftsansvarige ska göra framgår av artiklarna 24, 25 och 32 i EU:s dataskyddsförordning. Den bedömningen ska formulera ett berättigat syfte med användningen av tekniken och utforma dess funktion så att integritetsintrånget för den enskilde blir så litet som möjligt. Principerna om uppgifts- och lagringsminimering i artikel 5.1 c och e är vägledande.
Bestämmelserna i EU:s dataskyddsförordning är dock allmänt hållna och som tidigare har sagts i detta avsnitt finns det anledning att av integritetshänsyn tydliggöra att den personuppgiftsansvarige ska säkerställa att digital teknik som innebär monitorering, sensorering eller positionering använder funktioner som innebär uppgifts- och lagringsbegränsning.
Olika tekniska funktionskrav kan ställas utifrån en mängd olika omsorgsbehov. Det bedöms därför inte vara möjligt att i SoLPUL formulera alla de funktionskrav som bör ställas för att uppnå uppgifts- och lagringsbegränsning. Det finns också en risk för att detaljerade bestämmelser i lag visar sig olämpliga på sikt på grund av
Ds 2022:4 Överväganden och förslag
t.ex. en teknisk utveckling inom områden som idag inte kan överblickas. Möjligheterna att lagstifta om olika åtgärder är därför begränsade.
Det får därför anses att en mer lämplig väg att med stöd av 8 kap.3 och 10 §§regeringsformen delegera föreskriftsrätten till regeringen eller den myndighet som regeringen bestämmer. En reglering på en lägre nivå bör ge bättre förutsättningar att anpassa kraven till de aktuella och funktionstekniska behov och förutsättningar som finns. Det kommer att finnas behov av att förtydliga den föreslagna bestämmelsen i 9 § SoLPUL på ett sätt som kan passa de verksamheter som tillhandahåller insatser i form av hemtjänst eller särskilda boenden för äldre och som ska beakta dataskyddsreglerna vid utförandet av dessa insatser. Det bedöms därför ändamålsenligt att regeringen eller den myndighet som regeringen bestämmer får rätt att meddela föreskrifter om funktionskrav avseende digital teknik som innebär särskilt stort integritetsintrång för den enskilde, dvs. teknik med funktioner som möjliggör monitorering, sensorering eller positionering vid insatser i form av hemtjänst eller särskilda boenden för äldre. Bemyndigandet bör framgå av en ny punkt i 11 § SoLPUL.
5.2.4. Förstärkning av säkerhetsåtgärder inom socialtjänsten
Förslag: Den som bedriver verksamhet inom socialtjänsten ska
ha följande skyldigheter:
1. Bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att fullgöra arbetsuppgifter inom socialtjänsten.
2. Se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras.
3. Göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter som förs helt eller delvis automatiserat. Regeringen eller den myndighet som regeringen bestämmer ska ges rätt att meddela föreskrifter om tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat,
Överväganden och förslag
om dokumentation och kontroll av elektronisk åtkomst och i fråga om säkerhetsåtgärder vid helt eller delvis automatiserad behandling av personuppgifter.
Skälen för förslaget
Integritetsstärkande åtgärder enligt EU:s dataskyddsförordning
Informationssäkerhet är en grundläggande säkerhetsåtgärd inom all uppgiftshantering. Informationssäkerhet handlar om att säkerställa tillgången till korrekt information och skyddet för individers personliga integritet. Utgångspunkten är den grundläggande principen i artikel 5.1 f i EU:s dataskyddsförordning om integritet och konfidentialitet, se avsnitt 4.6.4.
På ett övergripande plan ska den personuppgiftsansvarige enligt artikel 24.1 i EU:s dataskyddsförordning genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen av personuppgifter utförs i enlighet med dataskyddsförordningen. Vilka åtgärder som är lämpliga bedöms med beaktande av behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Vid behov ska åtgärderna ses över och uppdateras. Organisatoriska åtgärder kan vara att organisera verksamheten på så sätt att så få personer som möjligt har tillgång till de behandlade personuppgifterna och att det är tydligt vem som får besluta att inleda en behandling av personuppgifter. Tekniska åtgärder kan t.ex. vara behörighetssystem för att reglera tillgången till personuppgifterna.
Den personuppgiftsansvarige ska kunna visa att behandlingen av personuppgifter utförs i enlighet med EU:s dataskyddsförordning. Att tillämpa sådana uppförandekoder som beskrivs i artikel 40 eller certifieringsmekanismer som beskrivs i artikel 42 är exempel på hur korrekt behandling av personuppgifter kan visas, se artikel 24.3.
Artikel 25 preciserar vilka åtgärder den personuppgiftsansvarige ska överväga för att säkerställa ett effektivt genomförande av dataskyddsprinciper och för integrering av de nödvändiga skyddsåtgärderna vid behandlingen av personuppgifter. Åtgärderna utgår från inbyggt dataskydd (privacy by design) och dataskydd som standard (privacy by default). Inbyggt dataskydd innebär att den personuppgiftsansvarige redan vid utformningen av it-system och
Ds 2022:4 Överväganden och förslag
rutiner tar hänsyn till integritetsskyddsreglerna så att inte fler personuppgifter än nödvändigt behandlas i onödan. Dataskydd som standard innebär att befintliga inställningar i en tjänst utnyttjas i syfte att förhindra att personuppgifter behandlas i onödan. Den personuppgiftsansvarige behöver således redan tidigt i beslutsprocessen beakta dataskyddsregleringen och utforma datasystemen så att dataskyddsprinciperna respekteras. Europeiska dataskyddsstyrelsen har gett ut riktlinjer (4/2019) om inbyggt dataskydd och dataskydd som standard, ver. 2 antagen 2020-10-20. Även Europeiska dataskyddsombudsmannen har gett ut en vägledning om inbyggt dataskydd (Opinion 5/2018 Preliminary Opinion on privacy by design).
Utöver nämnda tekniska och organisatoriska åtgärder finns bestämmelser om skyldighet för den personuppgiftsansvarige att, i förhållande till riskerna, vidta lämpliga säkerhetsåtgärder, se artikel 32. Bestämmelsen preciserar inte exakt vilka säkerhetsåtgärder som ska vidtas, utan den personuppgiftsansvarige ska bedöma behovet utifrån den senaste utvecklingen av tillgängliga säkerhetsfunktioner, genomförandekostnaderna, behandlingens art, omfattning, sammanhang och ändamål samt riskerna för fysiska personers rättigheter och friheter. Särskild hänsyn ska tas till de risker som behandlingen av personuppgifterna medför, i synnerhet oavsiktlig eller olaglig förstöring, förlust eller ändring eller obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.
Den personuppgiftsansvarige behöver därutöver ha rutiner för att upptäcka, åtgärda och dokumentera olika slags incidenter som rör personuppgifter, artikel 33.5 i EU:s dataskyddsförordning. Det gäller personuppgiftsincidenter såsom förlust eller ändring av, obehörigt röjande av eller obehörig åtkomst till en personuppgift, artikel 4.12. En incident ska även anmälas till IMY så snart den personuppgiftsansvarige får vetskap om den, såvida det inte är osannolikt att den medför en risk för fysiska personers rättigheter och friheter, artikel 33.1.
Bestämmelserna om integritetsstärkande åtgärder i EU:s dataskyddsförordning bygger på en riskbaserad metod som bl.a. innebär att den personuppgiftsansvarige måste göra en generell riskbedömning för att identifiera vilka åtgärder som ska vidtas för att minska riskerna. I denna metod ingår också att göra en
Överväganden och förslag
konsekvensbedömning, om behandlingen av personuppgifter riskerar att medföra särskilt hög risk för fysiska personers rättigheter och friheter, artikel 35. Konsekvensbedömningen ska göras innan behandling av personuppgifter påbörjas.
IMY har i enlighet med artikel 35.4 beslutat om en kompletterande förteckning över det slags behandlingsverksamheter som omfattas av kravet på en konsekvensbedömning avseende dataskydd, beslut 2019-01-19, dnr DI-2018-13200. Om den planerade personuppgiftsbehandlingen uppfyller minst två av de nio förtecknade kriterierna anger IMY att en konsekvensbedömning avseende dataskydd bör göras i fråga om den planerade behandlingen. Enligt IMY gäller det t.ex. i de fall behandlingen
- avser känsliga personuppgifter enligt artikel 9 eller uppgifter som är av mycket personlig karaktär, t.ex. ett sjukhus som lagrar patientjournaler, ett företag som samlar in lokaliseringsuppgifter eller en bank som hanterar finansiella uppgifter,
- avser personuppgifter om personer som av något skäl befinner sig i ett underläge eller i beroendeställning och därför är sårbara, t.ex. barn, anställda, asylsökande, äldre och patienter, eller
- innebär användning av ny teknik eller nya organisatoriska lösningar, t.ex. en sakernas internetapplikation (Internet of things, IoT).
Den personuppgiftsansvarige ska också dokumentera vilka åtgärder som ska vidtas för att garantera säkerheten i personuppgiftsbehandlingen. Om den personuppgiftsansvarige anser att det fortfarande finns en hög risk med personuppgiftsbehandlingen i fråga, behöver den personuppgiftsansvarige initiera s.k. förhandssamråd med IMY innan behandlingen påbörjas, artikel 36.
