Ds 2024:13

Bättre förutsättningar för att utveckla en kunskapsbaserad socialtjänst

3

Sammanfattning

Uppdraget

Vi har haft i uppdrag att föreslå ett samlat regelverk för socialtjänstdataregister. Utgångspunkten för uppdraget har varit det förslag till lag om socialtjänstdataregister som Utredningen Framtidens socialtjänst lämnar i betänkandet Hållbar socialtjänst – En ny socialtjänstlag (SOU 2020:47). I uppdraget har bland annat ingått att analysera utformningen av ändamålsregleringen, analysera och ta ställning till vilka personuppgiftskategorier som ska få behandlas och analysera regleringen av uppgiftsskyldighet. Som en del av uppdraget har det även ingått att analysera och ta ställning till om kommunerna ska ges elektronisk åtkomst till sina egna uppgifter i ett socialtjänstdataregister.

Syftet med uppdraget har varit att skapa långsiktiga och stabila förutsättningar för den fortsatta utvecklingen av en kunskapsbaserad socialtjänst genom att stärka den nationella statistiken inom socialtjänsten. Betydelsen av nationell statistik som kunskapsunderlag har påtalats under lång tid, inte minst av Socialstyrelsen i egenskap av statistikansvarig myndighet för socialtjänsten. Bristerna i den nationella socialtjänststatistiken har framförallt sin grund i att dagens socialtjänstdataregister är mycket begränsade och därmed endast till viss del kan ligga till grund för de analyser och den statistik som behöver tas fram inom socialtjänstens område. Socialstyrelsen saknar även rättsliga förutsättningar för att utöka insamlingen av personuppgifter till registren. En mer ändamålsenlig ordning för socialtjänstdataregister där Socialstyrelsen ges bättre förutsättningar att fullgöra sitt samhällsviktiga statistik- och kunskapsuppdrag inom socialtjänsten kan därför förväntas bidra till en mer kunskapsbaserad socialtjänst.

Sammanfattning Ds 2024:13

14

En ny lag om socialtjänstdataregister

I promemorian föreslår vi en ny lag om socialtjänstdataregister. Lagen ska komplettera dataskyddsförordningen1 och omfatta Socialstyrelsens personuppgiftsbehandling i ett socialtjänstdataregister specifikt. Genom lagen får Socialstyrelsen förbättrade och tydligare rättsliga förutsättningar för sin personuppgiftsbehandling samtidigt som ett tillräckligt skydd för de registrerades personliga integritet säkerställs.

Lagen innehåller allmänna bestämmelser om vad som kännetecknar ett socialtjänstdataregister och vad som är dess syfte. Genom dessa bestämmelser tydliggörs att ett socialtjänstdataregister är en rikstäckande samling av personuppgifter om socialtjänst hos Socialstyrelsen och att det övergripande syftet med ett register är att bidra till ökad kunskap för att utveckla och förbättra socialtjänsten. Lagen innehåller även andra allmänna bestämmelser om personuppgiftsbehandling, såsom personuppgiftsansvar och förhållande till annan dataskyddsreglering.

I lagen begränsas för vilka ändamål personuppgifter i ett socialtjänstdataregister får behandlas av Socialstyrelsen. Trots att det huvudsakliga ändamålet för behandling bör betraktas som framställning av statistik föreslår vi att Socialstyrelsen även ska få behandla personuppgifter i ett socialtjänstdataregister för andra närliggande ändamål, nämligen för att framställa underlag för uppföljning och utvärdering, utföra epidemiologiska studier och bedriva forskning. Samtliga föreslagna ändamål för tillåten behandling syftar till att bidra till en ökad kunskap om socialtjänsten, och de är inte nya i den meningen att uppgifter i ett socialtjänstdataregister redan idag i princip behandlas för motsvarande ändamål. Samtliga tydliggjorda ändamål innebär vidare att resultatet av behandlingen alltid består av aggregerade uppgifter och inte personuppgifter. De uppgifter som redan behandlas i ett socialtjänstdataregister ska också få lämnas ut i enlighet med lag eller förordning.

Lagen tydliggör en yttre ram för innehållet i ett socialtjänstdataregister genom att begränsa vilka övergripande kategorier av personuppgifter som får behandlas i registren. Dessa övergripande

1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävandet av direktiv 95/46/EG (allmän dataskyddsförordning).

Ds 2024:13 Sammanfattning

15

kategorier av personuppgifter är brett formulerade för att möjliggöra en successiv uppbyggnad av socialtjänstdataregistren på sikt. Lagen förutsätter dock att det finns en mer detaljerad uppgiftskatalog på lägre normgivningsnivå. På så vis ges det föreslagna regelverket en tillräcklig flexibilitet samtidigt som det säkerställer ett skydd för den personliga integriteten.

Lagen tillåter även Socialstyrelsen att behandla känsliga personuppgifter och personuppgifter som rör lagöverträdelser om detta är nödvändigt med hänsyn till ändamålet med behandlingen.

Vi anser att det i lagen ska fastställas en sekretessbrytande uppgiftsskyldighet för den som bedriver verksamhet inom socialtjänsten eller enligt lagen (1993:387) om stöd och service till vissa funktionshindrade. Uppgiftsskyldigheten föreslås gälla oavsett om verksamheten bedrivs i offentlig eller enskild regi och omfatta bara sådana uppgifter som redan finns dokumenterade i verksamheten. Den innebär därför ingen utökad registrering av uppgifter. Skyldigheten är nära sammankopplad med bestämmelsen om innehållet i ett socialtjänstdataregister.

Utöver dessa bestämmelser innehåller lagen särskilda skyddsåtgärder och andra integritetshöjande åtgärder, bland annat bestämmelser om sökbegränsningar och tillgång till personuppgifter.

Lagen bör inte innehålla en bestämmelse om elektronisk åtkomst för kommunerna till sina egna uppgifter i ett socialtjänstdataregister

Vi har bedömt att det inte är lämpligt att föreslå en bestämmelse om elektronisk åtkomst för kommunerna till de uppgifter som de själva har lämnat till ett socialtjänstdataregister. Genom vår utredning har det kommit fram att kommunernas huvudsakliga behov av tillgång till uppgifter i socialtjänstdataregistren är avidentifierade uppgifter i aggregerad form från alla kommuner. Denna fråga omfattas emellertid inte av vårt uppdrag. Det behov som kommunerna fört fram gällande tillgång till sina egna uppgifter på individnivå specifikt har varit splittrat och förväntansbilden av en elektronisk åtkomst har varierat. Även om de kommuner som ser ett behov av tillgång till sina egna uppgifter till övervägande del är samstämmiga i den nytta

Sammanfattning Ds 2024:13

16

som en sådan åtkomst kan innebära för kommunernas lokala verksamhetsuppföljning och kvalitetsutveckling, skulle en bestämmelse om elektronisk åtkomst som på ett tillräckligt sätt balanserar skyddet för den personliga integriteten vara svårtillämpad och endast i mindre utsträckning svara mot kommunernas uttryckta behov. Nyttan av en reglering är med andra ord inte proportionerlig jämfört med integritetsriskerna.

Reglering i förordning

Till den föreslagna lagen lämnar vi förslag till en förordning om socialtjänstdataregister med närmare bestämmelser om innehållet i ett socialtjänstdataregister, uppgiftsskyldighet och åtkomst till personuppgifter. I förordningen föreslår vi även en skyldighet för Socialstyrelsen att göra information om behandlingen av personuppgifter i ett socialtjänstdataregister tillgänglig för allmänheten. Även bestämmelserna om uppgiftsskyldighet i förordning förutsätter dock att Socialstyrelsen meddelar närmare föreskrifter om vilka uppgifter som ska omfattas av uppgiftsskyldighet.

Ikraftträdande- och övergångsbestämmelser

Lagen om socialtjänstdataregister föreslås träda i kraft den 1 januari 2026. Samtidigt ska bestämmelserna om uppgiftsskyldighet i 12 kap. 5 § socialtjänstlagen (2001:453) och 15 a § lagen om stöd och service till vissa funktionshindrade upphöra att gälla och de till dessa bestämmelser anslutande förordningarna upphävas.

Övergångsbestämmelser införs i lagen om socialtjänstdataregister med anslutande förordning som innebär att bestämmelserna om uppgiftsskyldighet ska tillämpas först från och med den 1 januari 2027. De upphävda bestämmelserna och förordningarna ska alltså fortsatt gälla fram till den 31 december 2026.

17

1. Författningsförslag

1.1. Förslag till lag om socialtjänstdataregister

Härigenom föreskrivs följande.

Allmänt om socialtjänstdataregister

1 § Med ett socialtjänstdataregister enligt denna lag avses en rikstäckande samling av personuppgifter om socialtjänst hos

Socialstyrelsen.

2 § Syftet med ett socialtjänstdataregister är att bidra till ökad kunskap för att utveckla och förbättra socialtjänsten.

Ord och uttryck i lagen

3 § I lagen avses med

EU:s dataskyddsförordning

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Med socialtjänst avses detsamma som i socialtjänstlagen (0000:000) och verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.

Lagens tillämpningsområde

4 § Denna lag gäller vid behandling av personuppgifter i ett socialtjänstdataregister.

Författningsförslag Ds 2024:13

18

5 § Lagen gäller även vid behandling av uppgifter om avlidna.

Förhållandet till annan reglering

6 § Denna lag kompletterar EU:s dataskyddsförordning.

7 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

8 § Socialstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Ändamål

9 § Personuppgifter får behandlas i ett socialtjänstdataregister om det är nödvändigt för att

1. framställa statistik,

2. framställa underlag för uppföljning och utvärdering,

3. utföra epidemiologiska studier, och

4. bedriva forskning.

10 § Personuppgifter som behandlas enligt 9 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

11 § Personuppgifter som behandlas enligt 9 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för.

Ds 2024:13 Författningsförslag

19

Elektroniskt utlämnande av personuppgifter

12 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.

Innehållet i ett socialtjänstdataregister

13 § Endast personuppgifter som behövs för de ändamål som anges i 9 § får behandlas i ett socialtjänstdataregister.

I ett socialtjänstdataregister får det finnas

1. uppgift om en person som utreds för, har prövats för eller får en insats inom socialtjänsten,

2. uppgift om den utredning, prövning eller insats inom socialtjänsten som en person får, och

3. annan uppgift av administrativ karaktär av betydelse för den utredning, prövning eller insats inom socialtjänsten som en person får.

Om det är nödvändigt får i ett socialtjänstdataregister också finnas uppgift om ställföreträdare för eller närstående till en person som utreds för, har prövats för eller får en insats inom socialtjänsten.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka personuppgifter som får finnas i ett socialtjänstdataregister.

14 § Personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 (fällande domar i brottmål och lagöverträdelser som innefattar brott) i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Sökbegränsningar

15 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet omfattar inte sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa.

Författningsförslag Ds 2024:13

20

Tillgången till personuppgifter

16 § Tillgången till personuppgifter i ett socialtjänstdataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister

17 § Den som bedriver verksamhet inom socialtjänsten ska till

Socialstyrelsen lämna de uppgifter som denne förfogar över och som behövs i ett socialtjänstdataregister.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om hur uppgiftsskyldigheten ska fullgöras.

1. Denna lag träder i kraft den 1 januari 2026.

2. Bestämmelsen i 17 § tillämpas först den 1 januari 2027.

3. De upphävda bestämmelserna om uppgiftsskyldighet i 15 a § lagen (1993:387) om stöd och service till vissa funktionshindrade och 12 kap. 5 § socialtjänstlagen (2001:453) gäller fortfarande till och med den 31 december 2026.

Ds 2024:13 Författningsförslag

21

1.2. Förslag till lag om ändring i lagen (1993:387) om stöd och service till vissa funktionshindrade

Härigenom föreskrivs att 15 a § lagen (1993:387) om stöd och service till vissa funktionshindrade ska upphöra att gälla den 1 januari 2026.

Författningsförslag Ds 2024:13

22

1.3. Förslag till lag om ändring i socialtjänstlagen (2001:453)

Härigenom föreskrivs att 12 kap. 5 § socialtjänstlagen (2001:453) ska upphöra att gälla den 1 januari 2026.

Ds 2024:13 Författningsförslag

23

1.4. Förslag till socialtjänstdataregisterförordning

Härigenom föreskrivs följande.

Inledande bestämmelse

1 § I denna förordning finns bestämmelser som kompletterar lagen (2026:000) om socialtjänstdataregister.

Förordningen är meddelad med stöd av 8 kap. 7 § regeringsformen.

Ord och uttryck i förordningen har samma betydelse som i lagen.

Åtkomst till personuppgifter

2 § Socialstyrelsen ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter.

3 § Socialstyrelsen ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.

Personuppgifter som får behandlas

4 § Personuppgifter som får behandlas i ett socialtjänstdataregister enligt 13 § lagen om socialtjänstdataregister, är uppgifter om

1. personnummer eller samordningsnummer, kön, födelseår, folkbokföringsort och födelseort,

2. utredningsåtgärd och beslut,

3. insats och aktivitet,

4. aktualisering, orsak till insats, avslutsorsak, och

5. annan uppgift av administrativ karaktär av betydelse för den utredning, prövning eller insats inom socialtjänsten som en person får.

Om det är nödvändigt får det finnas uppgift om en ställföreträdare för eller närstående till en person som utreds för, har prövats för eller får en insats inom socialtjänsten.

Författningsförslag Ds 2024:13

24

Information

5 § Socialstyrelsen ska göra den information som avses i artikel 14 i EU:s dataskyddsförordning tillgänglig för allmänheten.

Skyldighet att lämna uppgifter

6 § Den som bedriver verksamhet inom socialtjänsten ska till ett socialtjänstdataregister lämna de uppgifter som avses i 4 §, om det följer av föreskrifter som meddelats av Socialstyrelsen.

7 § Socialstyrelsen får, efter att ha gett Sveriges Kommuner och

Regioner tillfälle att yttra sig, meddela föreskrifter om hur uppgiftsskyldigheten i 6 § ska fullgöras.

1. Denna förordning träder i kraft den 1 januari 2026.

2. Bestämmelserna i 6 och 7 §§ tillämpas först den 1 januari 2027.

3. Den upphävda förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen (2004:16) om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade gäller fortfarande till och med den 31 december 2026.

Ds 2024:13 Författningsförslag

25

1.5. Förslag till förordning om upphävande av förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter

Härigenom föreskrivs att förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter ska upphöra att gälla den 1 januari 2026.

Författningsförslag Ds 2024:13

26

1.6. Förslag till förordning om ändring i förordningen (2001:100) om den officiella statistiken

Härigenom föreskrivs att bilagan till förordningen ska ha följande lydelse.

Denna förordning träder i kraft den 1 januari 2026.

Ds 2024:13 Författningsförslag

27

Den officiella statistiken

-----------------------------------------------------------------------------

SOCIALTJÄNST -----------------------------------------------------------------------------

Nuvarande lydelse Föreslagen lydelse Behandling av känsliga personuppgifter m.m.

För framställning av statistik över Individ- och familjeomsorg får personuppgifter enligt 8 § behandlas som avser uppgift om att hälsotillstånd utgjort orsak till och ändamål med ekonomiskt bistånd, administrativa frihetsberövanden samt enskildas hälsotillstånd när det gäller tvångsingripanden med stöd av lagen ( 1988:870 ) om vård av missbrukare i vissa fall.

För framställning av statistik över Äldre- och handikappomsorg får personuppgifter enligt 8 § behandlas som avser utbetalningar och andra insatser i samband med enskilda personers hälsotillstånd.

För framställning av statistik över Stöd och service till funktionshindrade får personuppgifter enligt 8 §

behandlas som avser enskildas hälsotillstånd och andra uppgifter i samband med insatser enligt lagen ( 1993:387 ) om stöd och service till vissa funktionshindrade.

Författningsförslag Ds 2024:13

28

1.7. Förslag till förordning om upphävande av förordningen (2004:16) om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade

Härigenom föreskrivs att förordningen (2004:16) om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade ska upphöra att gälla den 1 januari 2026.

Ds 2024:13 Författningsförslag

29

1.8. Förslag till förordning om ändring i förordningen (2015:284) med instruktion för Socialstyrelsen

Härigenom föreskrivs i fråga om förordningen (2015:284) med instruktion för Socialstyrelsen att 5 § ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Socialstyrelsen ansvarar för förvaltningsuppgifter i enlighet med vad som anges i lag och förordning.

Myndigheten ska särskilt ansvara för

1. prövning av sådana behörighetsfrågor som anges i 4 kap. 10 § patientsäkerhetslagen (2010:659), inklusive prövning enligt 6 kap. 1 § patientsäkerhetsförordningen (2010:1369),

2. officiell statistik enligt förordningen (2001:100) om den officiella statistiken,

3. hälsodataregister, och

4. att pröva frågor om

statsbidrag.

3. hälsodataregister,

4. socialtjänstdataregister, och

5. att pröva frågor om

statsbidrag.

Vidare är Socialstyrelsen tillsynsvägledande myndighet i enlighet med vad som anges i miljötillsynsförordningen (2011:13).

Denna förordning träder i kraft den 1 januari 2026.

31

2. Uppdraget och dess genomförande

2.1. Uppdraget

Vårt uppdrag har varit att utreda bättre förutsättningar för att utveckla en kunskapsbaserad socialtjänst genom att lämna förslag till en ny samlad reglering av socialtjänstdataregister. Utgångspunkten för uppdraget har varit det förslag till lag om socialtjänstdataregister som Utredningen Framtidens socialtjänst lämnar i betänkandet Hållbar socialtjänst – En ny socialtjänstlag (SOU 2020:47). Uppdragets innehåll har bland annat varit att

  • analysera utformningen av ändamålsregleringen,
  • analysera och ta ställning till vilka personuppgifter som ska få behandlas,
  • analysera regleringen av uppgiftsskyldigheten,
  • analysera och ta ställning till om kommunerna ska ges elektronisk åtkomst till de uppgifter som de har lämnat,
  • föreslå ett samlat regelverk för socialtjänstdataregister som är förenligt med bestämmelserna om skydd för den personliga integriteten i regeringsformen liksom dataskyddsregleringen och i samband därmed göra en integritetsanalys,
  • särskilt ta ställning till vilka delar av regelverket som behöver placeras i lag eller förordning,
  • analysera hur förslagen förhåller sig till regelverken om offentlighet och sekretess, och
  • lämna nödvändiga författningsförslag.

Uppdraget och dess genomförande Ds 2024:13

32

Det övergripande syftet med en ny lag om socialtjänstdataregister är att stärka och utveckla den nationella statistiken inom socialtjänsten. Det är också detta syfte som ligger till grund för Utredningen Framtidens socialtjänsts förslag till socialtjänstdataregisterlag. Denna promemoria kan därför med fördel läsas tillsammans med det tidigare lämnade förslaget.

Uppdraget i dess helhet framgår av bilaga 1.

2.2. Uppdragets genomförande

Utredningsarbetet påbörjades i oktober 2023 genom inläsning av relevant material och inledande arbetsmöten. Vi har sedan dess haft regelbundna arbetsmöten inom utredningen.

I uppdraget anges att utredningen ska samverka med Socialstyrelsen som ska bistå utredningen. Ett inledande möte hölls med Socialstyrelsen i november 2023 och vi har efter detta möte haft en löpande dialog med myndigheten, både skriftligen och muntligen genom digitala möten och telefonsamtal. I uppdraget ingår även att, i den utsträckning det behövs, samråda med Integritetsskyddsmyndigheten, Statistiska centralbyrån, Sveriges Kommuner och Regioner (SKR), företrädare för kommuner och privata utförare som bedriver verksamhet inom socialtjänsten eller enligt lagen (1993:387) om stöd och service till vissa funktionshindrade. Vi har inte bedömt att det varit nödvändigt att samråda med samtliga angivna aktörer. Ett inledande möte hölls dock med SKR i november 2023. Mötet har sedan följts av skriftlig kontakt och digitala möten i den mån vi bedömt detta som nödvändigt.

Till utredningens hjälp har vi haft en referensgrupp bestående av juristen Eva Lidén (Socialstyrelsen), juristen Cecilia Östergren (Socialstyrelsen), forskaren Jenny Nybom (Socialstyrelsen), utredaren Daniel Svensson (Socialstyrelsen), Marta Gandra (SKR), förbundsjuristen Alexandra Lindberg (SKR), juristen Anna Hellgren Westerlund (Integritetsskyddsmyndigheten), utredaren Peter Nilsson (Myndigheten för vård- och omsorgsanalys) och Maral Jolstedt (Statens beredning för medicinsk och social utvärdering). Med anledning av den begränsade utredningstiden har

Ds 2024:13 Uppdraget och dess genomförande

33

vi endast haft två fysiska möten, men har även i övrigt haft kontakt med deltagarna i den mån vi bedömt det som nödvändigt.

Vi har också haft regelbundna kontakter och möten med Utredningen om hälsodataregister (S 2023:2), som ser över regelverket för hälsodataregister. Detta har varit av stor vikt för vårt uppdrag eftersom det finns många likheter mellan ett socialtjänstdataregister och ett hälsodataregister.

När det gäller frågan om kommunernas tillgång till sina egna uppgifter har vi haft en muntlig och skriftlig dialog med SKR. Vi har även valt att utreda frågan närmare genom att vända oss till ett urval av kommuner med en skriftlig frågeställning. De kommuner som har tillfrågats är dels de 14 kommuner som Socialstyrelsen valt ut för djupintervjuer inom ramen för sitt regeringsuppdrag2, dels ytterligare 26 kommuner baserat på kommuner av olika storlek och geografisk placering. Vi har fått svar från sammanlagt 29 av 40 tillfrågade kommuner. Vi bedömer att detta utgör en representativ andel av kommunerna och att vi har fått de svar vi behöver för att ta ställning till frågan om kommunernas tillgång genom elektronisk åtkomst.

I syfte att få inspel och undersöka förutsättningarna för andra än kommunala utförare av socialtjänst att lämna uppgifter till ett socialtjänstdataregister har vi i slutskedet av vår utredning även kontaktat Statens institutionsstyrelse, SiS, samt tre utvalda branschorganisationer som företrädare för privata aktörer. Dessa branschorganisationer har medlemmar som representerar en bredd av enskilda verksamheter i olika storlekar och former, och valdes även ut mot bakgrund av att de varit remissinstanser och yttrat sig gällande det förslag till lag om socialtjänstdataregister som lämnas i betänkandet Hållbar socialtjänst. Ett digitalt möte hölls med SiS medan en övergripande frågeställning skickades ut till branschorganisationerna. Vi har fått svar från två av tre branschorganisationer: Vårdföretagarna och Svenska Vård.

2 Se Socialstyrelsen (2024). Kommunernas förutsättningar och behov inför införandet av en

socialtjänstdataregisterlag.

Uppdraget och dess genomförande Ds 2024:13

34

2.3. Promemorians disposition

Denna promemoria är indelad i 16 kapitel. I kapitel 1 redovisar vi våra författningsförslag och i kapitel 2 vårt uppdrag och dess genomförande. I kapitel 3 och 4 redogör vi för den nationella statistiken och en kunskapsbaserad socialtjänst samt beskriver gällande rätt om dataskydd och sekretess. Kapitel 5 innehåller våra överväganden och förslag om att det ska införas en lag om socialtjänstdataregister.

I kapitel 6 behandlar vi våra förslag till allmänna bestämmelser om personuppgiftsbehandling och övriga allmänna bestämmelser. Det rör bland annat bestämmelser som tydliggör vad ett socialtjänstdataregister är och registrens övergripande syfte. I kapitlet finns även förslag till bestämmelser om tillämpningsområde, personuppgiftsansvar och förhållande till annan reglering. Kapitel 7 innehåller överväganden och förslag om tillåtna ändamål för behandling och kapitel 8 behandlar innehållet i ett socialtjänstdataregister, inbegripet känsliga personuppgifter och uppgifter som rör lagöverträdelser.

I kapitel 9 finns våra förslag till särskilda bestämmelser till skydd för den personliga integriteten. Det rör bland annat bestämmelser om sökbegränsningar och tillgång till personuppgifter i ett socialtjänstdataregister. Kapitel 10 innehåller våra överväganden i fråga om gallring och längsta tid för behandling.

I kapitel 11 redovisar vi våra förslag om uppgiftsskyldighet och i kapitel 12 presenterar vi våra bedömningar och vårt ställningstagande om kommunernas tillgång till lämnade uppgifter i ett socialtjänstdataregister.

Kapitel 13 innehåller en samlad integritets- och proportionalitetsbedömning.

De avslutande kapitlen, kapitel 14, 15 och 16, innehåller våra överväganden och förslag i fråga om ikraftträdande- och övergångsbestämmelser samt konsekvensbeskrivning och författningskommentar.

35

3. Nationell statistik och en kunskapsbaserad socialtjänst

3.1. Inledning

Vi har i uppdrag att analysera och föreslå ett samlat regelverk för socialtjänstdataregister. Ett sådant regelverk förutsätter behandling av personuppgifter inom socialtjänsten för det huvudsakliga syftet att utveckla och stärka den nationella statistiken och därigenom det nationella stödet för en kunskapsbaserad socialtjänst. I det här kapitlet ger vi en kortare bakgrund av vad som avses med socialtjänst och en kunskapsbaserad socialtjänst. Vi beskriver också vad som avses med statistik och officiell statistik samt redogör för dagens socialtjänstregister och de brister som har identifierats med den befintliga socialtjänststatistiken. Vi beskriver slutligen de rättsliga hinder som har funnits mot en utökad individbaserad statistik och vad dessa har inneburit för framställningen av nationell statistik inom socialtjänsten.

3.2. En kunskapsbaserad socialtjänst

3.2.1. Vad avses med socialtjänst?

Socialtjänsten utgör en central del av det svenska välfärdssystemet och handlar om samhällets stöd och hjälp till människor som är särskilt utsatta eller i svårigheter. I socialtjänstens uppgifter ingår exempelvis att skydda och stödja utsatta barn och deras familjer för att tillförsäkra att varje barn får en trygg uppväxt. Det ingår även att förebygga och motverka missbruk och beroende samt säkerställa att den enskilde får den hjälp och vård som behövs för att komma ifrån

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

36

sitt missbruk. Socialtjänsten ska också tillhandahålla daglig vård och omsorg om äldre samt underlätta det dagliga livet för personer med funktionsnedsättning och främja full delaktighet i samhällslivet. Socialtjänstens ekonomiska bistånd utgör samhällets yttersta skyddsnät som syftar till att tillfälligt träda in vid försörjningsproblem och hjälpa människor att komma tillrätta med dessa. Det är varje kommun som ansvarar för socialtjänsten inom sitt område.

Trots den centrala roll som socialtjänsten har i välfärdssystemet finns det ingen enhetlig definition av vad som faktiskt avses med begreppet socialtjänst. De definitioner som återfinns i lagstiftning3skiljer sig åt och omfattar dessutom flera verksamheter som inte anses vara socialtjänst i egentlig mening. Att socialtjänst inte enbart är verksamheter enligt socialtjänstlagen utan även närliggande verksamhet som regleras i annan lag är dock tydligt.

Utredningen Framtidens socialtjänst har föreslagit att det i en ny socialtjänstlag ska anges vad som avses med socialtjänst.4Utredningen pekar på att begreppet är centralt för att avgränsa socialtjänstlagens tillämpningsområde och ringa in de verksamheter som ska omfattas av lagen, bland annat vad gäller vetenskap och beprövad erfarenhet, kvalitet och uppföljning samt handläggning och dokumentation.

I den föreslagna bestämmelsen anges att med socialtjänst avses i lagen

1. verksamhet som bedrivs med stöd av socialtjänstlagen,

2. verksamhet som bedrivs med stöd av lagen (1990:52) med

särskilda bestämmelser om vård av unga eller lagen (1988:870) om vård av missbrukare i vissa fall, eller

3. annan verksamhet som enligt lag eller förordning ska bedrivas av

socialnämnd eller Statens institutionsstyrelse.

Som socialtjänst räknas dock inte sådan verksamhet som Statens institutionsstyrelse bedriver med stöd av skollagen (2010:800) eller förordningen (1983:28) om undervisning av barn och ungdomar som vistas vid särskilda ungdomshem. Som socialtjänst räknas inte heller tillsyn som Inspektionen för vård och omsorg utövar med

3 Se lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och offentlighets- och sekretesslagen (2009:400). 4 Se 1 kap. 1 § i den föreslagna lagen.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

37

stöd av socialtjänstlagen. Betänkandet bereds för närvarande i Regeringskansliet.

3.2.2. Krav på vetenskap och beprövad erfarenhet

Utvecklingen mot en kunskapsbaserad socialtjänst har pågått under lång tid och har sitt ursprung i den kritik som riktats mot socialtjänsten i fråga om att verksamheten i alltför liten utsträckning baseras på vetenskap och beprövad erfarenhet samt att det saknas verktyg för att systematiskt dokumentera och utvärdera genomförda insatser och deras effekter.5 Trots de framsteg som har gjorts under senare decennier finns det inget krav, varken i socialtjänstlagen eller i dess förarbeten, på att socialtjänstens verksamhet ska baseras på kunskap.

För att stärka den fortsatta utvecklingen av en kunskapsbaserad socialtjänst föreslår Utredningen Framtidens socialtjänst att det i socialtjänstlagen förs in en ny bestämmelse om att verksamhet inom socialtjänsten ska bedrivas i överensstämmelse med vetenskap och beprövad erfarenhet.6 Förslaget motiveras med att det är angeläget att framtidens socialtjänst utvecklas och bygger sin verksamhet på bästa möjliga kunskap, som hämtas från forskning, från den enskilde och från praktiken.7 Utredningen pekar på att verksamheter som utgår från bästa möjliga kunskap sannolikt kan leverera vård och omsorg med bättre resultat och som är säkrare och mer kostnadseffektiva än verksamheter som inte utgår från bästa möjliga kunskap. Kravet motiveras även av att alla kommuninvånare ska få mer jämlika möjligheter att ta del av en kunskapsbaserad socialtjänst, oavsett var i landet de bor.8 Ett lagstadgat krav på kunskapsbaserad verksamhet innebär inte att detta krav alltid ska vara avgörande. Kunskapsperspektivet ska dock alltid vägas in i socialtjänstens bedömning av lämplig insats.9

Vetenskap och beprövad erfarenhet är etablerade begrepp som redan återfinns inom både hälso- och sjukvården och skolväsendet. Med vetenskap avses vetenskaplig kunskap som tagits fram med olika

5 Bergmark, Å & Lundström, T, Att studera rörliga mål – om villkoren för evidens och

kunskapsproduktion i socialt arbete. Socionomens forskningssupplement nr 21 2007, s. 5.

6 Jfr 4 kap. 1 § i den föreslagna lagen. 7SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 531. 8SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 533. 9SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 534.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

38

forskningsmetoder. Med beprövad erfarenhet avses kunskap som bygger på goda exempel där kunskaper från profession och brukare har synliggjorts, värderats och systematiserats genom uppföljning, dokumentation, kritisk granskning och spridning.10

Socialtjänsten har ett kontinuerligt behov av ny kunskap. Området är brett och behöver täcka flera verksamhetsgrenar och forskningsområden. Till skillnad från till exempel hälso- och sjukvården saknas dock en längre tradition av forskning vilket bidrar till ett jämförelsevis svagt kunskapsläge. Trots att forskningen inom vissa av socialtjänstens områden är begränsad har det skett en kunskapstillväxt.11 Tillgången till olika typer av nationella kunskapsstöd bedöms vidare vara god.