En konsekvensbedömning behöver emellertid inte göras om den planerade personuppgiftsbehandlingen har sin rättsliga grund i en lag eller förordning och en konsekvensbedömning därför redan hade gjorts när lagen eller förordningen fastställdes, artikel 35.10. Registerförfattningar som tillåter behandling av känsliga personuppgifter innehåller i regel olika uttryckliga bestämmelser om vad som bedömts vara lämpliga skyddsåtgärder. Det kan vara bestämmelser om sökbegränsningar, restriktioner för elektronisk åtkomst, behörighetstilldelning och loggkontroll, restriktioner för
Ds 2022:4 Överväganden och förslag
vad som får vara mer allmänt tillgängligt i den aktuella organisationen osv. Vid anpassningen av lagar inom Socialdepartementets verksamhetsområde till EU:s dataskyddsförordning har regeringen uttalat följande om behovet att göra konsekvensbedömning vid behandling som utförs med stöd av rättslig förpliktelse enligt artikel 6.1 c respektive allmänt intresse eller myndighetsutövning enligt artikel 6.1 e. Det får förutsättas att de ändamål som fastställts i befintliga registerförfattningar vad gäller att fullgöra rättslig förpliktelse, allmänt intresse eller myndighetsutövning i samband med tidigare författningsarbeten har bedömts vara relevanta och proportionerliga i förhållande till det integritetsintrång personuppgiftsbehandlingen kan innebära. Regeringen anser att det i sådana fall inte är nödvändigt för den personuppgiftsansvarige att göra ytterligare konsekvensbedömningar i de fall behandlingen av personuppgifter har stöd i befintliga registerförfattningar (prop. 2017/18:171 s. 83 f.).
Av artikel 35.10 följer att den personuppgiftsansvarige vid behov ska se över sin personuppgiftsbehandling i syfte att bedöma om den genomförs i enlighet med konsekvensbedömningen. Förnyad konsekvensbedömning kan därför ändå bli aktuellt om den personuppgiftsansvarige börjar använda ny teknik eller en ny typ av personuppgiftsbehandling, som inte har omfattats av tidigare konsekvensbedömning. En förutsättning är dock fortfarande att det är sannolikt att förändringen i fråga medför hög risk för fysiska personers rättigheter och friheter, se skäl 90.
Befintlig reglering av vissa integritetsstärkande åtgärder inom socialtjänstens verksamhet
För socialtjänstens verksamhet finns vissa säkerhetsåtgärder föreskrivna i socialtjänstlagen, SoLPUL, SoLPUF, Socialstyrelsens föreskrifter samt tryckfrihetsförordningen. Det gäller säkerhetsåtgärder som rör lagringsminimering, åtkomstbegränsning samt begränsning av sammanställning av personuppgifter och användningen av sökbegrepp.
I enlighet med principen om lagringsminimering ska anteckningar och andra uppgifter i en personakt hos socialnämnden som regel gallras fem år efter det att sista anteckningen gjordes i akten (12 kap. 1 § socialtjänstlagen). För enskild verksamhet är
Överväganden och förslag
fristen kortare, gallring ska ske redan efter två år (7 kap. 3 § socialtjänstlagen). Gallringsbestämmelserna bygger på att socialnämnderna eller enskilda som bedriver verksamhet inom socialtjänsten inte bör arkivera mer material än som är nödvändigt för den egna verksamheten. Bestämmelsen innebär att personuppgifter lagras en kortare tid inom socialtjänsten, vilket begränsar mängden personuppgifter i socialtjänstens system. Gallringsregeln fungerar därmed som en integritetsstärkande åtgärd i enlighet med EU:s dataskyddsförordning.
Av 11 kap. 5 § andra stycket socialtjänstlagen framgår att obehöriga inte ska kunna ta del av handlingar som rör enskildas personliga förhållanden. Ytterligare specificering av hur sådan behörighets- och åtkomstbegränsning uppnås saknas emellertid, vilket innebär att socialtjänsten i varje kommun får bedöma vilka behörighets- och åtkomstbegränsningar de vill genomföra för att uppfylla kraven i EU:s dataskyddsförordning. Av 4 kap. 8 § tredje stycket och 9 § tredje stycket 1 Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS föreskrivs dock att det ska vara möjligt att fastställa vilka personer som har upprättat en handling i en personakt eller har vidtagit en åtgärd som journalförs. Det innebär att det ska vara möjligt att fastställa vem eller vilka som har lagt in en personuppgift för behandling i det system som hanterar personalakten och journalen. Men det saknas alltså uttryckliga föreskrifter om att det också ska gå att fastställa vem eller vilka som har haft åtkomst till uppgifterna i fråga.
Att säkerställa identiteten av den som bereder sig åtkomst, dvs. autentisering, är således en viktig integritetsstärkande säkerhetsåtgärd. Det är särskilt viktigt om uppgifterna är åtkomliga via öppna nät som internet eller molntjänster. Genom autentisering kontrolleras identiteten av den som loggar in i ett system kontrolleras. Datainspektionen (numera IMY) har i ett beslut (2016-02-17, dnr 1805-2015) förelagt en kommunal nämnd att säkerställa att den autentiseringsmetod som används uppfyller kraven på stark autentisering vid åtkomst över öppet nät såsom internet och molntjänster. Med stark autentisering avses en kontroll av uppgiven identitet på två olika sätt. För åtkomst till personuppgifter inom socialtjänsten över öppna nät krävs det således enligt IMY en inloggning med stark autentisering. SoLPUL har ingen direkt
Ds 2022:4 Överväganden och förslag
reglering som ställer krav på stark autentisering, utan det framgår indirekt av kraven i artikel 32 i EU:s dataskyddsförordning. Där föreskrivs att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en i förhållande till risken lämplig säkerhetsnivå.
Ytterligare en säkerhetsåtgärd för socialtjänsten gäller sammanställning av uppgifter och sökbegrepp. Regeringen eller den myndighet regeringen bestämmer har bemyndigats att utfärda föreskrifter om sökbegrepp, direktåtkomst och samkörning av personuppgifter i socialtjänstens verksamhet, 11 § SoLPUL. När det gäller sökbegrepp följer det av offentlighetsprincipen att även en upptagning för automatiserad behandling är en handling som anses vara förvarad hos myndigheten, om upptagningen är tillgänglig i den datorutrustning som finns hos myndigheten, 2 kap. 6 § tryckfrihetsförordningen. En upptagning för automatiserad behandling kan bestå av allt från enstaka uppgifter till mycket stora informationssamlingar, inklusive personuppgifter. Myndighetens skyldighet att sammanställa uppgifter ur sitt datasystem är dock begränsad till att gälla endast om sammanställningen kan göras tillgänglig med rutinbetonade åtgärder, 2 kap. 6 § andra stycket tryckfrihetsförordningen. Vidare finns det i 2 kap. 7 § tryckfrihetsförordningen ytterligare en begränsning för sammanställningar som innehåller personuppgifter, enligt vilken det är möjligt att begränsa en myndighets befogenheter att göra sammanställningar av personuppgifter i lag eller förordning i syfte att skydda den enskildes personliga integritet. Sådan befogenhetsinskränkning finns för socialtjänstens verksamhet i 15 och 20 §§ SoLPUF. För kommuner och enskild verksamhet gäller därför att endast uppgifter om namn eller uppgifter om person-, samordnings- eller ärendenummer får användas som sökbegrepp vid sökning efter uppgifter eller i samband med sammanställningar.
Det finns inga närmare föreskrifter om direktåtkomst eller sökningar och behörighetskontrollsystem.
Integritetsstärkande åtgärder behövs avseende tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst
Det ligger i socialtjänstens uppdrag att en stor mängd personuppgifter måste behandlas för att kunna genomföra uppdraget och
Överväganden och förslag
många uppgifter är känsliga personuppgifter eller på annat sätt integritetsnära. Personuppgifterna samlas bl.a. in i samband med att personal utför en insats i den enskildes bostad eller boende. Personalen för sedan över uppgifter de har uppfattat till personakten med tillhörande sökregister i enlighet med socialtjänstens dokumentationskrav, 11 kap.5 och 6 §§socialtjänstlagen. Som tidigare har beskrivits i denna promemoria innebär dokumentationskravet att principerna om uppgifts- och lagringsminimering i artikel 5.1 c och e i EU:s dataskyddsförordning säkerställs.
När uppgifterna samlas in på annat sätt än med hjälp av digital teknik påbörjas personuppgiftsbehandling i EU:s dataskyddsförordnings mening när uppgifterna förs in i personakten. Det innebär att dataskyddsreglerna aktualiseras först vid denna tidpunkt. Användningen av digital teknik inom äldreomsorgen kan i vissa fall innebära att behandling av personuppgifter tidigareläggs och påbörjas i realtid redan när insatsen utförs i stället för vid den senare tidpunkt när uppgifterna förs in i personakten. Med hänsyn till att användningen av digital teknik inom socialtjänsten kan innebära integritetsintrång av varierande grad är det viktigt att integritetsstärkande åtgärder vidtas i form av inbyggd informationssäkerhet samt behörighets- och åtkomstkontroll. Det åligger den personuppgiftsansvarige att säkerställa att lämpliga åtgärder vidtas utifrån de krav som framgår av EU:s dataskyddsförordning, socialtjänstlagen, SoLPUL och Socialstyrelsens föreskrifter (SOSFS 2014:5). Vid behov kan det också finns behov att göra en konsekvensbedömning enligt artikel 35 av den tekniska lösning som den personuppgiftsansvarige väljer att använda i verksamheten.
Användningen av digital teknik vid verkställighet av insatser inom socialtjänsten innebär att personuppgifter behandlas innan uppgifterna förs in i en personakt. Här kan det inledningsvis konstateras att redan de nuvarande bestämmelserna i 11 kap. 5 § andra stycket socialtjänstlagen egentligen uttrycker det man vill uppnå, nämligen att obehöriga inte ska få tillgång till den integritetskänsliga informationen och att en anställd inte ska ges åtkomst till personakter m.m. i vidare omfattning än vad hon eller han behöver för sitt arbete. Det finns emellertid inte några detaljerade föreskrifter om restriktioner för elektronisk behörighets- och åtkomsttilldelning och uppföljande kontroll (inklusive loggkontroll) inom socialtjänsten. Behörighets- och åtkomstreglering med uppföljande
Ds 2022:4 Överväganden och förslag
kontroll är informationssäkerhetsåtgärder som är grundläggande för att säkerställa ett adekvat dataskydd, men det är inte tydligt uttalade säkerhetsåtgärder för socialtjänstens verksamhet. Av artiklarna 24, 25 och 32 i EU:s dataskyddsförordning följer dock skyldigheten att säkerställa lämpliga säkerhetsåtgärder även för personuppgiftsbehandling genom digital teknik och för all annan personuppgiftesbehandling inom socialtjänsten. Bestämmelserna är direkt tillämpliga, men kan behöva preciseras i nationell rätt.