3.2.3. Betydelsen av nationell statistik som underlag för en kunskapsbaserad socialtjänst

En kunskapsbaserad socialtjänst innebär ett långsiktigt och kontinuerligt utvecklingsarbete. Målet är att bästa tillgängliga kunskap alltid ska användas och att ny kunskap kontinuerligt utvecklas, delas och omsätts av professionen.

Ett lagstadgat krav på att verksamhet inom socialtjänsten ska bedrivas i överensstämmelse med vetenskap och beprövad erfarenhet utgör endast en av flera grundstenar för utvecklingen mot en kunskapsbaserad socialtjänst. Lagkravet behöver samspela med andra förändringar inom socialtjänsten. Ett exempel som särskilt lyfts av Utredningen Framtidens socialtjänst är kommunernas egen uppföljning, som anses vara en nödvändig förutsättning för att säkerställa god kvalitet inom socialtjänsten.12 För att stärka socialtjänstens kunskapsbas behövs lokal kunskap om olika grupper samt den egna verksamheten och dess resultat. Sådan kunskap är en förutsättning för att utveckla den beprövade erfarenheten i socialtjänsten och kan exempelvis ske genom systematisk uppföljning.

En identifierad svaghet i den nationella kunskapsbasen är också den officiella statistiken inom socialtjänsten som idag ger mycket begränsade möjligheter till kunskapsutveckling. Att stärka och utveckla statistiken på nationell nivå är därför ytterligare en

10SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 533. 11SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 535. 12SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 503.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

39

grundsten vars betydelse särskilt lyfts fram. Betydelsen av just nationell statistik som kunskapsunderlag är också något som har framhållits under lång tid.13 Av äldre förarbeten till socialtjänstlagen framgår dock att individbaserad statistik länge har undvikits av integritetsskäl och att mängdstatistik i allmänhet ansetts vara tillräcklig.14 Att det i stor utsträckning saknas individbaserad statistik inom socialtjänsten har däremot under senare tid lyfts fram som en avgörande brist i socialtjänststatistiken.15 Denna brist har också bidragit till att statistiken enbart i begränsad omfattning har kunnat utgöra ett stöd för utvecklingen av en kunskapsbaserad socialtjänst.

En omställning mot en mer kunskapsbaserad socialtjänst förutsätter att ett lagkrav om vetenskap och beprövad erfarenhet samverkar med utvecklingen av kommunernas uppföljning och en utökning av den nationella statistiken inom socialtjänsten.

3.3. Socialstyrelsens uppdrag inom socialtjänsten

3.3.1. Kunskapsmyndighet för vård och omsorg

Socialstyrelsen är en statlig förvaltningsmyndighet under regeringen med det övergripande uppdraget att värna hälsa, välfärd och allas lika tillgång till god vård och omsorg. Regleringen av myndighetens verksamhet sker i förordningen (2015:284) med instruktion för Socialstyrelsen. I enlighet med denna ska Socialstyrelsen bland annat – genom kunskapsstöd och föreskrifter bidra till att hälso- och

sjukvård och socialtjänst bedrivs enligt vetenskap och beprövad erfarenhet – ansvara för kunskapsutveckling och kunskapsförmedling inom

sitt verksamhetsområde – skapa och tillhandahålla enhetliga begrepp, termer och

klassifikationer samt tillhandahålla en ändamålsenlig informationsstruktur inom sitt verksamhetsområde

13 Jfr till exempel prop. 1979/80:1, om socialtjänsten, s. 495–497. 14Prop. 1979/80:1, om socialtjänsten, s. 496. 15 Jfr till exempel Riksrevisionen (2021). Öppna jämförelser i socialtjänsten – begränsat bidrag

till god kvalitet, s. 29.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

40

– följa, analysera och rapportera om hälsa, hälso- och sjukvård,

socialtjänst samt stöd och service till vissa personer med funktionsnedsättning genom statistikframställning, uppföljning, utvärdering och epidemiologiska studier.

Utöver det breda uppdrag som följer direkt av Socialstyrelsens instruktion mottar myndigheten även löpande särskilda uppdrag av regeringen.

Socialstyrelsens roll som Sveriges kunskapsmyndighet för vård och omsorg är en utmärkande del av myndighetens uppdrag. Myndigheten bistår regeringen med underlag och expertkunskap för utvecklingen inom socialtjänsten. Myndigheten samordnar även nationellt inom sitt ansvarsområde och styr mot en god vård och omsorg, vilken karaktäriseras som kunskapsbaserad, säker, individanpassad, effektiv, jämlik och tillgänglig. Socialstyrelsen bidrar bland annat med underlag och analyser av hur socialtjänsten utvecklas samt utvecklar och tillhandahåller nationella kunskapsstöd i form av riktlinjer och vägledningar för beslutsfattare och profession. Genom att ta fram analyser, kartläggningar, utvärderingar och uppföljningar strävar Socialstyrelsen efter att ge en samlad bild av utvecklingen inom socialtjänstens område.16 Dessa kan sedan också ge en vägledning om vilka insatser som bör vidtas för att förbättra ett område.

Inom ramen för Socialstyrelsens kunskapsstyrning tar myndigheten även fram föreskrifter och allmänna råd samt handböcker som syftar till att underlätta tillämpningen av det regelverk som gäller inom ett visst område. Samma analyser är därmed också viktiga för att ge underlag till revidering eller framtagande av exempelvis nya föreskrifter, kunskapsstöd eller nationella riktlinjer.

3.3.2. Särskilt om Socialstyrelsens registerverksamhet

För sin statistikframställning har Socialstyrelsen en särskild verksamhetsavdelning för register och statistik. Avdelningen ansvarar bland annat för att utveckla och förvalta socialtjänstregister, samla in registerdata, utveckla och underhålla enhetliga begrepp,

16 Socialstyrelsen (2022). Analysplan, s. 9.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

41

termer och klassifikationer, stötta forskare, sammanställa statistik på uppdrag och lämna ut registeruppgifter för forskningsändamål.

Socialstyrelsen förvaltar idag fem socialtjänstregister som bland annat ligger till grund för myndighetens framställning av nationell statistik inom socialtjänsten. Vi kommer i avsnitt 3.5.4 närmare beskriva dessa register.

Inom ramen för Socialstyrelsens registerverksamhet förvaltar myndigheten också ett antal så kallade hälsodataregister. Dessa är patientregistret, medicinska födelseregistret, cancerregistret, läkemedelsregistret, registret över insatser inom den kommunala hälso- och sjukvården och tandhälsoregistret. Till skillnad från socialtjänstregistren regleras dessa register genom en särskild lag, lagen (1998:543) om hälsodataregister. Regeringen har tillsatt en särskild utredare med uppgift att se över regelverket för hälsodataregister. Utredningen kommer att lämna sitt betänkande sommaren 2024.

Utöver hälsodataregistren ansvarar Socialstyrelsen också för dödsorsaksregistret, registret över legitimerad hälso- och sjukvårdspersonal och personal med bevis om rätt att använda yrkestiteln undersköterska samt registret för övervakning av fosterskador och kromosomavvikelser. Det senare registret utgör dock till viss del också en del av det medicinska födelseregistret, som är ett hälsodataregister.

Sammantaget har Socialstyrelsen god erfarenhet av registerhantering som också speglar myndighetens verksamhetsområden.

3.4. Nationell statistik

3.4.1. Vad är statistik?

Det saknas i svensk författning en definition av statistik. I allmänt språkbruk används begreppet huvudsakligen i två olika betydelser.

Statistik används för det första som en beteckning på en vetenskaplig disciplin. Ursprungligen menades med statistik en vetenskap som behandlade rådande förhållanden, i synnerhet politiska, sociala och ekonomiska förhållanden, inom en stat eller olika stater. Statistiken som vetenskaplig disciplin har senare

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

42

kommit att omfatta även metoder för insamling, bearbetning, redovisning och analys av data inom fler områden.

Med statistik i allmänt språkbruk avses också sammanställningar av data, vanligen i tabeller eller liknande. Sammanställningarna har ofta arbetats fram genom de olika metoder för insamling, bearbetning, redovisning och analys som utvecklats inom den statistiska vetenskapen.

Inom statistiken är begreppet data ett återkommande begrepp. Uppbyggnaden av ett statistiskt system kräver i regel tre olika data17: – Makrodata: Aggregerad data om populationer och klasser av

objekt, till exempel summor, frekvenser och medelvärden. – Mikrodata: Data om enskilda objekt, till exempel företag,

individer och händelser, som ligger till grund för statistik, och som kan aggregeras till statistik på ett flexibelt sätt. – Metadata: Data som definierar och beskriver mikrodata och

makrodata. Normalt används metadata eller metainformation för att beskriva innehållet och/eller strukturen för en viss datasamling, till exempel ett statistiskt material, ur något perspektiv.

Statistik tas fram med olika syften. På en övergripande nivå är det vanligt att skilja mellan statistik som har ett allmäninformativt syfte och statistik som i huvudsak har ett internt syfte för en organisation. Den senare typen av statistik har som huvudfunktion att utgöra en del av en informationsprocess för styrning av verksamheter, innefattande planering, beslut, uppföljning, analys och utvärdering, medan den förstnämnda typen har som huvudfunktion att ge eller ingå som delar i en allmän beskrivning av förhållanden.18Uppdelningen är dock inte helt entydig och mycket av den allmäninformativa statistiken används också som underlag för styrning av verksamheter.

Att olika typer av statistik tas fram med olika syften avspeglas också i hur statistiken produceras. Inom vissa områden finns det behov av att kontinuerligt följa utvecklingen för att kunna utläsa förändringar över tid medan det inom andra områden räcker med att en statistisk undersökning genomförs vid ett enda tillfälle.

17SOU 2012:83, Vad är officiell statistik? En översyn av statistiksystemet och SCB, s. 104. 18SOU 2012:83, Vad är officiell statistik? En översyn av statistiksystemet och SCB, s. 105.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

43

Underlaget för statistik består av särskilt insamlade uppgifter eller av uppgifter som redan är insamlade för administrativa ändamål i en verksamhet. Statistik kan också framställas genom uppgifter som finns registrerade i olika dataregister. En stor del av den statistik som framställs idag är just registerbaserad.

3.4.2. Officiell statistik

Betydelsen av officiell statistik

Officiell statistik är definitionsmässigt sådan statistik som framställs av myndigheter under regeringen med den närmare avgränsning som bestäms av regeringen.19 Det handlar därmed om den statistik som samhället har bestämt ska tas fram.

Den officiella statistiken har ett tydligt allmäninformativt syfte och ska, genom att ge en övergripande bild av samhället, öka medborgarnas möjlighet till insyn. Statistiken används också som grund för bland annat politiska beslut, för den allmänna debatten, för forskning och för utvärdering. Statistik om olika samhällsområden är en mycket viktig informationsskälla i en demokrati och tillgången till de objektiva och sakliga mått på samhällsförhållandena som den officiella statistiken beskriver kan ses som en rättighet för alla medborgare. Detta blir särskilt relevant i förhållande till den informationsmängd och det antal informationskällor som finns i dagens samhälle och som gör det svårt att veta vilken information som går att lita på.

Även andra grundläggande funktioner i samhället, som ekonomi och välfärd, är i någon mån beroende av kunskap baserad på tillförlitlig statistik. I förhållande till välfärden behövs kunskap baserad på statistiska undersökningar exempelvis för att utveckla välfärden. Statistiken utgör också ett viktigt underlag för att kunna utvärdera hur hushållningen av resurser har påverkat välfärden för olika grupper i samhället.20

19Prop. 1991/92:118, om förenklad statistikreglering, s. 1. 20Prop. 2000/01:27, En ny statistiklagstiftning, s. 26.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

44

Något om systemet för officiell statistik

Den officiella statistiken regleras genom lagen (2001:99) och förordningen (2001:100) om den officiella statistiken. Att det finns en särskild reglering av den officiella statistiken syftar bland annat till att ge denna särställning i förhållande till annan statistik och information som myndigheterna producerar.21

Av lagen om den officiella statistiken framgår att officiell statistik ska finnas för allmän information, utredningsverksamhet och forskning. Den ska vara objektiv och allmänt tillgänglig samt utvecklas, framställas och spridas på grundval av enhetliga standarder och harmoniserade metoder. De kvalitetskriterier som ska tillämpas är: relevans, noggrannhet, aktualitet, punktlighet, tillgänglighet, jämförbarhet och samstämmighet.22 Det ställs därmed särskilda kvalitetskrav på den officiella statistiken.

Lagen och förordningen om den officiella statistiken kompletterar dataskyddsförordningen och reglerar därmed även frågor som rör behandling av personuppgifter; däribland behandlingen av känsliga personuppgifter och uppgifter som rör lagöverträdelser. Lagen reglerar vidare viss uppgiftsskyldighet som utgör en mycket viktig del av en statistiklagstiftning.

Det är regeringen som beslutar vilka myndigheter som ska vara statistikansvariga samt vilka ämnesområden och statistikområden som det ska finnas officiell statistik för. En förteckning över detta finns i förordningen om den officiella statistiken. Den statistikansvariga myndigheten ansvarar för statistikens innehåll och omfattning inom sitt statistikområde. Det är myndigheten som bestämmer vilka variabler och objekt som ska undersökas och i slutändan redovisas. Det är också myndigheten som avgör vilka metoder som ska användas för att få fram statistik till önskad kvalitet.

Statistiska centralbyrån (SCB) ansvarar för att samordna systemet för den officiella statistiken.

21Prop. 2000/01:27, En ny statistiklagstiftning, s. 15. 22 Se 3 och 3 a §§.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

45

Annan statistik hos de statistikansvariga myndigheterna

Utöver den officiella statistiken tar de statistikansvariga myndigheterna också fram annan statistik av allmäninformativ karaktär som ges samma spridning som den officiella statistiken.

Även om annan statistik som tas fram av de statistikansvariga myndigheterna inte klassificeras som officiell statistik omfattas även den statistiken delvis av bestämmelserna i lagen och förordningen om den officiella statistiken. Detta gäller framförallt i de delar lagstiftningen reglerar behandlingen av personuppgifter.

Gränsen mellan vad som innehållsmässigt utgör officiell statistik och vad som utgör annan statistik är flytande och någon principiell åtskillnad verkar inte göras av myndigheterna. Trots att den officiella statistiken har att leva upp till andra kvalitetskrav än annan statistik verkar det internt inte ställas lägre kvalitetskrav på den övriga statistiken än vad som görs för den officiella statistiken.23 Att någon vidare åtskillnad inte görs mellan officiell och annan statistik har identifierats i tidigare utredningar där man även har betonat att gränsen mellan officiell och övrig statlig statistik inte får innebära en definitiv låsning eftersom den kan behöva ändras över tid.24 Den officiella statistiken ska nämligen inte enbart svara mot dagens behov utan även tillgodose framtida behov. Statistik som tidigare inte har markerats som officiell statistik av en statistikansvarig myndighet kan senare komma att bli officiell statistik.

3.5. Nationell statistik inom socialtjänsten

3.5.1. Socialstyrelsens socialtjänstregister

Socialstyrelsen samlar inom ramen för sin registerverksamhet in både personnummerbaserade uppgifter och mängduppgifter. Mängduppgifterna, det vill säga summerade antalsuppgifter om vissa verksamheter och insatser, är frivilliga för kommunerna att rapportera till Socialstyrelsen och utgör en stor del av den totala uppgiftsinsamling som idag sker inom socialtjänstens område.

23SOU 2023:83, Samordnat juridiskt stöd och vägledning för hälso- och sjukvårdens

digitalisering, s. 145–146.