En allt för bred behörighet till personuppgifter inom socialtjänsten innebär att personal även kan få tillgång till uppgifter som de inte alltid behöver för att kunna utföra sitt arbete. Risken för att uppgifter sprids på grund av slarv eller okunnighet ökar därmed. Att uppgifterna finns tillgängliga för många ökar också risken för att personal medvetet begår dataintrång i syfte att ta del av uppgifter om enskilda som de inte arbetar med, t.ex. om en enskild är en känd person, granne eller nära anhörig. Konsekvenser av att uppgifter hamnar fel och hur allvarligt det är beror på uppgifternas art, vem det rör och andra omständigheter. Den enskildes upplevelse av att fler tar del av uppgifterna än vad som är nödvändigt för insatsernas utförande är också viktig. För många kan det upplevas som obehagligt att veta att fler har tillgång till uppgifterna än vad som är nödvändigt. När verksamheter inom socialtjänsten brister i informationssäkerhet är det således allvarligt. Om det ska vara möjligt att i ökad omfattning använda digital teknik vid insatser inom hemtjänst eller särskilda boenden för äldre, måste sådana brister åtgärdas för att de enskilda ska känna tillit och tilltro till användningen av tekniken. Åtgärder behöver vidtas innan tekniken i fråga börjar användas.
Det finns inga krav i EU:s dataskyddsförordning på att säkerhetsåtgärder ska preciseras i nationell rätt, men det är vanligt att säkerhetskrav preciseras i registerförfattningarna för att tydliggöra för personuppgiftsansvariga vilken typ av åtgärder som behövs. Ett exempel på sådan precisering är 4 kap. patientdatalagen (2008:355) om behörighetstilldelning, åtkomstkontroll och inre sekretess, där regeringen eller den myndighet regeringen bestämmer har bemyndigats att göra ytterligare förtydliganden. Regeringen har med stöd av bemyndigandet i sin tur bemyndigat Socialstyrelsen att meddela föreskrifter om tilldelning av behörighet för åtkomst och för åtkomstkontroll samt generellt för säkerhetsåtgärder, se 2 och
Överväganden och förslag
3 §§patientdataförordningen (2008:360) och Socialstyrelsens föreskrifter och allmänna råd (HSLF-FS 2016:40) om journalföring och behandling av personuppgifter i hälso- och sjukvården.
Registerförfattningar som tillåter behandling av känsliga personuppgifter innehåller som regel olika uttryckliga bestämmelser om vad som bedömts vara lämpliga skyddsåtgärder. Socialtjänsten saknar emellertid mer detaljerade föreskrifter om behandlingen av personuppgifter i likhet med dem som finns på hälso- och sjukvårdens område. Det innebär att den personuppgiftsansvarige själv behöver bedöma vilka säkerhetsåtgärder som är nödvändiga och lämpliga att vidta utifrån främst artiklarna 24, 25 och 32 i EU:s dataskyddsförordning och tillämpliga svenska bestämmelser.
Användningen av digital teknik vid insatser för äldre innebär emellertid att känsliga uppgifter och andra integritetsnära uppgifter som rör enskildas personliga förhållanden avseende vissa omsorgsbehov behandlas. Det är fråga om uppgifter som alltid uppfattas vid alla insatser, men som vid användningen av digital teknik behandlas mer systematiskt i realtid och också lagras i systemet innan överföring till verksamhetssystem eller gallring sker. Vid insatser utan digital teknik påbörjas personuppgiftsbehandlingen först när de insamlade uppgifterna förs in i personakten. Användningen av digital teknik förutsätter därför att den enskilde känner tillit till användningen av tekniken för att acceptera användningen. Den enskilde ska kunna lita på att obehöriga inte kan ta del av personuppgifter som behandlas av de tekniska funktionerna och att inte fler uppgifter än nödvändigt behandlas.
Tilliten behöver emellertid gälla för all personuppgiftsbehandling inom socialtjänstens verksamhet, inte enbart de fall när behandlingen sker på grund av insatser som utförs med hjälp av digital teknik inom äldreomsorgen. De personuppgifter som hanteras av socialtjänsten generellt är lika känsliga som de som hanteras i hälso- och sjukvården. Det kan t.ex. handla om information om sjukdom och mående, familjesituation, religiös tillhörighet eller ekonomi. Det är mycket viktigt att endast de som behöver uppgifter om den enskilde för sina arbetsuppgifter har tillgång till dem. Det bedöms därför behövas en precisering av säkerhetsåtgärder för behörighet, åtkomst och kontroll i SoLPUL med möjlighet för regeringen eller den myndighet regeringen bestämmer att meddela ytterligare föreskrifter med precisering av
Ds 2022:4 Överväganden och förslag
sådana åtgärder i förordning och föreskrift. En sådan ordning bör likna den reglering av säkerhetsåtgärder som idag finns inom hälso- och sjukvårdsområdet. Eftersom SoLPUL är en ramlagstiftning och föreskrifterna kan behöva utformas med hänsyn till kommunernas organisation av socialtjänstens verksamhet, är det svårt att i lag med generella termer reglera hur behörighetstilldelningen till omsorgspersonal och andra befattningshavare bör utformas. Närmare riktlinjer och föreskrifter bör därför meddelas av regeringen eller den myndighet som regeringen bestämmer.
Utifrån vad som har framförts ovan finns det således behov av att precisera bestämmelser om den personuppgiftsansvariges ansvar att säkerställa lämpliga tekniska och organisatoriska åtgärder för socialtjänstens personuppgiftshantering. Sådana åtgärder ska syfta till att förhindra obehörig åtkomst till socialtjänstens personuppgifter och att öka tilliten för socialtjänstens behandling av personuppgifter bl.a. i de fall insatser inom äldreomsorgen ges med hjälp av digital teknik. Förslaget innebär för det första att alla användare inom socialtjänstens verksamhet tilldelas en individuell behörighet vid inloggning i verksamhetssystem som innehåller personuppgifter. Ansvaret vid tilldelning av behörighet för elektronisk åtkomst innefattar en skyldighet att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken information olika personalkategorier och olika slags verksamheter behöver (behovsanalys). Användarna behöver tilldelas rätt behörighet, dvs. tillräcklig behörighet, för att kunna utföra sina arbetsuppgifter på ett säkert sätt, utan att behörigheten blir mer omfattande än vad som är nödvändigt. Den personuppgiftsansvarige måste också se till att det finns rutiner för att ändra, ta bort och regelbundet följa upp behörigheter. På så sätt säkerställs att endast personer som har behov av personuppgifterna för sitt arbete har tillgång till dem.
För att verksamheten ska kunna kontrollera att behörigheterna används på ett korrekt sätt, föreslås det för det andra att åtkomsten till de uppgifter som har använts dokumenteras (loggas). För att möjliggöra åtkomstkontrollen måste loggarna sparas en viss tid. Kontrollen av loggarna behöver vara systematisk och återkommande i form av exempelvis stickprovskontroll. Åtkomstkontrollerna säkerställer att användare inte använder sina behörigheter på fel sätt genom att läsa, ändra eller ta bort information som de inte ska behandla.
Överväganden och förslag
För det tredje innebär förslaget att det ska finnas ett skydd mot obehörig åtkomst och att även detta skydd löpande kontrolleras. Skydd mot obehörig åtkomst säkerställs exempelvis genom att den ansvarige i verksamheten ser till att åtkomsten föregås av en så kallad stark autentisering. En etablerad metod för stark autentisering är att använda en e-legitimation. Den personuppgiftsansvarige kan därmed kontrollera om obehörig åtkomst har skett och i så fall om anmälan ska ske till behörig tillsynsmyndighet och även om den enskilde ska informeras om incidenten (artikel 33 och 34 i EU:s dataskyddsförordning).
Hur pass regelbundet kontrollerna ska göras måste bedömas utifrån verksamhetens omfattning, antalet personer med åtkomst, modellen för behörighetstilldelning och kontrollens omfattning. Målsättningen med kontrollen är både upptäckande och avhållande. Omfattningen av kontrollen måste därför vara i relation till antalet logghändelser och bör vara baserad på en riskanalys som vårdgivaren genomför. Vissa kategorier av personuppgifter kan kräva särskilda riskanalyser för att bestämma rimlig nivå av efterkontroll. Det kan exempelvis gälla skyddade personuppgifter som är sekretessmarkerade. IMY har i sitt remissvar över betänkandet poängterat att det för att kontrollerna ska vara effektiva krävs att antalet stickprovskontroller är proportionerliga i förhållande till antalet slagningar i systemen samt att kontrollerna är systematiska.
Förslagen gäller socialtjänstens verksamhet som framgår av 2 § SoLPUL. Det åligger den ansvarige att säkerställa att personalen har information om vilka regler som gäller.
Eftersom kommuner omfattas av förslagen, är det fråga om föreskrifter som enligt 8 kap. 2 § första stycket tredje punkten regeringsformen ska meddelas i lag. Det föreslås därför att en ny 10 § införs i SoLPUL. Den nya bestämmelsen föreslås föregås av en ny rubrik om tilldelning av behörighet för elektronisk åtkomst och kontroll av elektronisk åtkomst. Då villkoren för behörighetskontroll, dokumentation, kontroll och säkerhetsåtgärder kan behöva regleras på en mer detaljerad nivå för att möjliggöra anpassning till olika slags uppgifter och olika slags bedömningar av behoven av åtkomst, bedöms det vara lämpligt att riksdagen med stöd av 8 kap.3 och 10 §§regeringsformen delegerar föreskriftsrätten till regeringen eller den myndighet regeringen bestämmer. Förslaget innebär således att regeringen eller den myndighet som
Ds 2022:4 Överväganden och förslag
regeringen bestämmer får meddela närmare föreskrifter om behörighetsåtkomst, dokumentation och kontroll samt om särskilda säkerhetsåtgärder. Med stöd av bemyndigandet om särskilda säkerhetsåtgärder kan Socialstyrelsen exempelvis meddela föreskrifter om säker inloggning motsvarande de om stark autentisering som gäller för hälso- och sjukvården. Bemyndigandena föreslås framgå av nya punkter i 11 § SoLPUL.