24SOU 1999:96, Statistikreformen – Utvärdering och förslag till utveckling, s. 182.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

46

Genom att Socialstyrelsen även samlar in personnummerbaserade uppgifter finns ett antal socialtjänstregister som främst används av Socialstyrelsen för framställning av officiell och annan statistik, men som också är av värde för myndighetens analysverksamhet. Registren bygger för närvarande på uppgifter om den eller de insatser som socialtjänsten tillhandahåller en enskild under en viss tidsperiod. Socialstyrelsen förvaltar idag fem socialtjänstregister: – Registret över ekonomiskt bistånd – Registret över insatser enligt lagen om stöd och service till vissa

funktionshindrade – Registret över tvångsvård enligt lagen om vård av missbrukare i

vissa fall, LVM – Registret över insatser till barn och unga – Registret över insatser till äldre och personer med

funktionsnedsättning

Registren ger information om kommunernas socialtjänstverksamhet och ger möjlighet att göra nationella sammanställningar över vilka grupper som får sådana insatser. Det går också att göra jämförelser för att se om kommunerna satsar olika mycket på sin verksamhet. Uppgifterna kan också användas för forskning om vilka resultat socialtjänstens insatser har för den som får insatsen.25

3.5.2. Framväxten av socialtjänstregistren

Uppgifter som beskriver olika insatser inom socialtjänsten har samlats in under lång tid. Historisk statistik om tidigare former av ekonomiskt bistånd kan dateras så långt tillbaka som till 1800-talet. Registret över insatser till barn och unga har funnits sedan 1960talet, medan registren över ekonomiskt bistånd och tvångsvård av missbrukare har funnits sedan 1980-talet. Justeringar i registrens variabelinnehåll har dock gjorts med åren, både för att öka kvaliteten och tillgodose nya behov.26

25SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 560. 26 Socialstyrelsens hemsida hämtat 2024-05-29.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

47

Socialstyrelsen är sedan 1994 ansvarig myndighet för Sveriges officiella statistik inom områdena socialtjänst och hälso- och sjukvård. Socialstyrelsen övertog ansvaret från SCB i samband med statistikreformen då stora delar av ansvaret för den officiella statistiken överfördes från SCB till statliga myndigheter som fick ansvara för statistiken inom sina respektive verksamhetsområden. Ett av huvudsyftena med statistikreformen var att öka användarnas inflytande över statistiken. Reformen förväntades leda till att statistiken blev mer relevant för användarna, att statistiksystemet blev mer flexibelt och att statistikproduktionen blev mer effektiv.27

I slutet av 1990-talet upprättades även ett personregister för insatser enligt lagen om stöd och service till vissa funktionshindrade. Inom området äldre och personer med funktionsnedsättning infördes en personnummerbaserad uppgiftsinsamling först år 2007.28

3.5.3. Utlämnande av uppgifter till socialtjänstregistren

En grundläggande förutsättning för Socialstyrelsens insamling av de personnummerbaserade uppgifter som utgör grunden för socialtjänstregistren är att det finns en motsvarande skyldighet för kommunerna att lämna uppgifter. I såväl socialtjänstlagen som lagen om stöd och service till vissa funktionshindrade, LSS, finns därför en skyldighet för socialnämnderna och kommunerna att, enligt vad regeringen närmare föreskriver, lämna uppgifter till Socialstyrelsen för angelägna statistiska ändamål respektive officiell statistik.29Uppgiftsskyldigheten och vilka uppgifter som omfattas av skyldigheten har reglerats närmare av regeringen i förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen (2004:16) om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade. I förordningarna finns bemyndiganden för Socialstyrelsen att besluta om kompletterande föreskrifter, vilket Socialstyrelsen också har gjort för samtliga register utom registret över tvångsvård av missbrukare. För en närmare redogörelse av utlämnandet av uppgifter till socialtjänstregistren, se kapitel 11.

27SOU 2009:32, Socialtjänsten Integritet – Effektivitet, s. 185–186. 28 Socialstyrelsens hemsida hämtat 2024-05-29. 29 Se 12 kap. 5 § socialtjänstlagen och 15 a § LSS.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

48

3.5.4. Socialtjänstregistrens innehåll

Gemensamt för Socialstyrelsens socialtjänstregister är att de ger underlag till den officiella statistiken och annan statistik som Socialstyrelsen framställer. Registrens data används också för forskningsändamål och i vissa fall som samhällsinformation. I det följande ges en övergripande beskrivning av innehållet i socialtjänstregistren samt den uppgiftsinsamling som sker.30

Registret över ekonomiskt bistånd

Registret över ekonomiskt bistånd innehåller uppgifter om personer och hushåll som fått försörjningsstöd och bistånd för livsföringen i övrigt enligt 4 kap.1 och 2 §§socialtjänstlagen, eller introduktionsersättning enligt lagen (1992:1068) om introduktionsersättning för flyktingar och vissa andra utlänningar.

Registret innehåller uppgifter om bland annat personnummer för de vuxna i hushållet, personernas status i hushållet, antal hemmavarande barn under 18 år, hushållstyp, födelseland, försörjningshinder, till hushållet utgivet belopp avseende ekonomiskt bistånd, ändamålet med biståndet, antal bidragsmånader under året, kommunala arbetsmarknadsinsatser per månad samt avslutsorsaker.

Kommunerna rapporterar in uppgifter om bland annat personnummer, kön, biståndskommun, biståndsbelopp, inrikes respektive utrikes födda samt försörjningshinder, det vill säga anledningen till att vuxna sökande och eventuellt medsökande får ekonomiskt bistånd. Vissa uppgifter hämtas sedan in från registret över totalbefolkningen (RTB) som förvaltas av SCB. Uppgifterna lämnas årligen och månadsvis.

Uppgifterna i registret kan exempelvis svara på frågor om hur mycket ekonomiskt bistånd som har beviljats under en viss period, hur många hushåll eller personer som har beviljats ekonomiskt bistånd under en viss period, vad som utgör det vanligaste försörjningshindret med mera.

30 Socialstyrelsens hemsida hämtat 2024-05-29.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

49

Registret över insatser enligt lagen om stöd och service till vissa funktionshindrade

Registret innehåller uppgifter om personnummer för dem som haft beslut om och verkställda insatser enligt 9 § LSS samt vilken eller vilka dessa insatser var. Registret innehåller dock inte insatsen rådgivning och annat personligt stöd (9 § 1 LSS). Personer med enbart assistansersättning från Försäkringskassan ingår inte i registret. Det kan nämnas att de personer som får assistansersättning utgör en väsentlig del av samtliga personer med personlig assistans. Registret innehåller även uppgift om personkrets.

Uppgifterna samlas in en gång om året från landets samtliga kommuner och avser förhållandena den 1 oktober innevarande år.

Syftet med registret är att beskriva omfattningen av insatser för personer med funktionsnedsättning enligt LSS. Registrets data används också som underlag i det nationella systemet för utjämning av LSS-kostnader mellan kommuner.

Socialstyrelsen samlar in uppgifter om insatsen rådgivning och annat personligt stöd i en separat insamling som aggregerad mängdstatistik.

Registret över tvångsvård enligt lagen om vård av missbrukare i vissa fall, LVM

Registret innehåller uppgifter om personer som har tvångsvårdats enligt LVM. Uppgifterna finns i tre underregister som är personnummerbaserade och uppdelade på ansökan om vård, omedelbart omhändertagande och utskrivning från vård. Inom varje underkategori anges närmare uppgifter om bland annat datum för ansökan/beslut/intagning/avslut, ålder, kön och födelseland.

Uppgifter till registret lämnas idag från förvaltningsrätterna och Statens institutionsstyrelse, SiS.

Registrets data används för det förebyggande arbetet inom socialtjänsten och för uppföljning och utvärdering av olika insatser från socialtjänstens sida. Registrets data kan bland annat svara på frågor om hur många som tvångsvårdas i Sverige, vilken typ av missbruk som förekommer samt hur tvångsvården har varierat över tid.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

50

Endast en mycket liten del av de insatser som beviljas för personer med missbruk eller beroende sker i form av tvångsvård. Registret kompletteras därför med mängdstatistik i form av uppgifter om individuellt behovsprövade insatser till vuxna personer med eget missbruk eller beroende. Uppgifterna kan omfatta bland annat frivillig institutionsvård eller bistånd som avser boende.

Registret över insatser till barn och unga

Registret innehåller uppgift om personnummer för barn och unga som fått heldygnsinsatser. Insatsen kan vara beslutad enligt både socialtjänstlagen och LVU. Andra uppgifter som finns i registret är bland annat barnets vårdnadshavare, födelseland, datum för insatsens påbörjande och avslutande, tillämpat lagrum samt placeringsform (till exempel familjehem och hem för vård eller boende). Uppgifter lämnas till Socialstyrelsen från kommunerna årligen.

Registret kompletteras med aggregerad mängdstatistik som rör bland annat öppenvårdsinsatser som samlas in årligen. Det kan exempelvis gälla uppgifter om strukturerade öppenvårdsprogram för vård eller behandling, eller särskilt kvalificerad kontaktperson.

Registret över insatser till äldre och personer med funktionsnedsättning

Registret innehåller uppgifter om personnummer för äldre och personer som har fysisk, psykisk eller intellektuell funktionsnedsättning och som får kommunal omsorg enligt socialtjänstlagen. Detta kan exempelvis vara boendeform, hemtjänst i form av service och/eller personlig omvårdnad eller ledsagning. Registret innehåller sedan 2012 enbart beslut som har verkställts. Uppgifter till registret samlas numera in månadsvis från kommunernas socialnämnd.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

51

3.5.5. Något om socialtjänstregistrens betydelse för öppna jämförelser

Som en del av Socialstyrelsens generella uppdrag för uppföljning och statistik tar myndigheten också fram öppna jämförelser inom områdena socialtjänst och hälso- och sjukvård. Genom öppna jämförelser är det möjligt att jämföra socialtjänstens kvalitet i hela Sverige med hjälp av indikatorer. Resultaten av jämförelserna ger insyn och kan användas för att följa upp, analysera och utveckla socialtjänstens verksamheter på olika nivåer.31

Uppgifterna till de öppna jämförelserna hämtas från riktade enkätundersökningar som är frivilliga att besvara samt från den officiella statistiken och register. Inom socialtjänsten utgör de riktade enkätundersökningarna viktiga datakällor, eftersom individbaserad registerdata endast finns i begränsad omfattning och de nationellt etablerade kvalitetsindikatorerna fortfarande är få.32

Socialstyrelsen har under 2023 arbetat fram en ny modell för öppna jämförelser inom socialtjänsten. Genom den nya modellen ska fokus ligga på fler aspekter än kvalitet, nämligen välfärd, hållbar utveckling, centrala nyckeltal och kostnadsnyckeltal. Detta ska bilda en helhet som beskriver verksamheten ur olika perspektiv och bidra till att ge både insyn i verksamheterna och ett underlag för styrning och ledning. Samtidigt kan perspektiven ligga till grund för verksamheternas kvalitets- och effektivitetsutveckling.33

I den nya modellen ska även registeruppgifter vara prioriterade och det finns en strävan mot registerbaserade indikatorer. Det innebär att Socialstyrelsen i första hand ska undersöka om det myndigheten vill belysa kan mätas med en registerbaserad indikator. Om det inte är möjligt kan en enkätbaserad indikator tas fram.34

Socialstyrelsen har inom ramen för öppna jämförelser identifierat att det finns generella förutsättningar som komplicerar möjligheterna att på nationell nivå effektivt samla in och tillgängliggöra data. Kartläggningen är gjord i förhållande till hälsodata men gäller troligen även för socialtjänstdata. Några av de mer betydande faktorerna som identifierats är bland annat den

31 Socialstyrelsens hemsida hämtat 2024-05-29. 32 Socialdepartementet (2015). Öppna jämförelser inom socialtjänsten och hemsjukvården,

handlingsplan 2015–2018, s. 10.

33 Socialstyrelsen (2023). Öppna jämförelser i utveckling, s. 14–15. 34 Socialstyrelsen (2023). Öppna jämförelser i utveckling, s. 22.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

52

juridiska komplexiteten i insamling och delning av data, avsaknaden av nationellt enhetliga informationsstrukturer, stor variation i hur verksamheterna är organiserade, skillnader i hur rådata registreras och lagras samt tekniska utvecklingsbehov.35

3.6. Brister i den nationella statistiken inom socialtjänsten

3.6.1. Allmänt om brister med mängdstatistik

Statistiken inom socialtjänsten är i stora delar mängdbaserad vilket innebär att uppgifterna lämnas i aggregerad form från kommunerna till Socialstyrelsen. Det kan till exempel handla om hur många personer som har beviljats en insats enligt socialtjänstlagen, alltså sammanställningar av antalsuppgifter.

Den avgörande skillnaden mellan mängdstatistik och individbaserad statistik är att mängdstatistik knyter insamlade antalsuppgifter till insatser och inte till individen. Detta innebär att det inte är möjligt att se en individs behov eller följa den person som får en insats. Det går inte heller att få en samlad bild av den vårdkonsumtion – och därmed de kombinationer av insatser – som är hänförlig till en individ eller vissa utvalda grupper av personer, baserat på till exempel ålder eller kön. Eftersom mängdstatistik knyter insamlade antalsuppgifter till insatser kan en person även räknas med två gånger i statistiken om personen samtidigt har insatser enligt socialtjänstlagen och insatser enligt LSS. På motsvarande sätt är det inte möjligt att avgöra om det är en person som har fått flera insatser eller om det är ett antal personer som har fått en insats var.36

Av betydelse är också insamlingen av uppgifter, där mängduppgifter är frivilliga för kommunerna att rapportera in till Socialstyrelsen. Det innebär att vissa kommuner väljer att inte lämna uppgifter. Bortfallet som detta resulterar i påverkar den generella kvaliteten i de uppgifter som lämnas och därmed den statistik som är möjlig att ta fram baserad på lämnade mängduppgifter.

35 Socialstyrelsen (2023). Öppna jämförelser i utveckling, s. 22. 36SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 567–568.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

53

3.6.2. Något om fördelarna med individbaserad statistik

Med individbaserad statistik avses statistiska sammanställningar av uppgifter som är relaterade till enskilda individer. Uppgifterna består i de flesta fall av personnummer till vilka en eller flera variabler har knutits.

Individbaserade uppgifter ökar kvaliteten i statistiken genom att dubbelregistreringar och andra felaktigheter kan rättas. Statistiken blir även mer flexibel och analysmöjligheterna fler. Genom att kunna följa individer över tid blir det möjligt att göra uppföljningar av insatsernas effekt på kort och lång sikt. Det blir också möjligt att framställa statistik över sammansatta insatser, till exempel yngre personer med insatser inom socialtjänst, hälso- och sjukvård eller LSS, samt att knyta insatser som ges av andra huvudmän till socialtjänstens insatser.37

Andra fördelar med individbaserad statistik är den nytta statistiken har för samhället i stort. Detta gäller främst nyttan för de enskilda brukarna och deras anhöriga som genom bättre kunskap om vilka insatser som andra grupper får i liknande situationer ges en utökad möjlighet till påverkan. I nyttan för samhället ligger även medborgarnas möjlighet till insyn i hushållningen av skattepengar samt de möjligheter som statistiken ger till uppföljning och verksamhetsutveckling på lokal, regional och central nivå. Till detta kommer även utökade möjligheter till registerbaserad forskning inom socialtjänsten. En annan fördel är att uppgiftslämnarbördan minskar genom att till exempel uppgifter om ålder och kön kan härledas direkt ur personnummer.38

3.6.3. Socialtjänstregistrens begränsningar

Trots att socialtjänstregistren i många fall sträcker sig långt tillbaka i tiden och därmed ger goda möjligheter att göra jämförelser över tid är de – i de flesta fall – begränsade till vilken insats som har beslutats under en viss tidsperiod. Uppgifter om till exempel orsak till en insats och resultat av en insats saknas. Eftersom dessa uppgifter saknas är det inte möjligt att följa en insats utförande och statistiken kan därmed bara ge en begränsad bild av de insatser som har

37SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 569. 38SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 570–572.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

54

beslutats. I förhållande till barn och unga samt missbruk och beroende saknas det i princip helt personnummerbaserade uppgifter om beslutade öppna insatser enligt socialtjänstlagen, vilket gör att det inte heller är möjligt att följa vilka insatser som har beviljats över tid för en individ samt de olika vårdförlopp och kombinationer av insatser som har beslutats. Detta utgör en brist eftersom heldygnsinsatser och tvångsvård ofta föregås eller följs av öppna insatser.