5.2.5. Den enskilde ska informeras om personuppgiftsbehandling
Förslag: Regeringen eller den myndighet som regeringen
bestämmer ska ges rätt att meddela föreskrifter om vilken information som ska lämnas till den registrerade inför användning av digital teknik vid utförandet av insatser i form av hemtjänst eller särskilt boende för äldre.
Skälen för förslaget
En viktig del i att skapa tilltro till den digitala teknik som används inom äldreomsorgen är öppenhet och tydlig information till den enskilde om den digitala teknik som används, dess funktioner och informationshantering. Öppenhet är en av de grundläggande dataskyddsprinciperna i EU:s dataskyddsförordning, och de kompletteras av den grundlagsstadgade rätten att få ta del av handlingar hos socialtjänsten samt av rätten till partsinsyn enligt förvaltningslagen. Dessutom föreskriver dokumentationskravet i 11 kap. 6 § socialtjänstlagen att den enskilde bör hållas underrättad om de journalanteckningar och andra anteckningar som förs om honom eller henne samt att om den enskilde har en annan uppfattning så ska det också dokumenteras.
EU:s dataskyddsförordning lägger särskild tyngd vid den registrerades rätt att få information om personuppgiftsbehandling enligt artiklarna 12–15 samt möjligheter till rättelse, radering och begränsning, artiklarna 16–18. Medlemsstaterna har dock möjlighet att i nationell rätt införa bestämmelser som begränsar dessa rättigheter, under förutsättning att begränsningen sker med respekt
Överväganden och förslag
för andemeningen i de grundläggande rättigheterna och friheterna och utgör en nödvändig och proportionell åtgärd. En sådan begränsning får exempelvis ske i syfte att säkerställa en medlemsstats nationella mål av generellt allmänt intresse, däribland folkhälsa och social trygghet, artikel 23.1 e. För socialtjänstens del finns en sådan begränsning i 6 § tredje stycket SoLPUL, där den enskilde inte ges rätt att motsätta sig behandling av personuppgifter som är tillåten enligt SoLPUL.
Av EU:s dataskyddsförordning framgår bl.a. att den personuppgiftsansvarige ska lämna information självmant och på ett visst sätt. Den information som kommuniceras med den enskilde ska vara i en koncis, klar och tydlig, begriplig och lätt tillgänglig form, med användning av klart och tydligt språk. Informationen ska vara skriftlig och i vissa fall får även standardiserade symboler komplettera informationen. Information ska också lämnas på ett sätt som är begripligt för den vars personuppgifter ska registreras. Det innebär att informationens framställning kan behöva anpassas eller att den enskilde kan behöva extra stöd för att ges möjlighet att förstå informationen. Information ska ges om bl.a. namn och kontaktuppgift till personuppgiftsansvarig, ändamålet med personuppgiftsbehandlingen och den rättsliga grund som behandlingen har stöd av. För det fall det krävs för att säkerställa en rättvis, dvs. korrekt, och öppen behandling av personuppgifter ska även information om exempelvis hur länge uppgifterna lagras lämnas. Informationsskyldigheten ska också beaktas självmant av den personuppgiftsansvarige.
Bestämmelserna i EU:s dataskyddsförordning om information och rätt att få tillgång till personuppgifter gäller enligt 5 kap. 1 § dataskyddslagen inte uppgifter som den personuppgiftsansvarige inte får lämna ut till den registrerade enligt lag eller annan författning eller enligt beslut som meddelats med stöd av författning. Om den personuppgiftsansvarige inte är en myndighet, gäller undantaget för uppgifter som hos en myndighet skulle ha varit sekretessbelagda enligt OSL. I 26 kap. 5 § OSL finns viss begränsning av den enskildes rätt att ta del av uppgifter om sig själv, om det kan antas att fara uppkommer för att den som har lämnat uppgiften eller någon närstående till denne utsätts för våld eller lider annat allvarligt men om uppgiften röjs.
Ds 2022:4 Överväganden och förslag
I det fall den digitala tekniken har monitoreringsfunktion finns en kompletterande upplysningsskyldighet i 15 § kamerabevakningslagen. Den innebär att upplysning om kamerabevakning ska lämnas genom tydlig skyltning eller på något annat verksamt sätt samt att särskild upplysning också ska lämnas för det fall ljud kan avlyssnas eller tas upp vid bevakningen. Även om funktionen av sådan digital teknik som bygger på monitorering bör vara sådan att personen i bild inte kan identifieras och kamerabevakningslagen därmed inte är aktuell, se avsnitt 5.2.3, är det lämpligt att den enskilde får tydlig och begriplig information om monitoreringen och också annan teknik som används. Det är också lämpligt att andra som besöker den enskilde får upplysning om att digital teknik med hjälp av monitorering sker hos den enskilde. Det kan exempelvis ske genom dels tydlig skyltning i det område där monitoreringen sker, dels att informationsblad med förtydligande information finns tillgängligt på synlig plats, se Europaskyddsstyrelsens riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter, version 2.0, den 29 januari 2020, punkt 110 f.
Utifrån ovanstående bör det föreskrivas att den personuppgiftsansvarige ska informera den enskilde bl.a. om vem som tar del av de uppgifter som registreras och hur uppgifterna sparas och gallras när en insats utförs med hjälp av digital teknik. Även teknikens funktion bör beskrivas samt vilken typ av uppgifter den registrerar och behandlar. Vidare behöver den personuppgiftsansvarige på ett begripligt sätt beskriva vilka dataskyddsåtgärder som har vidtagits för att begränsa integritetsintrånget genom att säkerställa att inga onödiga uppgifter behandlas och att inga obehöriga tar del av uppgifter som samlas in, bl.a. genom teknikens inbyggda funktioner för uppgifts- eller lagringsminimering (privacy by design) eller genom användning endast av monitorering som registrerar kroppsvärme och inte skarpa bilder, se avsnitt 5.2.3. Föreskrifterna riktas till kommuner och är därmed föreskrifter som enligt 8 kap. 2 § första stycket tredje punkten regeringsformen ska meddelas i lag. Men då föreskrifterna i detalj bör utformas beroende på vilken funktion den digitala tekniken har och i vilket sammanhang den används, är det fråga om en förhållandevis detaljerad reglering som behöver kunna användas på ett situationsanpassat sätt. Med stöd av 8 kap.3 och 10 §§regeringsformen föreslås därför att regeringen eller den myndighet som regeringen bestämmer ska ges rätt att
Överväganden och förslag
meddela föreskrifter om vilken information som ska lämnas till den enskilde inför användningen av digital teknik i samband med insatser i form av hemtjänst eller särskilda boenden för äldre. Bemyndigandet föreslås införas som en ny punkt i 11 § SoLPUL.
Ds 2022:4 Överväganden och förslag
5.3. Sekretess
Bedömning: Det saknas behov av särskilda bestämmelser om
sekretess för att tillgodose kraven på konfidentialitet i EU:s dataskyddsförordning när insatser ges med digital teknik.
Skälen för bedömningen
I avsnitt 5.2.2 har det konstaterats att det finns tillämpliga bestämmelser om sekretess i OSL respektive socialtjänstlagen som tillgodoser kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning. Nedan följer en närmare beskrivning av relevanta sekretessbestämmelser när socialtjänsten använder digital teknik i samband med att insatser inom äldreomsorgen utförs.
Allmänt om sekretess och tystnadsplikt
Sekretess definieras som ett förbud att röja en uppgift, vare sig det sker muntligen eller genom att lämna ut en allmän handling, eller på annat sätt, 3 kap. 1 § OSL. Förbudet gäller för myndigheten som har att tillämpa sekretessen och dess personal, 2 kap. 1 § OSL. Förbudet att röja en sekretessbelagd uppgift gäller enligt 8 kap. 1 § i förhållande till enskilda eller för andra myndigheter, om det inte framgår av OSL eller i lag eller förordning som OSL hänvisar till att ett röjande får ske.
Kommunala företag där kommuner eller region utövar ett rättsligt bestämmande inflytande jämställs med myndigheter, 2 kap. 3 § OSL. För enskild (icke offentlig) verksamhet finns bestämmelser som föreskriver tystnadsplikt inom olika verksamheter där man behandlar sådana personuppgifter som typiskt sett är av känslig natur.
Sekretess råder således mellan olika myndigheter, men även mellan olika verksamhetsgrenar inom samma myndighet när de är att betrakta som självständiga i förhållande till varandra, 8 kap. 2 § OSL. Sekretess gäller därför som huvudregel mellan nämnder inom en kommun eller en region.
Ett röjande sker när en uppgift eller allmän handling som omfattas av sekretess lämnas ut eller uppgifterna berättas vidare.
Överväganden och förslag
Hur röjandet sker saknar betydelse, varje form av röjande omfattas av förbudet (prop. 1979/80:2 Del A, s. 119 f.). Syftet med röjandeförbudet är att skydda den sekretessbelagda uppgiften från att spridas utanför den aktuella verksamheten.
Vid en sekretessprövning görs en bedömning av den skada eller det men, dvs. den olägenhet som uppstår om uppgifterna skulle lämnas ut i det aktuella fallet. För att en person ska anses lida skada eller men krävs att uppgifterna är hänförliga till personen. Avidentifierade uppgifter kan därför som regel lämnas ut utan hinder av sekretess (prop. 1979/80:2 Del A s. 84).
Sekretess för personuppgifter
I 21 kap. 7 § OSL finns en bestämmelse om sekretess för personuppgift i de fall det kan antas att mottagaren efter utlämningen av personuppgiften kommer att behandla den i strid med EU:s dataskyddsförordning, dataskyddslagen eller lagen (2003:460) om etikprövning av forskning som avser människor. Vid bedömningen av om den kommande personuppgiftsbehandlingen kan stå i strid med dessa dataskyddsregler, får enligt förarbetena till dataskyddslagen undersökningar om mottagarens personuppgiftsbehandling endast vidtas om det finns konkreta omständigheter som indikerar att mottagaren kommer att behandla uppgifterna på ett sätt som strider mot dataskyddsregleringen, t.ex. massuttag eller selekterade uttag (jfr JO:s uttalanden i dnr 1102-2004), prop. 2017/18:105 s. 135 f. Finns det inga sådana indikationer behöver inte någon bedömning enligt dataskyddsregleringen göras.
Bestämmelsen är generellt tillämpbar för alla myndigheter vid utlämning av personuppgifter, oavsett i vilket sammanhang personuppgifterna förekommer. Den är således tillämplig även vid prövning av utlämnande inom socialtjänstens verksamhet.
Socialtjänstens sekretess
Inom socialtjänsten gäller sekretess för uppgift om enskilds personliga förhållanden om det inte står klart att uppgiften kan röjas utan att den enskilde eller närstående lider men, 26 kap. 1 § OSL. Det rör sig om ett s.k. omvänt skaderekvisit, vilket innebär en
Ds 2022:4 Överväganden och förslag
presumtion för sekretess. Bestämmelsen ger alltså ett starkt sekretesskydd. Inom socialtjänsten finns således en presumtion för sekretess, vilket ger ett starkt sekretesskydd.
Med begreppet socialtjänst i 26 kap. 1 § OSL förstås huvudsakligen verksamhet enligt socialtjänstlagen. Verksamheten behöver inte bestå i handläggning av ett ärende, utan kan utgöras av rent faktisk verksamhet. Sekretessen omfattar bl.a. handlingar och uppgifter i övrigt som gäller uppsökande verksamhet, social hemhjälp, kontaktverksamhet, vård och behandling vid kommunernas och regionernas institutioner såsom exempelvis särskilt boende för äldre samt över huvud taget social service och socialt bistånd som lämnas av en socialnämnd. Också kommunal hälso- och sjukvård tillhör i sekretesshänseende samma verksamhetsområde som den kommunala socialtjänsten (prop. 1990/91:14 s. 84). Att tillhandahålla en hemtjänstinsats eller insats i särskilt boende för äldre omfattas således av begreppet socialtjänst även när insatsen tillhandahålls med hjälp av digital teknik, eftersom insatsen är en del av den verksamhet som följer enligt socialtjänstlagen. Inom enskild verksamhet i socialtjänsten finns bestämmelser om tystnadsplikt i 15 kap.1 och 2 §§socialtjänstlagen. Tystnadsplikten innebär ett förbud för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet enligt socialtjänstlagen att obehörigen röja vad han eller hon därvid har fått veta om enskildas personliga förhållanden.
Begreppet personliga förhållanden ska enligt förarbetena till OSL tolkas utifrån vanligt språkbruk och kan avse en mängd olika uppgifter. Allt från uppgifter om en psykisk sjukdom till uppgifter om en enskilds namn, adress och ekonomi omfattas (prop. 1979/80:2 Del A, s. 84). Uppgifter om enskilds personliga förhållanden kan vara personuppgifter i den mening som avses i EU:s dataskyddsförordning.
Utlämnande av uppgifter
Allmänna handlingar ska på begäran av en enskild lämnas ut efter sekretessprövning, 2 kap. 15 § tryckfrihetsförordningen. Även uppgifter ur en allmän handling ska som regel lämnas ut till en enskild efter sekretessprövning, 6 kap. 4 § OSL. Sekretess-
Överväganden och förslag
prövningen innebär en bedömning av om och i vilken omfattning sekretess föreligger. Den innebär också en bedömning av om det i det enskilda fallet finns grund för att bryta eventuell sekretess, t.ex. att den person som sekretessen ska skydda samtycker till att den lämnas ut eller att uppgiften lämnas ut på grund av en uppgiftsskyldighet (se 10 kap. 1 §, 12 kap. 2 § och 10 kap. 28 § OSL). Ett utlämnande med stöd av sekretessbrytande grund utgör inte ett otillåtet röjande.
Utgångspunkten är att den enskilde disponerar över sekretess som gäller till skydd för honom eller henne. Det innebär att den enskilde själv kan bestämma att uppgifter kan lämnas ut till exempelvis en annan myndighet, dvs. att sekretesskyddet efterges, 12 kap. 2 § OSL. Således kan en enskild lämna sitt samtycke till att en sekretesskyddad uppgift lämnas till en annan person eller myndighet.
Sekretessen gäller inte enbart i förhållande till enskilda utan också i förhållande till andra myndigheter och mellan olika verksamhetsgrenar inom samma myndighet som är att betrakta som självständiga i förhållande till varandra, 8 kap. 1 och 2 §§ OSL. För att sekretessskyddade uppgifter ska få överföras mellan myndigheter utan att den enskilde samtycker till det genom eftergift, krävs att det finns bestämmelser som bryter sekretessen mellan myndigheterna, 8 kap. 1 § OSL. Dessa bestämmelser måste finnas i OSL eller i lag eller förordning som OSL hänvisar till. För socialtjänstens del finns det sådana bestämmelser i 26 kap. 8–10 §§ OSL i fråga om uppgift om faderskap, ärenden eller genomförande av beslut avseende insatser för barn, missbrukare och psykiskt sjuka samt enskilda aktörers verksamhet inom lagen om stöd och service till vissa funktionshindrade. Det är inte möjligt att överföra uppgifter som omfattas av socialtjänstsekretessen till en annan myndighet med stöd av generalklausulen, 10 kap. 27 § andra stycket.
När det gäller personuppgifter i allmänna handlingar tillämpas inte EU:s dataskyddsförordning och dataskyddslagen i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, 1 kap. 7 § dataskyddslagen. Bestämmelsen bygger på artikel 86 i EU:s dataskyddsförordning som möjliggör vissa undantag för offentlighetsprincipen om utlämning är fastställd i nationell rätt, då allmänhetens rätt att få tillgång till handlingar betraktas som ett allmänt intresse. Allmän-
Ds 2022:4 Överväganden och förslag
hetens rätt att ta del av allmänna handlingar måste dock sammanjämkas med rätten till skydd av personuppgifter, se även skäl 154.
Det behövs inte några ytterligare bestämmelser om sekretess
I 26 kap. OSL finns bestämmelser om sekretess och tystnadsplikt till skydd för integritetskänsliga uppgifter inom socialtjänstens verksamhet. Flera av sekretessreglerna skyddar uppgifter om personers hälsa och andra personliga förhållanden, dvs. uppgifter som i många fall också är personuppgifter i den mening som avses i EU:s dataskyddsförordning. I många fall rör det sig om sådana känsliga personuppgifter om hälsa som beskrivits i avsnitt 5.2.2. För enskild verksamhet gäller sekretess enligt 15 kap. 1 § socialtjänstlagen. Förslaget till förtydligande av socialtjänstlagen kommer att omfattas av gällande sekretess för socialtjänsten. När de anställda inom verksamheten genomför en socialtjänstinsats med hjälp av digital teknik, och i samband med det behandlar personuppgifter om hälsa, sker det i syfte att utföra en lagstadgad uppgift att tillhandahålla social omsorg. Den sekretess som gäller för socialtjänsten vid genomförandet av insatsen i fråga uppfyller kravet på tystnadsplikt i artikel 9.3 i EU:s dataskyddsförordning och någon ytterligare bestämmelse behövs därför inte med anledning av förslaget.
6. Ikraftträdande
Förslag: De föreslagna lagändringarna ska träda i kraft den 1 juli
2023.
Bedömning: Några övergångsbestämmelser behövs inte.
Skälen för förslaget och bedömningen: Mot bakgrund av den
ökade användningen av digital teknik inom äldreomsorgen är det angeläget att i lag reglera denna användning, särskilt vad gäller behandlingen av personuppgifter. Samtidigt är det viktigt att kommunerna får tillräckligt med tid för att ställa om system för att anpassa sin verksamhet. Detta gäller särskilt kraven på behörighet för åtkomst till uppgifter om enskilda. De föreslagna lagändringarna föreslås därför träda i kraft den 1 juli 2023.
Några övergångsbestämmelser bedöms inte behövas.
7. Konsekvenser
7.1. Konsekvenser
I detta avsnitt redogörs för förslagens effekter i den omfattning som bedöms lämplig i det aktuella lagstiftningsärendet.
7.1.1. Förslaget om lagstöd i socialtjänstlagen för användning av digital teknik
I denna promemoria föreslås att det i socialtjänstlagen ska införas en bestämmelse som tydliggör att socialnämnden får använda digital teknik när bistånd ges i form av hemtjänst eller boende i särskilda boendeformer för äldre. Förslaget berör i huvudsak äldre men begränsar inte användningen av digital teknik när det gäller andra än äldre som har hemtjänst.
Bestämmelsen riktar sig till socialtjänstens insatser inom äldreomsorgen. Bestämmelsen ökar rättssäkerheten för alla användare genom att skapa tydligare förutsättningar för när digital teknik får användas inom äldreomsorgen.