Socialstyrelsen har i flera skrivelser till regeringen pekat på behovet av att utvidga individstatistiken rörande socialtjänstens insatser, bland annat för äldre samt för barn och unga.39

När det gäller registret över insatser till äldre och personer med funktionsnedsättning har Socialstyrelsen särskilt pekat på avsaknaden av information om vilka behov som ligger till grund för socialtjänstens insatser, något som innebär att det saknas möjligheter att utvärdera om vården och omsorgen om äldre utgår från den äldres behov. Genom att komplettera statistiken med information om orsak till en insats blir det möjligt att på en övergripande nivå följa insatsernas resultat. Det blir också möjligt att utvärdera likvärdigheten i insatserna utifrån behovet, för att se om det finns andra faktorer än behov som påverkar insatsernas volym och sammansättning, till exempel kön eller utbildningsnivå.40

Även inom barn- och ungdomsstatistiken har Socialstyrelsen upprepade gånger uppmärksammat behovet av att samla in och registrera uppgifter om orsaker till beslutade insatser. Detta gäller både orsaker hänförliga till barnet eller den unge och orsaker hänförliga till vårdnadshavaren. Socialstyrelsen har också pekat på behovet av att statistiska uppgifter utökas till att omfatta fler öppna insatser för barn och unga. Genom att utöka statistiken på detta sätt skapas möjligheter att med hjälp av registerbaserad statistik analysera, följa upp och utvärdera insatserna inom den sociala barn- och ungdomsvården. Möjligheterna att få en förståelse för insatsernas effekter för barn och unga skulle också öka.41

39SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 567. 40 Socialstyrelsen (2013). Äldres behov av vård och omsorg, Förslag till nya registeruppgifter från

socialtjänst och kommunal hälso- och sjukvård, s. 10.

41 Socialstyrelsen (2019). Framställan avseende ändring av förordningen (1981:1370) om

skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen (2001:100) om den officiella statistiken, s. 3.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

55

Den samlade bilden som Socialstyrelsens skrivelser visar är alltså att det saknas betydande data i socialtjänstregistren. Den nuvarande datainsamlingen ger därmed inte tillräckliga möjligheter att framställa statistik, som också kan ligga till grund för de analyser, uppföljningar och utvärderingar som behövs inom socialtjänsten. Bristerna i socialtjänstregistren innebär även att de uppgifter som redan finns i registren har begränsad nytta och att Socialstyrelsen i många fall behöver inhämta kompletterande mängduppgifter från socialnämnderna och kommunerna för att kunna framställa nödvändig statistik.

3.6.4. Flera röster för en utökad statistik

Bristerna i socialtjänststatistiken har under senare tid uppmärksammats på flera håll. Narkotikautredningen, som lämnade över sitt betänkande Vi kan bättre! Kunskapsbaserad narkotikapolitik

med liv och hälsa i fokus (SOU 2023:62) till regeringen den 25

oktober 2023, gör bedömningen att individdata och personnummerbaserad statistik bör införas för socialtjänstens verksamhet och att detta skulle leda till väsentligt förbättrade förutsättningar för att bland annat kunna skatta förekomsten av skadligt bruk eller beroende av narkotika samt beräkna täckningen av vård och stöd vid skadligt bruk eller beroende.42 Även utredningen om barn och unga i samhällets vård, som lämnade över sitt betänkande För barn och

unga i samhällets vård (SOU 2023:66) till regeringen den 6 november

2023, påpekar att utredningen ser ett behov av ytterligare individbaserad statistik om kvaliteten i samhällets vård ska kunna följas upp och analyseras tillräckligt väl.43

En utökad socialtjänststatistik har också lyfts fram som särskilt angelägen utifrån ett forskningsperspektiv eftersom en utökad forskning inom socialtjänsten förutsätter register och databaser med tillförlitlig data om behov hos brukare och klienter, insatser och resultat.44

42SOU 2023:62, Vi kan bättre! Kunskapsbaserad narkotikapolitik med liv och hälsa i fokus, s. 781. 43SOU 2023:66, För barn och unga i samhällets vård, s. 287. 44 Socialstyrelsen (2023). Inbjudan att inkomma med synpunkter på regeringens forsknings- och

innovationspolitik.

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

56

Även kommunerna anser att det finns ett behov av utvidgad individbaserad statistik som också bör kunna utgöra en grund i kommunernas verksamhetsuppföljning.45

Myndigheten för vård- och omsorgsanalys har pekat på att individdata behövs för att kunna koppla ihop uppgifter om insatser med uppgifter om resultat, för att förbättra uppföljningen inom socialtjänsten.46

3.6.5. Rättsliga hinder mot en utökad statistik

Riksrevisionen har i en granskningsrapport från 2021 konstaterat att Socialstyrelsens begränsade rättsliga möjligheter att hämta in och hantera individbaserad statistik från kommunerna påverkar uppföljningen av socialtjänsten negativt och att regeringen bör ta initiativ till de lagändringar som krävs för att utöka Socialstyrelsens statistikmandat.47 Även Myndigheten för vård- och omsorgsanalys har påtalat att Socialstyrelsen saknar lagstöd för att samla in nödvändig information i form av personuppgifter.48

Socialstyrelsens ansvar för att ta fram och utveckla statistik inom sitt verksamhetsområde framgår av förordningen med instruktion för Socialstyrelsen. När det gäller myndighetens mandat att samla in och behandla personuppgifter för statistikframställning grundar sig detta i dataskyddsförordningen och i lagen och förordningen om den officiella statistiken. Mandatet kompletteras med en skyldighet för socialnämnder och kommuner att lämna personuppgifter till Socialstyrelsen för statistiska ändamål, se avsnitt 3.5.3 och 11.3.

I lagen om den officiella statistiken anges att statistikansvariga myndigheter får behandla personuppgifter för framställning av statistik och att detta även inbegriper känsliga personuppgifter och personuppgifter som rör lagöverträdelser, förutsatt att det följer av föreskrifter som regeringen meddelar (14 och 15 §§). Av förordningen om den officiella statistiken framgår att det i bilagan till förordningen anges när det är tillåtet att behandla sådana

45 Socialstyrelsen (2009). Utveckling av statistik för barn och unga inom socialtjänsten, s. 7. 46 Myndigheten för vård- och omsorgsanalys (2018). Fatta läget – Om systematisk uppföljning

av den sociala dygnsvården för barn och unga, s. 51.

47 Riksrevisionen (2021). Öppna jämförelser i socialtjänsten – begränsat bidrag till god kvalitet, s. 5 och 65. 48 Myndigheten för vård- och omsorgsanalys (2018). Fatta läget – Om systematisk uppföljning

av den sociala dygnsvården för barn och unga, s. 152.

Ds 2024:13 Nationell statistik och en kunskapsbaserad socialtjänst

57

uppgifter (8 §). Vilken behandling av känsliga personuppgifter som är tillåten för Socialstyrelsens statistikframställning tydliggörs därmed genom bilagan, under respektive statistikområde. För annan statistik än officiell statistik finns dock en särskild reglering i 15 § andra stycket i lagen om den officiella statistiken.

För framställning av officiell statistik inom statistikområdet Individ- och familjeomsorg får uppgifter om hälsa behandlas om hälsotillstånd utgjort orsak till och ändamål med ekonomiskt bistånd eller administrativa frihetsberövanden. Enskildas hälsotillstånd får också behandlas när det gäller tvångsingripanden med stöd av LVM. Inom statistikområdet Äldre- och handikappomsorg får Socialstyrelsen behandla känsliga personuppgifter som avser utbetalningar och andra insatser i samband med personers hälsotillstånd. Enskildas hälsotillstånd och andra uppgifter får också behandlas i samband med insatser enligt LSS inom statistikområdet Stöd och service till funktionshindrade.

I bilagan till förordningen om den officiella statistiken anges uttömmande de situationer när Socialstyrelsen får behandla känsliga personuppgifter och personuppgifter som rör lagöverträdelser vid framställning av officiell statistik. Socialstyrelsen är därför förhindrad att för den officiella statistiken samla in och behandla känsliga personuppgifter i andra situationer än de som redogjorts för ovan. Det behov av utvidgad datainsamling som identifierats i tidigare avsnitt inbegriper ofta känsliga personuppgifter. Uppgifter om behov och orsak till en insats grundar sig exempelvis ofta i enskildas hälsotillstånd. För att Socialstyrelsen ska kunna samla in och behandla sådana uppgifter för sin statistikframställning krävs därför särskilda föreskrifter i enlighet med lagen och förordningen om den officiella statistiken, genom bilagan till förordningen.

Socialstyrelsen har i samband med sina skrivelser till regeringen hemställt om ändringar i förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter samt i bilagan till förordningen om den officiella statistiken. Utan sådana ändringar har Socialstyrelsen varit förhindrad att utöka den individbaserade statistiken på det sätt som myndigheten bedömt varit nödvändigt. För att myndigheten ska kunna följa socialtjänstfrågornas utveckling och socialtjänstens arbete på nationell nivå i enlighet med sitt författningsenliga uppdrag krävs därmed att Socialstyrelsen ges

Nationell statistik och en kunskapsbaserad socialtjänst Ds 2024:13

58

bättre rättsliga förutsättningar att utöka den nationell statistiken inom socialtjänsten.

59

4. Gällande rätt – dataskydd och sekretess

4.1. Inledning

Rätten till skydd av personuppgifter är ett utflöde av skyddet för den personliga integriteten och rätten till respekt för privatlivet. Dessa grundläggande rättigheter skyddas av regelverk på såväl internationell som nationell nivå. Det allmänna skyddet för fysiska personer vid behandling av personuppgifter regleras idag främst genom generella förordningsbestämmelser på EU-nivå med kompletterande dataskyddsbestämmelser i medlemsstaternas nationella rätt.

Offentlighetsprincipen innebär att all offentlig verksamhet, som utgångspunkt, ska vara öppen för insyn och kontroll från allmänheten. Denna grundläggande princip genomsyrar den svenska statsförvaltningen och har kommit till uttryck i bland annat tryckfrihetsförordningens (TF) bestämmelser om allmänna handlingars offentlighet. I sekretesslagstiftningen finns samtidigt bestämmelser som begränsar rätten att ta del av allmänna handlingar.

I det här kapitlet redogör vi övergripande för den allmänna regleringen av skyddet för den personliga integriteten och behandling av personuppgifter som är av betydelse för vårt uppdrag. Vi redogör även övergripande för delar av den rättsliga regleringen av offentlighet och sekretess av relevans. I kapitlet redogör vi också översiktligt för offentlighetsprincipens förhållande till dataskyddsregleringen.

Gällande rätt – dataskydd och sekretess Ds 2024:13

60

4.2. Rätten till skydd för den personliga integriteten

4.2.1. FN:s förklaring om de mänskliga rättigheterna

Det internationella arbetet för mänskliga rättigheter tar sin utgångspunkt i den allmänna förklaring om de mänskliga rättigheterna som Förenta nationerna, FN, antog år 1948. Skyddet för den personliga integriteten behandlas i artikel 12, som anger att ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp. Av artikel 29 följer att en person endast får underkastas sådana inskränkningar som har fastställts i lag och enbart i syfte att trygga tillbörlig hänsyn till och respekt för andras rättigheter och friheter samt för att tillgodose ett demokratiskt samhälles berättigade krav på moral, allmän ordning och allmän välfärd.

De rättigheter som inryms i förklaringen har senare förts in och vidareutvecklats i ett antal konventioner som är bindande för Sverige och övriga anslutna stater.

4.2.2. Europakonventionen

Rätten till skydd för den personliga integriteten ingår som en del i rätten till respekt för privatlivet enligt artikel 8 i Europakonventionen49. Av artikeln följer att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. En offentlig myndighet får inte inskränka denna rättighet annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till statens säkerhet, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller till skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Behandling av personuppgifter faller ofta inom bestämmelsens tillämpningsområde.50

49 Europeiska konventionen den 4 november 1950 om skydd för de mänskliga rättigheterna och de grundläggande friheterna. 50 Se till exempel Europadomstolens dom i S. och Marper mot Förenade kungariket, mål nr 30562/04 och 30566/04, dom den 4 december 2008.

Ds 2024:13 Gällande rätt – dataskydd och sekretess

61

När det gäller laglighetskriteriet krävs bland annat att den nationella författningen uppfyller vissa minimikrav i fråga om kvalitet och tydlighet. Reglerna ska vara tillräckligt tydliga för att tillämpningen ska vara förutsebar, och de ska vara allmänt tillgängliga. Kravet att ett ingripande ska vara nödvändigt i ett demokratiskt samhälle innebär att det ska finnas ett angeläget samhälleligt behov av åtgärden i fråga. I det ligger bland annat en begränsning som innebär att åtgärden inte får gå längre än vad som är nödvändigt med beaktande av proportionalitetsprincipen, det vill säga den ska stå i rimlig relation till det intresse som åtgärden är avsedd att tillgodose. Vid denna avvägning har staterna ett visst handlingsutrymme att inom rimliga gränser avgöra vilka åtgärder som kan anses nödvändiga för att tillgodose det eftersträvade ändamålet.

Europakonventionen gäller som lag i Sverige.51 Lag eller annan föreskrift får inte meddelas i strid med Sveriges åtaganden på grund av konventionen (2 kap. 19 § regeringsformen).

4.2.3. EU:s rättighetsstadga

Den personliga integriteten skyddas också av bestämmelser i EU:s rättighetsstadga52. I artikel 7, som motsvarar artikel 8 i Europakonventionen, anges att var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer. Av artikel 8 i EU:s rättighetsstadga följer vidare att var och en har rätt till skydd av de personuppgifter som rör honom eller henne.53 Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund.

Varje begränsning i utövandet av rätten till skydd av personuppgifter ska vara föreskriven i lag och förenlig med det väsentliga innehållet i rättigheten. Begränsningar får, med beaktande av proportionalitetsprincipen, endast göras om de är nödvändiga och faktiskt svarar mot mål av allmänt samhällsintresse som erkänns av

51 Lagen (1994:1219) om den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna. 52 Europeiska unionens stadga om de grundläggande rättigheterna. 53 Se även artikel 16.1 i fördraget om EU:s funktionssätt.

Gällande rätt – dataskydd och sekretess Ds 2024:13

62

unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52).

4.2.4. Regeringsformen

I svensk rätt regleras rätten till skydd för den personliga integriteten i regeringsformens (RF) bestämmelser om de grundläggande fri- och rättigheterna. Enligt denna reglering är var och en, gentemot det allmänna, skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden (2 kap. 6 § andra stycket RF).

Detta skydd mot intrång i den personliga integriteten kan begränsas genom lag. En sådan begränsning får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till ändamålet. En begränsning får inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning (2 kap. 20 och 21 §§ RF).

4.3. Dataskyddsförordningen

4.3.1. Tillämpningsområde och definitioner

Dataskyddsförordningen54 utgör en generell reglering för behandling av personuppgifter inom EU. Syftet med förordningen är dels att skydda fysiska personers grundläggande fri- och rättigheter, särskilt deras rätt till skydd vid behandling av personuppgifter, dels att säkerställa ett fritt flöde av personuppgifter inom unionen.

Dataskyddsförordningen är direkt tillämplig i svensk rätt. I vissa delar är dock bestämmelserna i förordningen utformade på ett sådant sätt att de ger ett utrymme för eller förutsätter kompletterande nationella dataskyddsbestämmelser. En medlemsstat har

54 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Ds 2024:13 Gällande rätt – dataskydd och sekretess

63

därmed ett handlingsutrymme att i viss utsträckning anta kompletterande bestämmelser för att anpassa tillämpningen av förordningen till den nationella kontexten.