7.1.2. Förslag om stärkt informationssäkerhet inom socialtjänsten
I promemorian föreslås nya och ändrade bestämmelser i lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, förkortad SoLPUL, som syftar till att konkretisera vad som krävs för en god informationssäkerhet inom socialtjänsten. Bestämmelserna motsvarar i allt väsentligt vad som gäller för informationssäkerhet hos vårdgivare enligt 4 kap.2 och 3 §§patientdatalagen (2008:355) och förtydligar vad som redan får anses
Konsekvenser
följa av artikel 32 i EU:s dataskyddsförordning om säkerhet i samband med behandlingen, där det bl.a. framgår att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Tanken är även att möjliggöra för den myndighet som regeringen bestämmer att ta fram bindande föreskrifter om informationssäkerhet som så långt det är möjligt och lämpligt överensstämmer med vad som idag gäller för hälso- och sjukvården.
7.2. Situationen idag
Regeringen har årligen sedan 2014 gett Socialstyrelsen i uppdrag att följa utvecklingen av användningen av e-hälsa och välfärdsteknik i kommunerna. Av Socialstyrelsens uppföljning för 2021 framgår att 76 procent av kommunerna i en enkätundersökning uppger att de använder digital nattillsyn för äldre personer som bor kvar i sitt eget boende. Cirka 62 procent av kommunerna uppger att de erbjuder gps-larm inom äldreomsorgen.
Samma rapport redogör också för kommunernas användning av stark autentisering vid inloggning i verksamhetssystemen. Inom myndighetsutövningen har det varit en positiv utveckling sedan 2015, då allt fler handläggare använder en stark autentisering. Andelen kommuner där handläggande personal inom äldreomsorgen använder en stark autentisering vid inloggning i verksamhetssystemen var 83 procent 2021. Andelen kommuner där socialtjänstpersonalen i utförarverksamheterna inom äldreomsorgen använder stark autentisering för inloggning var betydligt lägre men har ökat de senaste åren. I omkring 45 procent av kommunerna använder personalen i utförande verksamheter inom äldreomsorgen stark autentisering när de loggar in i verksamhetssystemen.
7.3. Finansieringsprincipen bedöms inte tillämplig
Förslaget som förtydligar kommunernas möjlighet att använda digital teknik inom äldreomsorgen innebär inte att kommunerna åläggs några nya uppgifter.
Ds 2022:4 Konsekvenser
Vad gäller de föreslagna ändringarna i SoLPUL görs följande bedömning. Även om det inte funnits lika uttryckliga regler för socialtjänsten finns ett bindande regelverk på dataskyddsområdet som föreskriver att den som behandlar personuppgifter ska skydda personuppgifterna, så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs. Promemorians förslag skärper inte kraven i förhållande till vad som gäller enligt dataskyddsförordningen utan tydliggör endast vad som krävs för att leva upp till kraven. Förslagen innebär inte någon skärpning jämfört med vad som ändå redan får anses gälla i fråga om informationssäkerhet till följd av artikel 32 i dataskyddsförordningen. Det kan således inte sägas vara fråga om en sådan ambitionshöjning som medför att finansieringsprincipen blir tillämplig.
7.3.1. Konsekvenser för kommunerna
Förslaget om att i socialtjänstlagen reglera användningen av viss välfärdsteknik är ett förtydligande och stöd för kommunerna att använda den teknik som används redan idag. Syftet är i huvudsak att författningsreglera användning av välfärdsteknik. Användningen av välfärdsteknik bedöms öka effektiveten och resursanvändningen för kommunerna vilket är positivt med tanke på den demografiska utvecklingen.
Förslagen bedöms inte påverka den kommunala självstyrelsen.
7.3.2. Konsekvenser för sysselsättningen
Promemorians förslag syftar till att främja användningen av välfärdsteknik vilket kan effektivisera verksamheter genom att antalet arbetstimmar kan minska. I SOU 2020:14 hänvisas till SKR:s uppgift att användningen av välfärdsteknik (i förening med förändrade arbetssätt) kan minska behovet av nyrekrytering till äldreomsorgen med cirka 70 000 personer de närmaste åren. Det beror i huvudsak på att antalet arbetstimmar kan minska. Samtidigt förväntas mycket stora rekryteringsbehov framöver inom välfärdens verksamheter, i synnerhet inom äldreomsorgen. Behovsökningen är störst bland undersköterskor och vårdbiträden. Ökade behov och pensionsavgångar medför sammantaget att det behöver rekryteras så
Konsekvenser
mycket som 136 000 undersköterskor och vårdbiträden fram till 2026.
Mot bakgrund av de förväntade behoven av nyrekrytering av i synnerhet omsorgspersonal inom äldreomsorgen är bedömningen att sådana effektiviseringar som uppstår vid användning av välfärdsteknik i kombination med förändrade arbetssätt inte kommer att leda till uppsägningar. Efterfrågan på personal till äldreomsorgen kommer att vara fortsatt stor under överskådlig framtid. Flera av förslagen bör bidra till att skapa bättre förutsättningar för kompetensförsörjningen i hela landet.
7.3.3. Konsekvenser för den personliga integriteten
Genom den föreslagna bestämmelsen i 4 kap. 2 c § socialtjänstlagen blir det tydligt att det är tillåtet att använda digital teknik i äldreomsorgen. Användningen av kameratillsyn och gps-larm ökar den personliga friheten och tryggheten för de äldre som väljer att använda dessa. Även förslagen i SoLPUL bedöms påverka den personliga integriteten positivt på så sätt att personuppgifter behandlas rättssäkert. Bestämmelserna konkretiserar de allmänna krav på informationssäkerhet som framgår av den tvingande regeln i artikel 32 i dataskyddsförordningen. Målet är att fler personer ska erbjudas välfärdsteknik än idag genom exempelvis kameratillsyn, läkemedelsrobotar och gps-larm. Därmed kommer fler känsliga personuppgifter att behandlas av utförare inom äldreomsorgen. Med den nu föreslagna regleringen i SoLPUL bedöms det emellertid inte finnas någon mer påtaglig risk för att personuppgifterna sprids till obehöriga eller behandlas för otillåtna ändamål. I synnerhet gäller detta om informationssäkerhetsarbetet förbättras. Avvägningarna beskrivs närmare i avsnitt 5.2.4.
Sammanfattningsvis bedöms förslagen som helhet stärka skyddet för den personliga integriteten genom att tydliggöra under vilka förutsättningar som digital teknik får användas och genom att möjliggöra för den myndighet som regeringen bestämmer att utfärda föreskrifter om informationssäkerhet som ska motsvara den nivå som gäller för hälso- och sjukvården idag.
Ds 2022:4 Konsekvenser
7.3.4. Konsekvenser för miljön
Välfärdsteknik, som t.ex. kameratillsyn, minskar markant behovet av transporter, främst med bil, och därmed utsläpp av växthusgaser och miljöfarliga ämnen. Hur mycket transporterna kan minska varierar från kommun till kommun bl.a. beroende på de berörda individernas behov av aktiva insatser från hemtjänsten och på geografin. I Socialstyrelsens rapport Välfärdsteknik, En studie av användningen av trygghetskameror och gps-larm i 12 kommuner (2018) framkommer att användningen av trygghetskameror minskar bilkörningen. Resultatet bygger dock på ett litet underlag.
Förslagen bedöms inte få några negativa konsekvenser för miljön.
7.3.5. Konsekvenser för jämställdheten
En övervägande majoritet av dem som är sysselsatta inom äldreomsorgen är kvinnor. Sannolikt berörs därför fler kvinnor än män av promemorians förslag.
Andelen sjukskrivna inom äldreomsorgen är jämförelsevis hög, vilket åtminstone delvis kan sättas i samband med brister i arbetsmiljön. Användningen av digital teknik kan förväntas bidra till en bättre arbetsmiljö, om en noggrann behovsanalys gjorts där personalen involverats och behovet av kompetensutveckling beaktats i tillräcklig utsträckning. Vidare är kvinnor i majoritet bland äldre som tar emot vård och omsorgsinsatser.
Förslagen bedöms inte få några direkta konsekvenser för jämställdheten, i vart fall inte i negativ riktning.
7.3.6. Konsekvenser för företag
Liksom i kommunernas socialtjänst hanterar vård- och omsorgsföretagen digital teknik och information om enskilda personer. Som helhet bör förslagen varken gynna eller missgynna företag. Enligt Socialstyrelsens årliga undersökning av e-hälsa och välfärdsteknik i kommunerna 2021 ser det olika ut när det gäller vilka krav som kommunerna ställer på privata utförare vid användandet av digital teknik. I flera kommuner ska privata utförare använda den teknik som kommunen tillhandahåller och följa kommunens riktlinjer.
Konsekvenser
Kravet på teknik är kopplat till brukaren som väljer vilken teknik som ska användas. När det gäller förslagen till lagändringar i SoLPUL om informationssäkerhet och eventuellt efterföljande föreskrifter kan dessa, på samma sätt som för kommuner, tänkas innebära högre kostnader för den som inte uppfyller grundläggande krav i fråga om informationssäkerhet. Enligt Socialstyrelsens årliga undersökning av e-hälsa och välfärdsteknik i kommunerna 2019 var det ovanligt med stark autentisering hos de granskade företagen. Personalen loggar som regel in i verksamhetssystemen med användarnamn och ett personligt lösenord som byts med jämna mellanrum. Det förekommer också att personal använder inloggning med stark autentisering genom exempelvis lösenord på ett lösenordskort, en kod som skickas via sms eller SITHS-kort. I motsvarande rapport för 2021 framgår att en övervägande majoritet av de kommuner som ingick i en intervjuundersökning kräver att privata utförare använder säkra inloggningar i verksamhetssystem och andra system.
Sammanfattningsvis finns det ett behov av förbättringar av informationssäkerheten hos de privata utförarna av omsorg. Liksom för kommunerna kan det konstateras att dataskyddsförordningens regler är direkt tillämpliga redan idag, men reglerna är inte helt tydliga. En fördel med lagkrav på vad som ska gälla, jämfört med att det är avhängigt vad som kravställs vid upphandling, är att villkoren blir desamma för alla utförare.