Dataskyddsförordningen är tillämplig på behandling av personuppgifter som helt eller delvis företas på automatisk väg samt på annan behandling än automatisk av personuppgifter som ingår i eller kommer att ingå i ett register (artikel 2.1). Vissa behandlingar av personuppgifter är dock uttryckligen undantagna från tillämpningsområdet.

Med begreppet behandling avses en åtgärd eller en kombination av åtgärder beträffande personuppgifter, oberoende av om de utförs automatiserat eller manuellt. Exempel på åtgärder som utgör behandling är insamling, registrering, strukturering, lagring, bearbetning, användning eller spridning av personuppgifter (artikel 4.2).

Varje upplysning som avser en identifierad eller identifierbar fysisk person är en personuppgift (artikel 4.1). För att avgöra om en uppgift avser en identifierbar fysisk person bör man beakta alla hjälpmedel som rimligen kan komma att användas för att direkt eller indirekt identifiera personen (skäl 26). Personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning utgör vad som i svensk rätt benämns som känsliga personuppgifter (artikel 9.1). Dataskyddsförordningen gäller inte vid behandling av uppgifter om avlidna personer (skäl 27).

Dataskyddsförordningen är tillämplig på pseudonymiserade

uppgifter. Med pseudonymisering avses behandling av person-

uppgifter på ett sätt som innebär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används (artikel 4.5). När det däremot gäller

anonymiserade uppgifter är dataskyddsförordningen inte tillämplig.

Med anonymiserade uppgifter avses uppgifter som inte ens med kompletterande information kan hänföras till en viss individ. Någon koppling till individen ska inte rimligen kunna skapas. Det innebär att dataskyddsförordningen inte gäller vid behandling av

Gällande rätt – dataskydd och sekretess Ds 2024:13

64

anonymiserad information inom till exempel forskning eller för statistiska ändamål (skäl 26).

Med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Avgörande för placeringen av personuppgiftsansvaret är vem som har rätt att bestämma ändamål och medel för behandlingen. Om ändamålen och medlen bestäms av unionsrätten eller medlemsstaternas nationella rätt, är det dock möjligt att reglera vem som är personuppgiftsansvarig i lagstiftningen (artikel 4.7).

4.3.2. Grundläggande principer för behandling av personuppgifter

Dataskyddsförordningen ställer krav på att all behandling av personuppgifter ska ha en rättslig grund och genomföras i enlighet med vissa grundläggande principer (artiklarna 5.1 och 6.1). Förenklat kan sägas att förordningens krav på rättslig grund utgör en förutsättning för att en personuppgift överhuvudtaget ska behandlas, medan övriga principer reglerar hur behandlingen får genomföras.

Enligt de grundläggande principerna ska personuppgifter behandlas på ett lagligt, korrekt och öppet sätt. Uppgifterna ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål, och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål (ändamålsbegränsning, även kallad finalitetsprincipen). De insamlade uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen (uppgiftsminimering). Uppgifterna ska vidare vara riktiga och, om det är nödvändigt, uppdaterade. Alla rimliga åtgärder måste vidtas för att säkerställa att felaktiga personuppgifter raderas eller rättas utan dröjsmål (riktighet). Personuppgifterna får som huvudregel inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (lagringsminimering). Uppgifterna ska även behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust,

Ds 2024:13 Gällande rätt – dataskydd och sekretess

65

förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).

Det är den personuppgiftsansvarige som ansvarar för och ska kunna visa att dessa grundläggande principer för behandling av personuppgifter efterlevs (ansvarsskyldighet). Om en personuppgiftsansvarig behandlar personuppgifter i strid med förordningen, kan den personuppgiftsansvarige bli skadeståndsskyldig eller skyldig att betala en administrativ sanktionsavgift (artiklarna 82 och 83).

4.3.3. Rättsliga grunder för behandling av personuppgifter

Allmänt om kravet på rättslig grund

Behandling av personuppgifter är endast laglig om och i den mån den utförs med stöd av en rättslig grund. De rättsliga grunderna för personuppgiftsbehandling anges uttömmande i förordningen. Enligt dessa grunder får personuppgifter behandlas med stöd av den registrerades samtycke, för att fullgöra ett avtal eller en rättslig förpliktelse, till skydd för intressen som är av grundläggande betydelse för en fysisk person, för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning, eller utifrån en intresseavvägning mellan den personuppgiftsansvariges eller tredje parts berättigade intressen och den registrerades intressen och grundläggande fri- och rättigheter (artikel 6.1) De rättsliga grunderna är i viss mån överlappande och viss behandling kan därmed omfattas av mer än en rättslig grund. Om ingen rättslig grund är tillämplig, är behandlingen inte tillåten.

Behandling av personuppgifter är, med undantag för personuppgifter som behandlas med stöd av den registrerades samtycke, endast laglig om behandlingen är nödvändig i förhållande till den rättsliga grunden. Nödvändighetskravet har en nära koppling till principerna om ändamålsbegränsning och uppgiftsminimering och medför ett krav på ett direkt samband mellan behandlingen och den rättsliga grunden. Det unionsrättsliga begreppet nödvändigt har dock inte samma strikta innebörd som det svenska ordet nödvändigt.

Gällande rätt – dataskydd och sekretess Ds 2024:13

66

Särskilt om rättslig förpliktelse

Personuppgifter får behandlas om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). Behandling av personuppgifter enligt denna grund förutsätter att det är just den personuppgiftsansvarige som har en rättslig skyldighet att fullgöra. För att en skyldighet ska utgöra en rättslig förpliktelse krävs legal grund. Begreppet tar i första hand sikte på offentligrättsliga förpliktelser som följer direkt av en författning eller en skyldighet som har slagits fast i en dom eller ett myndighetsbeslut.55 Behandling av personuppgifter på denna grund förutsätter inte att det måste finnas en författningsreglerad skyldighet att genomföra själva behandlingen av personuppgifterna, utan det räcker att behandlingen är nödvändig för att kunna fullgöra en rättslig förpliktelse (jfr artikel 6.3).

Särskilt om uppgift av allmänt intresse

Behandling av personuppgifter får även ske om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse (artikel 6.1 e). Vad som är ett allmänt intresse definieras inte i dataskyddsförordningen. Begreppet har dock en vid betydelse och omfattar uppgifter av vitt skilda slag. Av dataskyddsförordningen följer att allmänintresset inbegriper hälso- och sjukvårdsändamål, folkhälsa, socialt skydd och förvaltning av hälso- och sjukvårdstjänster (skäl 45). Uppgifter som riksdag eller regering har gett i uppdrag åt statliga myndigheter att utföra är som utgångspunkt av allmänt intresse, och på motsvarande sätt även de obligatoriska uppgifter som ålagts kommuner och regioner att utföra. Av detta följer att den verksamhet som en statlig eller kommunal myndighet bedriver, inom ramen för sin befogenhet, är av allmänt intresse.56

Även privata aktörer kan utföra arbetsuppgifter av allmänt intresse på uppdrag av en myndighet eller på eget initiativ. Bedömningen av om arbetsuppgiften är av allmänt intresse bör göras mot bakgrund av verksamhetens syfte, oavsett om den faktiskt utförs i myndighetens regi eller av någon annan.57

55Prop. 2017/18:105, Ny dataskyddslag, s. 53. 56Prop. 2017/18:105, Ny dataskyddslag, s. 56–57. 57 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 58.

Ds 2024:13 Gällande rätt – dataskydd och sekretess

67

Krav på att grunden för behandling ska fastställas i rättsordning

För behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning, ska grunden för behandlingen fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av (artikel 6.3 första stycket). Det innebär att det inte är möjligt att endast stödja sig på den generella regleringen i dataskyddsförordningen vid sådan behandling.

Syftet med behandlingen ska fastställas i den rättsliga grunden eller, i fråga om behandling enligt bestämmelsen om uppgift av allmänt intresse eller myndighetsutövning, ska vara nödvändigt för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning.

När grunden för behandlingen fastställs i nationell rätt ska den vidare uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Den rättsliga grunden kan innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen, till exempel om de allmänna villkor som ska gälla för behandlingen, vilken typ av uppgifter som ska behandlas samt begränsningar gällande ändamål och lagringstid (artikel 6.3 andra stycket).

Det är grunden för behandlingen, det vill säga den rättsliga förpliktelsen eller uppgiften av allmänt intresse, som ska fastställas i rättsordningen. Det finns dock inte något krav på att själva behandlingen av personuppgifter ska fastställas.58 Dataskyddsförordningen ställer inte heller krav på att den rättsliga grunden införs på en viss normhierarkisk nivå. Utifrån dataskyddsförordningens perspektiv kan alltså nationell reglering införas även i förordning. Den rättsliga grunden bör dock fastställas på ett sådant sätt att grunden är tydlig och precis och att tillämpningen av den är förutsägbar för dem som omfattas av den (skäl 41). Vilken grad av tydlighet och precision som krävs vid fastställelse av den rättsliga grunden får bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Ett mer kännbart intrång i den personliga integriteten, såsom till exempel omfattande behandling av känsliga personuppgifter, kräver en högre

58Prop. 2017/18:105, Ny dataskyddslag, s. 49.

Gällande rätt – dataskydd och sekretess Ds 2024:13

68

grad av precision av den rättsliga grunden och därmed en hög grad av förutsebarhet.59

4.3.4. Känsliga personuppgifter

Utöver de grundläggande principerna för personuppgiftsbehandling och kravet på rättslig grund för behandling gäller särskilda krav för behandling av uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och för behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning, så kallade känsliga personuppgifter. Dessa kategorier av personuppgifter är till sin natur särskilt känsliga och ges därför ett särskilt skydd, eftersom behandling av sådana uppgifter kan innebära betydande risker för de grundläggande fri- och rättigheterna (skäl 51).

Behandling av känsliga personuppgifter är som utgångspunkt förbjuden (artikel 9.1). Detta förbud kompletteras dock med en rad undantag som anges uttömmande i förordningen (artikel 9.2). Likt de rättsliga grunderna för behandling av personuppgifter är vissa av dessa undantag direkt tillämpliga, medan andra undantag har uttryckliga hänvisningar till och krav på innehållet i unionsrätten och medlemsstaternas nationella rätt.

Tröskeln för att en personuppgiftsansvarig ska få behandla känsliga personuppgifter är alltså högre än den som gäller för behandling av andra personuppgifter i samma situation. Det innebär dock inte att undantagen i sig måste genomföras i svensk rätt för att vara tillämpliga.60

4.3.5. Personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott

Dataskyddsförordningen innehåller också särskilda bestämmelser till skydd för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande

59Prop. 2017/18:105, Ny dataskyddslag, s. 51. 60Prop. 2017/18:105, Ny dataskyddslag, s. 75.

Ds 2024:13 Gällande rätt – dataskydd och sekretess

69

säkerhetsåtgärder. Utöver de villkor som gäller vid all behandling av personuppgifter gäller att sådana uppgifter endast får behandlas under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10). Om en uppgift om brott även utgör en känslig personuppgift, gäller därutöver de särskilda krav som gäller för behandling av sådana uppgifter.

4.3.6. Personnummer och samordningsnummer

Personnummer och samordningsnummer är inte känsliga personuppgifter i dataskyddsförordningens mening, men har getts en särställning genom att medlemsstaterna getts möjlighet att införa särskilda villkor för behandlingen (artikel 87).61 Villkoren ska i sådana fall säkerställa att identifikationsuppgifterna bara får användas med iakttagande av lämpliga skyddsåtgärder för de registrerades fri- och rättigheter.

Dataskyddsförordningen kräver dock inte att medlemsstaterna inför en särskild reglering av behandling av sådana uppgifter.

4.3.7. Personuppgifter om barn

Enligt dataskyddsförordningen förtjänar barns personuppgifter särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38).

4.3.8. De registrerades rättigheter

Dataskyddsförordningen innehåller ett antal rättigheter för de enskilda vars personuppgifter behandlas (de registrerade). Den registrerade har rätt att få omfattande information från den personuppgiftsansvarige. Informationen och kommunikationen ska vara klar och tydlig och de villkor som ska gälla för utövandet av den

61Prop. 2017/18:105, Ny dataskyddslag, s. 101.

Gällande rätt – dataskydd och sekretess Ds 2024:13

70

registrerades rättigheter ska vara klara och tydliga (artikel 12). Den registrerade har bland annat rätt att få information om ändamålen med den behandling för vilken personuppgifterna är avsedda och den rättsliga grunden för behandlingen (artiklarna 13.1 c och 14.1 c).

Den registrerade kan också begära ett så kallat registerutdrag med information om bland annat vilka kategorier av uppgifter som behandlas om honom eller henne (artikel 15). Vidare har den registrerade rätt att begära att få uppgifter rättade eller raderade eller att behandlingen ska begränsas (artiklarna 16–18). Den registrerade har även rätt att göra invändningar mot personuppgiftsbehandling som grundar sig på bland annat artikel 6.1 e (artikel 21.1).

Den registrerades rättigheter, med motsvarande skyldigheter för den personuppgiftsansvarige, är direkt tillämpliga. Rättigheterna är dock inte absoluta utan kan under vissa förutsättningar begränsas (artikel 23.1).

4.4. Kompletterande nationella dataskyddsbestämmelser

I svensk rätt har kompletterande bestämmelser till dataskyddsförordningen på generell nivå antagits genom lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, dataskyddslagen, och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Dessa författningar innehåller bland annat bestämmelser som tydliggör innebörden av vissa bestämmelser i dataskyddsförordningen och ger vägledning om hur dessa ska tillämpas i svensk rättsordning. Dataskyddslagen är subsidiär i förhållande till annan lag eller förordning, vilket innebär att avvikande bestämmelser i registerförfattningar och annan kompletterande dataskyddsreglering har företräde (1 kap. 6 § dataskyddslagen).

I svensk rätt finns ett stort antal specialförfattningar, så kallade registerförfattningar, som reglerar framförallt myndigheters behandling av personuppgifter. Sådana författningar har antagits på områden där det är nödvändigt för myndigheter att behandla uppgifter om ett stort antal registrerade och med ett särskilt känsligt innehåll. Syftet med registerförfattningar är att anpassa lagstiftningen till de särskilda behov som finns inom olika

Ds 2024:13 Gällande rätt – dataskydd och sekretess

71

verksamhetsområden samtidigt som behovet av skydd för enskildas integritet beaktas.

4.5. Offentlighet och sekretess

4.5.1. Allmänna handlingars offentlighet

Enligt 2 kap. 1 § TF har var och en rätt att ta del av allmänna handlingar. Med handling avses en framställning i skrift eller bild samt en upptagning som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt (2 kap. 3 § TF). Begreppet handling är alltså brett och omfattar såväl pappershandlingar som digitala handlingar. En handling är allmän, om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten (2 kap. 4 § TF). För att en upptagning ska anses förvarad hos en myndighet krävs att myndigheten kan läsa, avlyssna eller på annat sätt uppfatta den med något tekniskt hjälpmedel som myndigheten själv använder. När det gäller sammanställningar av uppgifter ur en upptagning för automatiserad behandling gäller särskilda regler, bland annat anses en sådan sammanställning endast förvarad hos myndigheten om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder (2 kap. 6 § TF).

Rätten att ta del av allmänna handlingar får begränsas endast om det krävs med hänsyn till vissa särskilda intressen, som till exempel skyddet för enskildas personliga eller ekonomiska förhållanden (2 kap. 2 § TF). En begränsning av rätten att ta del av allmänna handlingar ska framgå av offentlighets- och sekretesslagen (2009:400), OSL, eller annan lag som den lagen hänvisar till.

Den som begär ut en allmän handling har i regel rätt att vara anonym. En myndighet får endast efterforska vem som begär att få ta del av en handling eller vilket som är syftet med begäran i den mån det behövs för att myndigheten ska kunna pröva om det finns hinder mot att lämna ut handlingen (2 kap. 18 § TF).

Gällande rätt – dataskydd och sekretess Ds 2024:13

72

4.5.2. Uppgiftslämnande mellan myndigheter

Rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen gäller endast i förhållandet mellan det allmänna och enskilda och är inte tillämplig i förhållandet mellan myndigheter. En myndighet har däremot en principiell rätt att efter begäran hos en annan myndighet få ut en uppgift som den andra myndigheten förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång (6 kap. 5 § OSL). Denna bestämmelse utgör en precisering av den allmänna skyldigheten för myndigheter att samverka med varandra. Det finns alltså en generell skyldighet för en myndighet att, på begäran av en annan myndighet, lämna ut uppgifter som förvaras vid myndigheten. Skyldigheten att lämna uppgifter till en annan myndighet omfattar varje uppgift som myndigheten förfogar över och är inte begränsad till uppgifter i allmänna handlingar. Skyldigheten att lämna information till andra myndigheter är därmed mer långtgående än skyldigheten att lämna ut uppgifter till allmänheten.

Bestämmelsen i 6 kap. 5 § OSL innebär dock inte någon uppgiftsskyldighet som bryter sekretessen mellan myndigheter (jfr 10 kap. 28 § OSL). En myndighet som tar emot en begäran om att lämna ut uppgifter måste därför förvissa sig om att informationsutbytet är förenligt med eventuellt tillämpliga bestämmelser om sekretess innan uppgifterna lämnas ut.

4.5.3. Sekretess och tystnadsplikt

Allmänt om sekretess och tystnadsplikt

Sekretess innebär ett förbud att röja en uppgift, vare sig det sker muntligen, genom att en allmän handling lämnas ut eller på annat sätt (3 kap. 1 § OSL). Att en uppgift omfattas av sekretess medför alltså dels handlingssekretess, dels tystnadsplikt.

Ett förbud att röja eller utnyttja en uppgift gäller för myndigheter och för personer som fått kännedom om uppgiften genom att för det allmännas räkning delta i en myndighets verksamhet som exempelvis anställd eller uppdragstagare (2 kap. 1 § OSL). Den som bryter mot ett förbud att röja eller utnyttja en uppgift kan dömas för

Ds 2024:13 Gällande rätt – dataskydd och sekretess

73

brott mot tystnadsplikt (14 kap. 2 § OSL, se 20 kap. 3 § brottsbalken).

Sekretess gäller i förhållande till enskilda och andra myndigheter (8 kap. 1 § OSL). Sekretess gäller också mellan olika verksamhetsgrenar inom en myndighet när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 §). Syftet med sekretess mellan myndigheter är i första hand att värna om den enskildes integritet. Uppgifter i allmänna handlingar som förvaras hos en myndighet kan hos en annan myndighet läggas till grund för åtgärder som, även om de är helt lagenliga, har en negativ innebörd för den enskilde. I förarbetena till den tidigare sekretesslagen har det framhållits att ett fullgott integritetsskydd för information om en enskild hos en myndighet därför i princip ställer krav på att informationen inte vidarebefordras utanför den verksamhet i vilken den har inhämtats.62

En sekretessbestämmelse är uppbyggd utifrån tre olika faktorer: sekretessens föremål, räckvidd och styrka. Vilka uppgifter som kan bli föremål för sekretess styrs av de intressen som kan motivera en begränsning av rätten att ta del av en allmän handling, till exempel uppgifter om enskildas personliga eller ekonomiska förhållanden (jfr 2 kap. 2 § TF). Sekretess för en viss uppgift kan ha generell räckvidd och gälla inom i princip hela den offentliga sektorn. Merparten av sekretessbestämmelserna har dock begränsad räckvidd, det vill säga bestämmelserna gäller endast för uppgifter i vissa typer av ärenden, i en viss typ av verksamhet eller hos vissa angivna myndigheter.

Sekretessens styrka bestäms med hjälp av ett så kallat skaderekvisit som brukar delas upp i raka och omvända. Vid ett rakt skaderekvisit råder presumtion för att uppgifterna är offentliga och sekretess gäller endast om det kan antas att viss skada uppstår om uppgiften lämnas ut. Vid ett omvänt skaderekvisit är utgångspunkten att uppgifterna omfattas av sekretess, om det inte står klart att uppgiften kan lämnas ut utan att skada eller men uppstår. För att kunna bedöma om en uppgift omfattas av sekretess vid tillämpningen av ett omvänt skaderekvisit måste hänsyn tas till samtliga omständigheter i det enskilda fallet.

Sekretessen kan för vissa uppgifter även vara absolut, vilket innebär att det inte finns något skaderekvisit. Sekretess gäller då utan en prövning av skadan. En sådan utformning av en

62Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A s. 90–91.

Gällande rätt – dataskydd och sekretess Ds 2024:13

74

sekretessbestämmelse ger ett mycket starkt skydd för de uppgifter som omfattas av bestämmelsen. En bestämmelse om absolut sekretess innebär att ett generellt undantag görs från offentlighetsprincipen inom ett visst område av det allmännas verksamhet.

Primär och sekundär sekretess samt överföring av sekretess

Sekretessbestämmelser kan delas in i primära och sekundära. En primär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av att bestämmelsen riktar sig direkt till myndigheten, omfattar en viss verksamhetstyp eller en viss ärendetyp som hanteras hos myndigheten eller omfattar vissa uppgifter som finns hos myndigheten. En sekundär sekretessbestämmelse är en bestämmelse om sekretess som en myndighet ska tillämpa på grund av en bestämmelse om överföring av sekretess. En bestämmelse om överföring av sekretess innebär att en primär sekretessbestämmelse som är tillämplig på en uppgift hos en myndighet, ska tillämpas på uppgiften även av en annan myndighet som uppgiften lämnas till (3 kap. 1 § OSL).

Huvudregeln är att sekretess för en viss uppgift inte överförs när en uppgift lämnas från en myndighet till en annan. Får en myndighet en sekretessreglerad uppgift från en annan myndighet, gäller sekretess för uppgiften hos den mottagande myndigheten därför endast om sekretess följer av en primär sekretessbestämmelse som är tillämplig hos den mottagande myndigheten eller av en bestämmelse om överföring av sekretess (7 kap. 2 § OSL).

Sekretessbrytande bestämmelser

Uppgifter som omfattas av sekretess får inte lämnas ut utan stöd i offentlighets- och sekretesslagen. För att möjliggöra nödvändigt informationsutbyte av sekretesskyddade uppgifter innehåller lagen en rad sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess. Dessa har utformats efter en intresseavvägning mellan myndigheternas behov av att utbyta uppgifter och det intresse som den aktuella sekretessbestämmelsen avser att skydda.

Ds 2024:13 Gällande rätt – dataskydd och sekretess

75

En sekretessbrytande bestämmelse definieras som en bestämmelse som innebär att en sekretessbelagd uppgift får lämnas ut under vissa förutsättningar (3 kap. 1 § OSL). Det finns dels sekretessbrytande bestämmelser som är tillämpliga på sekretess enligt alla eller ett stort antal sekretessbestämmelser, dels sekretessbrytande bestämmelser som endast bryter sekretess som gäller enligt en eller några få sekretessbestämmelser.

En sekretessbrytande bestämmelse kan formuleras som en uppgiftsskyldighet. I 10 kap. 28 § OSL anges att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Sådana sekretessbrytande uppgiftsskyldigheter återfinns i olika författningar. En förutsättning för att en bestämmelse om uppgiftsskyldighet ska vara sekretessbrytande är att den uppfyller vissa krav på konkretion. En bestämmelse om uppgiftsskyldighet kan ta sikte på utlämnande av uppgifter av ett speciellt slag, gälla en viss myndighets rätt att ta del av uppgifter i allmänhet eller avse en skyldighet för en viss myndighet att lämna andra myndigheter information.

Det finns inte något konstitutionellt hinder mot att regeringen genom en förordning medger att annars sekretessbelagda uppgifter lämnas mellan myndigheter, eftersom tryckfrihetsförordningens bestämmelser om allmänna handlingars offentlighet endast reglerar allmänhetens tillgång till sådana handlingar (jfr 2 kap. 1 och 2 §§ TF). En uppgiftsskyldighet kan därmed följa av såväl lag som förordning.

Kort om sekretess och tystnadsplikt inom socialtjänsten

Sekretess gäller inom socialtjänsten för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (26 kap. 1 § OSL). Uppgifterna inom socialtjänsten skyddas alltså av en stark sekretess. Med socialtjänst förstås enligt samma bestämmelse huvudsakligen verksamhet enligt lagstiftningen om socialtjänst och den särskilda lagstiftningen om vård av unga och missbrukare utan samtycke samt verksamhet som i annat fall enligt lag bedrivs av socialnämnd eller av Statens institutionsstyrelse. Med

Gällande rätt – dataskydd och sekretess Ds 2024:13

76

socialtjänst jämställs vidare bland annat verksamhet enligt lagstiftningen om stöd och service till vissa funktionshindrade.

Inom enskild verksamhet i socialtjänsten finns bestämmelser om tystnadsplikt i 15 kap.1 och 2 §§socialtjänstlagen. Tystnadsplikten innebär ett förbud för den som är eller har varit verksam inom yrkesmässigt bedriven enskild verksamhet enligt socialtjänstlagen att obehörigen röja vad han eller hon därvid har fått veta om enskildas personliga förhållanden. Motsvarande tystnadsplikt finns i 29 § LSS.

Kort om sekretess i statistikverksamhet

Sekretess gäller i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift om en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde (24 kap. 8 § första stycket OSL). Denna så kallade statistiksekretess är absolut. Sekretessen enligt bestämmelsen skyddar inte bara sådana uppgifter som innehåller identitetsbeteckningar som namn och personnummer på en enskild, utan även uppgifter som överhuvudtaget kan – direkt eller indirekt – hänföras till en viss enskild. När statistiksekretessen infördes anförde regeringen att ett skäl för att ha en långtgående sekretess är att offentlighetsintresset på detta område är förhållandevis svagt, medan integritetsintresset däremot är påtagligt.63

Sekretessen gäller inom sådan särskild verksamhet hos myndighet som avser framställning av statistik, det vill säga sådan statistikframställning som sker utan anknytning till något särskilt ärende. Det som är avgörande för om statistiksekretess gäller är om myndigheten har en särskild reglering, ordning eller organisation för framställning av statistik. Verksamheten ska vara avskild från annan verksamhet, till exempel genom att den är organiserad som en egen enhet eller liknande.64 Statistiksekretessen gäller för en uppgift oavsett varifrån den härrör eller hur den har kommit till myndigheten. Det är alltså inte ändamålet med uppgiften utan den

63Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A s. 262. 64 Se bland annat prop. 1979/80:2, med förslag till sekretesslag m.m., Del A s. 263 och prop. 2018/19:118, Reglering av mikrosimuleringsmodellen Fasit, s. 21.

Ds 2024:13 Gällande rätt – dataskydd och sekretess

77

verksamhet i vilken den förekommer som är avgörande.65 Ett typexempel på särskild verksamhet för framställning av statistik utgörs av den verksamhet som avser framställning av den officiella statistiken, som enligt 3 § lagen om den officiella statistiken ska finnas för allmän information, utredningsverksamhet och forskning.66 Begreppet framställning av statistik bör förstås som sammanställningar av data, som ofta åstadkoms med de olika metoder för insamling, bearbetning, redovisning och analys som utvecklats inom den statistiska vetenskapen.67

Regeringen får vidare föreskriva att sekretess enligt 24 kap. 8 § OSL ska gälla i annan jämförbar undersökning. Det är fråga om olika utredningar och undersökningar som utförs utanför en särskild statistikverksamhet, men där man ansett att statistiksekretessen ändå bör gälla. Vilka undersökningar som omfattas anges i offentlighets- och sekretessförordningen (2009:641), OSF. Statistiksekretessen gäller exempelvis för uppgifter om enskildas personliga förhållanden i Socialstyrelsens undersökningar som avser kartläggning, uppföljning, analys eller utvärdering av verksamhet inom bland annat socialtjänsten eller av verksamhet som rör stöd och service till vissa personer med funktionsnedsättning (7 § OSF).

Från huvudregeln om absolut sekretess i statistikverksamhet finns ett antal undantag för att möjliggöra utlämnande för vissa särskilda syften. Undantagen avser bland annat uppgifter som behövs för forsknings- eller statistikändamål samt uppgifter som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde. I dessa undantagsfall får uppgifter dock bara lämnas ut, om det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (se 24 kap. 8 § tredje stycket OSL).

Vid en skadeprövning enligt 24 kap. 8 § tredje stycket OSL kan det sekretesskydd som de efterfrågade uppgifterna skulle få efter ett utlämnande vara av avgörande betydelse. Vid utlämnande till en annan myndighet behöver de olika sekretessregler som kan bli aktuella hos den myndigheten beaktas. Lämnas exempelvis uppgifter till en myndighet i dess forskningsverksamhet överförs sekretessen

65Prop. 1979/80:2, med förslag till sekretesslag m.m., Del A s. 263. Se även SOU 2012:83, Vad

är officiell statistik? En översyn av statistiksystemet och SCB, s. 342.

66Prop. 2021/22:92, Ändrade regler för att möjliggöra utlämning av uppgifter för inkomststudier, s. 18. 67 Jfr prop. 2013/14:162, Ändringar av statistiksekretessen, s. 8.

Gällande rätt – dataskydd och sekretess Ds 2024:13

78

dit, om uppgifterna inte omfattas av en annan sekretessbestämmelse till skydd för samma intresse hos den mottagande myndigheten (jfr 11 kap. 3 och 8 §§ OSL). Om uppgifterna omfattas av svagare sekretesskydd än statistiksekretessen hos mottagaren, kan det i sig innebära att det inte står klart att de kan lämnas ut utan risk för skada eller men.

Vid utlämnande till andra än myndigheter omfattas uppgifterna som regel inte av någon sekretessbestämmelse hos mottagaren. Ett möjligt sätt att undanröja risken för skada eller men kan vara att förena utlämnandet med ett förbehåll enligt 10 kap. 14 § OSL som inskränker en enskild fysisk persons rätt att lämna uppgiften vidare eller utnyttja den. Om mottagaren inte följer de villkor som uppställs i förbehållet kan han eller hon göra sig skyldig till brott mot tystnadsplikten (20 kap. 3 § brottsbalken).

4.5.4. Offentlighetsprincipens förhållande till dataskyddsförordningen

Bestämmelserna i dataskyddsförordningen ska inte tillämpas i den utsträckning det skulle strida mot tryckfrihetsförordningen eller yttrandefrihetsgrundlagen (artiklarna 85 och 86 i dataskyddsförordningen, se även 1 kap. 7 § dataskyddslagen). Den svenska regleringen av rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen ges därmed företräde framför rätten till skydd av personuppgifter enligt dataskyddsförordningen.

Att en viss uppgift omfattas av sekretess utgör dock en form av skyddsåtgärd vid behandling av personuppgifter och det finns alltså en tydlig samverkan mellan bestämmelserna i dataskyddsförordningen och bestämmelser som innebär en begränsning av rätten att ta del av allmänna handlingar. Bestämmelserna i offentlighets- och sekretesslagen är därmed en grundläggande del av skyddet för personuppgifter i svensk rätt. Lagen innehåller även en särskild bestämmelse som föreskriver sekretess för personuppgifter, om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen eller dataskyddslagen (21 kap. 7 § OSL). Om en myndighet bedömer att det kan antas att personuppgifter efter ett utlämnande kommer att behandlas i strid med gällande dataskyddsreglering kan alltså myndigheten neka att

Ds 2024:13 Gällande rätt – dataskydd och sekretess

79

lämna ut personuppgifterna, även om de inte omfattas av sekretess enligt någon annan bestämmelse i offentlighets- och sekretesslagen.

Rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen gäller vidare endast i förhållande till enskilda och är inte tillämplig när myndigheter lämnar uppgifter sinsemellan. Detta innebär att när en myndighet lämnar personuppgifter till en annan myndighet omfattas denna behandling av regleringen i dataskyddsförordningen och kompletterande nationell dataskyddsreglering. Uppgiftslämnande mellan myndigheter omfattas därmed som utgångspunkt av bestämmelserna i dataskyddsförordningen, däribland de grundläggande principerna för personuppgiftsbehandling (se artikel 5 i dataskyddsförordningen).