7.3.7. Konsekvenser för anhöriga
Att som anhörig ge vård och omsorg ska vara ett frivilligt åtagande och anhöriga ska vara trygga med att den omsorg som samhället erbjuder är av god kvalitet. Den omsorg som utförs av anhöriga är dock omfattande. Nästan var femte person i Sverige vårdar, hjälper eller stöder regelbundet en närstående som är långvarigt fysiskt eller psykiskt sjuk, som är äldre eller som har en funktionsnedsättning. Anhörigomsorg är vanligare inom grupper med lägre inkomst och bland utrikesfödda. De flesta informella vårdgivare är kvinnor.
Även om situationen ger tillfredsställelse för många anhöriga leder det också till att de anhöriga upplever mer ohälsa, att situationen är psykiskt påfrestande och att deras sociala liv är mer
Ds 2022:4 Konsekvenser
begränsat. Välfärdsteknik och då i synnerhet gps-larm har visat sig mycket värdefulla i ett anhörigperspektiv.
Förslagen bedöms inte få några direkta konsekvenser för anhöriga, i vart fall inte i negativ riktning.
7.3.8. Övriga konsekvenser
Förslagen bedöms inte ha några konsekvenser för offentlig service i olika delar av landet eller för möjligheterna att nå de integrationspolitiska målen. Förslagen bedöms vara förenliga med EU-rätten.
8. Författningskommentar
8.1. Förslaget till lag om ändring i socialtjänstlagen (2001:453)
4 kap.
2 c § Digital teknik får användas när bistånd ges i form av hemtjänst eller boende i en sådan boendeform som avses i 5 kap. 5 § andra och tredje styckena. Den digitala tekniken får bara användas utanför den mänskliga kroppen.
Paragrafen, som är ny, slår fast att digital teknik får användas inom socialtjänsten när bistånd ges i form av hemtjänst eller boende i särskilda boendeformer för äldre under förutsättning att tekniken bara används utanför den mänskliga kroppen.
Med digital teknik avses tekniska verktyg, system och programvaror som finns digitalt, t.ex. trygghetslarm med gps-funktion, läkemedelsrobotar och kamera för tillsyn i bostaden. Bestämmelsen medger att digital teknik både kan beviljas som en specifik biståndsinsats i sig, t.ex. i form av trygghetslarm med gps-funktion, och att digital teknik kan användas inom ramen för verkställigheten av ett beslut om bistånd i form av hemtjänst eller plats i särskilt boende.
Både hemtjänst och boende i särskilda boendeformer för äldre kan ges av antingen socialnämnden eller av en privat aktör som kommunen slutit avtal med. Begreppet hemtjänst är inte närmare preciserat i socialtjänstlagen men innefattas i socialnämndens skyldighet enligt 5 kap. 5 § att ge äldre, som behöver det, stöd och hjälp i hemmet och annan lättåtkomlig service. Hemtjänstinsatserna ska underlätta den dagliga livsföringen och i många fall också göra det möjligt för den enskilde att bo kvar i det egna hemmet. Hemtjänsten kan allmänt sett indelas i uppgifter av servicekaraktär och uppgifter som mer inriktas mot personlig omvårdnad. Med serviceuppgifter kan avses bl.a. praktisk hjälp med hemmets skötsel.
Författningskommentar
Med personlig omvårdnad avses de insatser som därutöver behövs för att tillgodose fysiska, psykiska och sociala behov. Det kan handla om hjälp för att kunna äta och dricka, klä sig och förflytta sig, sköta personlig hygien och i övrigt insatser för att bryta isolering och för att känna trygghet och säkerhet i det egna hemmet. (prop. 1996/97:124 s. 88.)
Enligt 5 kap. 5 § andra stycket ska kommunen inrätta särskilda boendeformer för service och omvårdnad för äldre människor som behöver särskilt stöd. Ett särskilt boende kännetecknas av krav på att bostaden ska vara utformad och utrustad så att den boende kan fortsätta leva ett så självständigt liv som möjligt samt krav på att de tjänster som den enskilde behöver ska kunna ges under alla tider på dygnet. Ytterligare ett uttalat krav är att det ska finnas tillgång till personal som dels kan bedöma när social eller medicinsk vård krävs, dels också svara för att sådan ges. I begreppet särskilt boende enligt 5 kap. 5 § andra stycket omfattas även platser för korttidsvård eller korttidsboende (prop. 2005/06:115 s. 75). Den boendeform som regleras i 5 kap. 5 § tredje stycket är s.k. biståndsbedömt trygghetsboende. Det är en form av särskilda boenden för den grupp äldre som inte har så omfattande omsorgsbehov att heldygnsvård är nödvändig för att tillgodose den enskildes behov, men som däremot bedöms behöva få ökad trygghet och gemenskap med andra, när kvarboende i ordinärt boende inte längre upplevs tryggt. Denna form av särskilt boende bör t.ex. kunna erbjuda gemensamma måltider, kulturella aktiviteter och umgänge för att öka tryggheten och tillgodose behovet av gemenskap hos äldre (prop. 2017/18:273 s. 56). Exempel på sådan digital teknik som får tillhandahållas inom hemtjänsten och i särskilda boendeformer för äldre är trygghetslarm med GPS-funktion, läkemedelsrobotar och kamera för tillsyn i bostaden.
Enligt bestämmelsen får den digitala tekniken bara användas utanför den mänskliga kroppen. Det innebär att tekniken ska vara en fristående teknisk enhet utanför kroppen. Exempel på sådan teknik är skosulor eller klockor med gps-teknik. Exempel på digital teknik som används inuti den mänskliga kroppen och som därmed inte omfattas av bestämmelsen är t.ex. pacemaker, cochleaimplantat och vissa blodsockermätare.
Övervägandena finns i avsnitt 5.1.1.
Ds 2022:4 Författningskommentar
Ikraftträdandebestämmelse
Denna lag träder i kraft den 1 juli 2023.
Av ikraftträdandebestämmelsen framgår att bestämmelsen ska träda i kraft den 1 juli 2023.
Övervägandena finns i avsnitt 6.
8.2. Förslaget till lag om ändring av lagen (2001:454) om behandling av personuppgifter inom socialtjänsten
9 § Om den digitala teknik som används vid insatser enligt 4 kap. 2 c § socialtjänstlagen (2001:453) har funktioner som möjliggör monitorering, sensorering eller positionering av den registrerade, ska den personuppgiftsansvarige säkerställa att
1. endast de personuppgifter som är nödvändiga för att uppnå syftet med användningen av tekniken behandlas, och att
2. insamlade personuppgifter inte sparas under längre tid än vad som är nödvändigt för att uppnå det ändamål, för vilket uppgifterna samlades in.
Paragrafen är ny och reglerar vissa krav på dataskyddsåtgärder när den digitala teknik som används med stöd av 4 kap. 2 c § socialtjänstlagen (2001:453) har funktioner som möjliggör monitorering, sensorering eller positionering. Enligt 4 kap. 2 c § socialtjänstlagen får socialnämnden använda digital teknik när bistånd ges i form av hemtjänst eller boende i en sådan boendeform som avses i 5 kap. 5 § andra och tredje styckena socialtjänstlagen.
Med monitorering avses en teknisk funktion som innebär att uppgifter om var den enskilde är och hur denne rör sig kan uppfattas visuellt, t.ex. en kamera. Med sensorering avses en teknisk funktion som innebär att uppgifter om den enskildes rörelser eller massa samlas in, t.ex. en matta som känner av en viss tyngd över en viss yta. Med positionering avses en teknisk funktion hos digital teknik som innebär att uppgifter om var den enskilde befinner sig samlas in, t.ex. en inbyggd gps-funktion i en klocka.
Bestämmelsen gäller den personuppgiftsansvarige, vilket för en kommunal verksamhet är den kommunala myndigheten, 11 §
Författningskommentar
förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, och för enskild verksamhet är den juridiska eller fysiska person som ansvarar för verksamheten, 17 § förordningen om behandling av personuppgifter inom socialtjänsten.
Enligt paragrafens första punkt ska endast de personuppgifter som är nödvändiga för att uppnå syftet med användningen av tekniken i fråga behandlas. Kravet på att behandlingen ska vara nödvändig för syftet innebär inte att behandlingsåtgärden måste vara oundgänglig. Behandlingen kan även anses vara nödvändig om den leder till effektivitetsvinster (prop. 2017/18:105 s. 46 f.). Bestämmelsen innebär att uppgiftsminimering ska säkerställas, dvs. att endast de uppgifter som är nödvändiga för att utföra insatsen enligt 4 kap. 2 c § socialtjänstlagen ska behandlas. Exempel på sådana funktioner är automatisk maskering av bildmaterial eller automatisk aktivering av viss typ av ljud. Ett annat exempel är att använda en kamera som utför monitorering med hjälp av infraröd strålning i stället för synligt ljus, s.k. värmekamera. Andra exempel på uppgiftsminimering är att vid positionering endast registrera var den enskilde befinner sig utan att samtidigt mäta puls eller hjärtslag.
Däremot innebär det inte att den personuppgiftsansvarige ska behöva beställa exempelvis en specialbyggd kamera med särskilda monitoreringsfunktioner utöver vad som normalt är inbyggt i kameratekniken.
Om en digital teknisk lösning med monitoreringsfunktion används i en biståndsinsats utan att lämpliga tekniska eller organisatoriska åtgärder säkerställer att den enskilde inte kan identifieras genom monitoreringsfunktionen, behöver den personuppgiftsansvarige beakta kamerabevakningslagens (2018:1200) bestämmelser om personbevakning, 3 § första punkten kamerabevakningslagen. Av prop. 2017/18:231 s. 21 följer att personövervakning sker när personer kan identifieras genom övervakningen, vilket innefattar bedömning av om ansikte, utmärkande klädsel, speciella kroppsrörelser eller särskild kroppskonstitution kan möjliggöra identifiering. Även kamerabevakningslagens bestämmelser om upplysning om kamerabevakning (15 §), förhandlingsskyldighet med arbetstagarorganisationer (21 §), och tystnadsplikt avseende det inspelade materialet (22 §) behöver beaktas för det fall kamerabevakningslagens bestämmelser om personbevakning är tillämpliga.
Ds 2022:4 Författningskommentar
Enligt andra punkten ska de personuppgifter som samlas in i samband med användning av digital teknik inte sparas under längre tid än vad som är nödvändigt för att uppnå det ändamål, för vilket uppgifterna i fråga samlades in. Lagringsminimering kan uppnås genom att utnyttja inbyggda begränsningsfunktioner i tekniken på ett sådant sätt, att uppgifter inte sparas längre än vad som är nödvändigt eller att säkerställa att rutiner för gallring efterlevs. Inte heller i detta avseende ska lagringsbegränsningen förstås som att personuppgiftsbehandling och lagring endast är tillåten i de fall då det bedöms vara oundgängligt för att uppnå ändamålet med behandlingen i fråga.
Övervägandena finns i avsnitt 5.2.3.
10 § Den som bedriver verksamhet inom socialtjänsten ska
1. bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat,
2. se till att åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras, och
3. göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter om enskilda som färs helt eller delvis automatiserat.
Behörigheten enligt första stycket 1 ska begränsas till vad som behövs för att personen ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten.
Paragrafen är ny och reglerar säkerhetsåtgärder i syfte att begränsa obehörigas åtkomst till uppgifter om enskilda inom socialtjänsten. Paragrafen har 4 kap.2 och 3 §§patientdatalagen (2008:355) som förebild (jfr prop. 2007/08:126 s. 239 f.). Uppgifter om enskild innefattar även uppgifter om avlidna personer. Av 2 § framgår att med socialtjänst avses bl.a. verksamhet enligt socialtjänstlagen. För en kommunal verksamhet är personuppgiftsansvarige den kommunala myndigheten, 11 § förordningen om behandling av personuppgifter inom socialtjänsten, och för enskild verksamhet är personuppgiftsansvarige den juridiska eller fysiska person som ansvarar för verksamheten, 17 § förordningen om behandling av personuppgifter inom socialtjänsten.
Enligt första stycket första punkten ska den som bedriver verksamhet inom socialtjänsten bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat. Det innebär att den som bedriver
Författningskommentar
verksamhet därmed ska bestämma villkoren för tilldelning också av sådan behörighet. Med åtkomst avses åtkomst till uppgifter som behandlas inom den egna organisationen. Bestämmelsen innebär att den verksamhetsansvarige ska göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Då villkoren för behörighetstilldelning bestäms måste också riskanalyser göras. Vid utformning av behörighetssystem måste de grundläggande principerna för behandling av personuppgifter i artikel 5 i EU:s dataskyddsförordning beaktas. I stora, brett tillgängliga system ska normalt olika behörighetsnivåer för personalen finnas. Mer känsliga uppgifter får inte vara lika enkelt åtkomliga för personalen som mindre känslig information. Det ingår i varje omsorgsgivares ansvar att se till att alla anställda får full information om behörighetsreglerna. Behörighetstilldelningen bör åtföljas av tekniska begränsningar, så att den som inte har behörighet att ha tillgång till vissa uppgifter inte heller har teknisk möjlighet att komma åt dessa. Behörigheter måste också följas upp och ändras efter hand som ändringar i befattningshavarens arbetsuppgifter ger anledning till det.
Av första stycket andra punkten följer att den som bedriver verksamhet inom socialtjänsten är skyldig att se till att all åtkomst till uppgifter om enskilda dokumenteras och kontrolleras. Det gäller både den egna personalens åtkomst och den åtkomst som bereds andra. Om det är möjligt att få åtkomst till personuppgifter som behandlas helt eller delvis automatiserat via öppna nät som internet eller molntjänst behöver identiteten av den som bereder sig åtkomst säkerställas. Det kan ske genom exempelvis stark autentisering. Åtkomstkontroller ska även göras för att säkerställa att användare inte använder sina behörigheter på fel sätt genom att läsa, ändra eller ta bort uppgifter som de inte ska behandla. Exempel på en felaktig åtkomst kan vara att någon öppnar den enskildes dokumentation trots att han eller hon inte har med den enskilde att göra. För att den personuppgiftsansvarige ska kunna kontrollera att behörigheterna används på ett korrekt sätt måste åtkomsten till personuppgifter dokumenteras (loggas). Av loggarna ska framgå användarens identitet och vid vilken tidpunkt som åtgärderna vidtagits. Loggarna måste sparas en tid för att möjliggöra kontroll. Systematiska och återkommande stickprovskontroller av loggarna behöver göras och
Ds 2022:4 Författningskommentar
antalet stickprovskontroller ska vara proportionerliga i förhållande till antalet slagningar som görs i systemet. Det räcker inte att bara göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppgiftskontroller ska göras systematiskt och fortlöpande oberoende av misstanke.
Den som bedriver verksamheten är, enligt första stycket tredje
punkten, även skyldig att göra systematiska och återkommande
kontroller av om någon obehörigen kommer åt uppgifterna. Det räcker alltså inte att bara göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Kontrollerna ska göras systematiskt och fortlöpande oberoende av misstanke.
Enligt andra stycket ska behörigheten för åtkomst till sådana uppgifter om enskilda som förs helt eller delvis automatiserat begränsas till vad som behövs för att den enskilde medarbetaren ska kunna fullgöra sina arbetsuppgifter inom socialtjänsten. Det innebär att en den som ansvarar för verksamhet inom socialtjänsten ska göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter inom socialtjänsten behöver. Det gäller för den del av befattningshavarens arbetsuppgifter som avser behandling av personuppgifter för att ansvara för eller utföra insatser inom socialtjänsten samt administration eller dokumentation av sådana insatser.
Bestämmelsen reglerar inte närmare hur behörighetstilldelning till personal eller åtkomst och kontroller av åtkomst ska utformas. Sådana föreskrifter får enligt 11 § meddelas av regeringen eller den myndighet som regeringen bestämmer.
Övervägandena finns i avsnitt 5.2.4.
11 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om
1. vilka som är personuppgiftsansvariga,
2. begränsning av den i 6 § tillåtna behandlingen av personuppgifter,
3. sökbegrepp,
4. direktåtkomst,
5. samkörning av personuppgifter,
6. de krav på skyddsåtgärder som avses i 9 §,
7. villkor för tilldelning av behörighet, dokumentation och kontroll av åtkomst enligt 10 §,
Författningskommentar
8. säkerhetsåtgärder vid helt eller delvis automatiserad behandling av personuppgifter, samt
9. vilken information som ska lämnas till den registrerade inför användningen av digital teknik enligt 4 kap. 2 c § socialtjänstlagen (2001:453) .
Regeringen får även meddela föreskrifter om när personuppgifter får föras över till tredje land.
Paragrafen innehåller bemyndiganden som ger regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter om olika slags integritetsstärkande åtgärder vid personuppgiftsbehandling inom socialtjänstens område. Ändringarna i första till
femte punkten är enbart redaktionella och innebär att uppräkningen
av bemyndigandet i de delarna gjorts om till en numrerad lista. Det har inte skett någon ändring i sak. Sjätte till nionde punkterna är nya.
Sjätte punkten innebär ett bemyndigande för regeringen eller den
myndighet som regeringen bestämmer att meddela föreskrifter om skyddsåtgärder som anges i 9 §, dvs. olika slags begränsningsåtgärder för monitorerings-, sensorerings- och positioneringsfunktioner som används vid insatser inom äldreomsorgen som utförs med hjälp av digital teknik enligt 4 kap. 2 c § socialtjänstlagen. Hänvisningen till 4 kap. 2 c § socialtjänstlagen avser de fall då socialnämnden ger bistånd i form av hemtjänst eller boende i särskilda boendeformer för äldre med hjälp av digital teknik. Begränsningsåtgärderna ska enligt 9 § avse uppgifts- och lagringsminimering. Bestämmelserna om dataskydd som syftar till uppgifts- och lagringsminimering i EU:s dataskyddsförordning är allmänt hållna. Med hänsyn till det integritetsintrång dessa funktioner kan innebära är det motiverat att reglera mer specifika krav på olika slags funktioner i den digitala teknik som används vid insatser inom äldreomsorgen i föreskriftsform. Exempelvis kan det röra sig om krav på olika slags monitoreringsfunktioner vid kameratillsyn.
Sjunde, åttonde och nionde punkterna innebär bemyndigande för
regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om hur krav på villkor för behörighetstilldelning, dokumentation och kontroll av elektronisk åtkomst ska utformas samt säkerhetsåtgärder vid helt eller delvis automatiserad behandling av personuppgifter. Sådana föreskrifter kan exempelvis gälla vilken typ av kontroll den personuppgiftsansvarige ska göra och hur ofta kontrollen ska ske, hur roller och behörigheter tilldelas eller återkallas samt hur identiteten av den som loggar in kan säkerställas,
Ds 2022:4 Författningskommentar
bl.a. i de fall inloggningen sker genom öppna nät som internet eller molntjänster.
Nionde punkten innebär ett bemyndigande att meddela
föreskrifter om vilken information som ska lämnas till den registrerade inför användningen av digital teknik enligt 4 kap. 2 c § socialtjänstlagen. Sådana föreskrifter kan mer exakt ange vad informationen till den registrerade ska innehålla, på vilket sätt informationen ska ges samt hur och hur ofta den ska lämnas.
Övervägandena finns i avsnitt 5.2.3–5.2.5.
Ikraftträdandebestämmelse
Denna lag träder i kraft den 1 juli 2023.
Av ikraftträdandebestämmelsen framgår att bestämmelserna ska träda i kraft den 1 juli 2023
Övervägandena finns i avsnitt 6.