81

5. En särskild reglering om socialtjänstdataregister

5.1. Inledning

För att stärka och utveckla den nationella statistiken inom socialtjänsten behöver Socialstyrelsens förutsättningar att samla in och behandla personuppgifter förbättras och tydliggöras. I det här kapitlet föreslår vi att en särskild reglering för behandling av personuppgifter i ett socialtjänstdataregister ska införas i lag. Vi föreslår även att kompletterande bestämmelser till lagen ska införas på förordningsnivå.

I kapitlet redogör vi för våra bedömningar avseende behovet och tillåtligheten av en kompletterande särreglering till dataskyddsförordningen samt vilken normgivningsnivå den nya regleringen kräver mot bakgrund av regeringsformens bestämmelser.

5.2. En särskild reglering behövs

Vår bedömning: Det behövs en särskild reglering för behandling

av personuppgifter i ett socialtjänstdataregister.

Skälen för vårt förslag

Det finns ett behov av utökade socialtjänstdataregister

I kapitel 3 har vi beskrivit betydelsen av nationell statistik för den fortsatta utvecklingen av en kunskapsbaserad socialtjänst. Vi har också redogjort för det behov som från olika håll har lyfts av att

En särskild reglering om socialtjänstdataregister Ds 2024:13

82

Socialstyrelsen ska ges förbättrade möjligheter att framställa sådan statistik.

De personuppgifter som idag samlas in till Socialstyrelsens socialtjänstregister ger begränsade möjligheter att ta fram behövlig statistik, och myndigheten behöver i många fall komplettera registeruppgifterna med exempelvis mängduppgifter och frivilliga enkätundersökningar. Den socialtjänstdata i form av mängduppgifter som Socialstyrelsen förfogar över har visat sig vara otillräcklig för att myndigheten ska kunna framställa nödvändig statistik inom socialtjänstens område. För att skapa långsiktiga och stabila förutsättningar för en kunskapsbaserad socialtjänst behöver alltså statistiken stärkas och utvecklas genom utökad tillgång till individbaserad socialtjänstdata. För detta krävs att Socialstyrelsen ges möjlighet att i större utsträckning samla in och behandla personuppgifter i vad som härefter benämns socialtjänstdataregister.

Utökade socialtjänstdataregister anser vi utgör en förutsättning för att Socialstyrelsen ska kunna fullgöra sitt uppdrag som statistikansvarig myndighet på ett ändamålsenligt sätt. Att förbättra Socialstyrelsens möjligheter att framställa nationell statistik är ett angeläget samhällsintresse, eftersom myndighetens arbete ska bidra till att skapa bättre förutsättningar för en mer kunskapsbaserad socialtjänst. Detta arbete är till nytta för såväl samhället i stort som för de personer som får insatser inom socialtjänsten.

Som vi har beskrivit i avsnitt 3.3.1 har Socialstyrelsen i egenskap av nationell kunskapsmyndighet även ett ansvar för att följa och analysera socialtjänsten genom bland annat utvärderingar och uppföljningar, där registeruppgifter utgör en viktig beståndsdel. I dessa analyser kan exempelvis ojämlika förhållanden uppmärksammas och insatsers kvalitet och effektivitet studeras. Nationell statistik och analys ger underlag till revidering eller framtagande av till exempel nya föreskrifter, kunskapsstöd och riktlinjer.

Det behövs en särskild reglering för behandling av personuppgifter i socialtjänstdataregister

Genom ett förslag om utökade nationella socialtjänstdataregister kommer Socialstyrelsen att behandla en större mängd integritetskänsliga personuppgifter, som innefattar känsliga personuppgifter i dataskyddsförordningens mening. Problembilderna och insatserna

Ds 2024:13 En särskild reglering om socialtjänstdataregister

83

inom socialtjänstens område kan vara mer eller mindre komplexa, men är i princip alltid av integritetskänslig natur. Det kan komma att röra sig om uppgifter om till exempel psykisk ohälsa, missbruk, allvarliga beteendeproblem eller dysfunktionella relationer.68 Det kan även bli fråga om behandling av personuppgifter som rör lagöverträdelser. Vid behandling av dessa personuppgifter är det därför av stor vikt att det finns ett regelverk som tydligt anger ramarna för behandlingen och säkerställer ett starkt skydd för den personliga integriteten.

Socialstyrelsens behandling av personuppgifter inom socialtjänstens verksamhetsområde omfattas av bestämmelserna i dataskyddsförordningen med kompletterande författningar. I egenskap av statistikansvarig myndighet, omfattas Socialstyrelsen även av bestämmelserna kring personuppgiftsbehandling i lagen och förordningen om den officiella statistiken.

Dataskyddsförordningen är direkt tillämplig i svensk rätt och är närmast heltäckande i dataskyddsrättsliga frågor. Förordningen är trots detta generell på så vis att regelverket inte föreskriver några anpassade skyddsåtgärder. Även de bestämmelser som rör personuppgiftsbehandling i lagen och förordningen om den officiella statistiken är allmänt hållna och saknar den precisering som krävs i förhållande till de statistikområden som varje statistikansvarig myndighet har att förhålla sig till. Bestämmelserna är vidare begränsade till Socialstyrelsens statistikframställning och reglerar inte myndighetens behandling av personuppgifter för andra ändamål utöver detta. Det regelverk som styr Socialstyrelsens personuppgiftsbehandling inom ramen för myndighetens verksamhet med socialtjänstdataregister får därför betraktas som splittrat och otydligt.

I svensk rätt finns en tradition av att i särskilda registerförfattningar införa bestämmelser för viktigare eller känsligare register som kompletterar eller innehåller undantag från de generella bestämmelser som reglerar behandlingen av personuppgifter. En särskild reglering anses under vissa förutsättningar innebära en bättre garanti för utformningen av integritetsskyddet i särskilt känsliga register, i vilka det finns behov av att utföra omfattande behandlingar av integritetskänsliga personuppgifter. En sådan reglering kan anpassas efter behovet av behandling av

68SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 628.

En särskild reglering om socialtjänstdataregister Ds 2024:13

84

personuppgifter och behovet av särskilt skydd för den personliga integriteten med anledning av behandlingen. Som vi har nämnt i avsnitt 3.3.2 finns exempelvis en särskild reglering för Socialstyrelsens hälsodataregister, enligt lagen om hälsodataregister med tillhörande förordningar.

Att reglera viss personuppgiftsbehandling i en särskild författning utgör alltså en form av skydd för personuppgifterna och är också en möjlig väg för att säkerställa att svensk rätt möter dataskyddsförordningens krav på proportionalitet och bestämmelser om lämpliga och särskilda skyddsåtgärder. En registerförfattning gör det möjligt att fastställa en ram för personuppgiftsbehandlingen genom att ange under vilka förutsättningar personuppgifter får behandlas och vilka skyddsåtgärder som ska gälla för personuppgiftsbehandlingen. En registerförfattning bidrar även till att en myndighet kan fullgöra sina uppgifter på ett effektivt och ändamålsenligt sätt samtidigt som de registrerades rättigheter och skyddet för den personliga integriteten säkerställs.

Vi anser sammanfattningsvis att en särskild reglering av Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister bör införas. Detta särskilt med hänsyn till uppgifternas integritetskänsliga natur. Vid behandling av sådana personuppgifter är det av stor vikt att det finns ett anpassat regelverk som tydligt anger ramarna för behandlingen, och ser till att det finns lämpliga skyddsåtgärder för att åstadkomma ett starkt skydd för den personliga integriteten. Detta samtidigt som Socialstyrelsen ges goda förutsättningar för att kunna fullgöra sitt samhällsviktiga uppdrag på ett ändamålsenligt sätt. En särskild reglering skapar tydlighet och transparens för såväl tillämpare som den registrerade och övrig allmänhet.

Ds 2024:13 En särskild reglering om socialtjänstdataregister

85

5.3. Allmänna utgångspunkter för en ny reglering

5.3.1. En särskild reglering är tillåten enligt dataskyddsförordningen

Vår bedömning: En särreglering för socialtjänstdataregister är en

tillåten kompletterande nationell reglering till dataskyddsförordningen.

Skälen för vår bedömning

Vid införande av en särreglering för socialtjänstdataregister är det nödvändigt att ställa frågan om den tilltänkta särregleringen är en tillåten kompletterande reglering till dataskyddsförordningen.

Dataskyddsförordningen utgör idag den primära rättskällan i dataskyddsfrågor inom EU. Kompletterande nationell reglering kan endast ske i den mån dataskyddsförordningen medger det, och då inom de ramar som förordningen ställer upp. Dataskyddsförordningen är som ovan nämnts direkt tillämplig i svensk rätt. I vissa delar är dock bestämmelserna i förordningen utformade på ett sådant sätt att de ger ett utrymme för eller förutsätter kompletterande nationella dataskyddsbestämmelser. En medlemsstat har därmed ett handlingsutrymme att i viss utsträckning anta kompletterande bestämmelser för att anpassa tillämpningen av förordningen till den nationella kontexten. Dubbel- eller överreglering bör dock undvikas, framförallt för att säkerställa en konsekvent och enhetlig tillämpning av förordningen i hela unionen, men också för att inte riskera att det råder oklarhet gällande förhållandet mellan dataskyddsförordningen och eventuell kompletterande nationell reglering. Kompletterande dataskyddsreglering bör dessutom utformas på ett enhetligt sätt i förhållande till annan liknande lagstiftning.

Det är tillåtet att i nationell rätt införa mer specifika bestämmelser för att anpassa tillämpningen av bestämmelserna i förordningen när det gäller behandling som sker med stöd av de rättsliga grunderna fullgörande av rättslig förpliktelse, utförande av uppgift av allmänt intresse eller myndighetsutövning. Sådana

En särskild reglering om socialtjänstdataregister Ds 2024:13

86

nationella bestämmelser kan närmare fastställa specifika krav för behandlingen av personuppgifter och andra åtgärder för att säkerställa en laglig och rättvis behandling (se artikel 6.2).

Det finns dessutom ett krav på att den grund för behandlingen som avser rättslig förpliktelse, uppgift av allmänt intresse eller myndighetsutövning ska fastställas i enlighet med unionsrätten eller en medlemsstats nationella rätt som den personuppgiftsansvarige omfattas av. När grunden för behandlingen fastställs i nationell rätt ska den uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas. Den rättsliga grunden kan även innehålla särskilda bestämmelser för att anpassa tillämpningen av bestämmelserna i dataskyddsförordningen, bland annat om de allmänna villkor som ska gälla för behandlingen, vilken typ av uppgifter som ska behandlas samt begränsningar av ändamål och lagringstid (se artikel 6.3).

Den rättsliga grunden för behandling av personuppgifter i ett socialtjänstdataregister bedöms som utgångspunkt vara utförande av en uppgift av allmänt intresse, se vidare i avsnitt 7.3. Det är därför tillåtet att i en kompletterande särreglering införa mer specifika bestämmelser för att anpassa tillämpningen av dataskyddsförordningen till Socialstyrelsens verksamhet med socialtjänstdataregister.

5.3.2. Den särskilda regleringen ska finnas i lag

Vårt förslag: Socialstyrelsens behandling av personuppgifter i ett

socialtjänstdataregister ska regleras i en särskild lag, lagen om socialtjänstdataregister.

Vår bedömning: I lagen bör det regleras hur uppgifter får samlas

in till ett socialtjänstdataregister, för vilka ändamål uppgifterna får behandlas och när uppgifter ska lämnas ut på grund av uppgiftsskyldighet som bryter sekretess som gäller för uppgifterna. Även de bestämmelser som är av central betydelse för integritetsskydd bör ges i lagform.

Ds 2024:13 En särskild reglering om socialtjänstdataregister

87

Skälen för vårt förslag och vår bedömning

Regeringsformens bestämmelser om normgivning

I 1 kap. 2 § första stycket regeringsformen, RF, anges att den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet. I bestämmelsens fjärde stycke anges bland annat att det allmänna ska värna den enskildes privatliv och familjeliv. Bestämmelsen är en målsättningsparagraf för det allmännas verksamhet.69

Normgivningsmakten regleras i huvudsak i 8 kap. RF. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter kan också, efter bemyndigande av riksdagen eller regeringen, meddelas av andra myndigheter än regeringen och av kommuner. Ett bemyndigande att meddela föreskrifter ska alltid ges i lag eller förordning (8 kap. 1 § RF).

Föreskrifter ska bland annat meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden (8 kap. 2 § första stycket 2 RF). Kravet på att en sådan föreskrift ska ha form av lag är emellertid inte obligatoriskt, utan riksdagen kan bemyndiga regeringen, med vissa undantag, att meddela den typen av föreskrifter (8 kap. 3 § RF).

Regeringen får i övrigt utan bemyndigande bland annat meddela föreskrifter som inte enligt grundlag ska meddelas av riksdagen (8 kap. 7 § första stycket 2 RF). I denna paragraf regleras regeringens primärområde för normgivning, vilket brukar kallas regeringens restkompetens. Att regeringen meddelar föreskrifter i ett visst ämne hindrar inte att riksdagen meddelar föreskrifter i samma ämne (8 kap. 8 § RF). En vidaredelegation till en förvaltningsmyndighet att meddela föreskrifter kan medges av riksdagen eller, i fråga om regeringens primärområde, av regeringen själv (8 kap. 10 och 11 §§ RF).

Att det allmänna registrerar personuppgifter om enskilda anses som utgångspunkt inte innebära någon skyldighet för den enskilde. Det har normalt sett inte heller betraktats som ett ingrepp i enskildas

69Prop. 1975/76:209, om ändring i regeringsformen, s. 136–138.

En särskild reglering om socialtjänstdataregister Ds 2024:13

88

personliga förhållanden i den mening som avses i 8 kap. 2 § första stycket 2 RF. Bestämmelser om behandling av personuppgifter som utförs av statliga myndigheter under regeringen har därmed i princip ansetts kunna beslutas av regeringen med stöd av dess restkompetens.70

Både konstitutionsutskottet och regeringen har dock i tidigare lagstiftningsärenden framhållit att det bör vara en målsättning att föreskrifter om myndighetsregister som innehåller ett stort antal registrerade och har ett särskilt känsligt innehåll ska regleras genom lag.71 Uttalandena har med åren kommit att bli vägledande för att välja lagform inte bara på regleringen av regelrätta register, utan i vissa fall också myndigheters behandling av personuppgifter i stort.

Sedan år 2011 gäller dessutom det utökade grundlagsskyddet för den personliga integriteten i 2 kap. 6 § andra stycket RF. Skyddet får enligt 2 kap. 20 § RF endast begränsas genom lag.

Regeringsformens skydd för den personliga integriteten

Enligt 2 kap. 6 § andra stycket RF är var och en gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Begreppet enskilds personliga förhållanden har samma innebörd som i tryckfrihetsförordningen och offentlighets- och sekretesslagen.72 Det innebär att bestämmelsen kan omfatta vitt skilda slag av information som är knuten till en enskild person.

Det grundlagsreglerade integritetsskyddet omfattar åtgärder som sker utan samtycke och som innebär kartläggning eller övervakning av enskildas personliga förhållanden. Avgörande för om en åtgärd ska anses innebära övervakning eller kartläggning är inte dess huvudsakliga syfte, utan vilken effekt den har. Vad som avses med övervakning respektive kartläggning får bedömas med utgångspunkt från vad som enligt normalt språkbruk läggs i dessa begrepp.73 En

70 Se bland annat prop. 2017/18:105, Ny dataskyddslag, s. 26 och prop. 2022/23:34,

Utbetalningsmyndigheten, s. 116.

71 Se bland annat bet. 1990/91:KU11 s. 11, prop. 1990/91:60, om offentlighet, integritet och

ADB, s. 58, bet. 1997/98:KU18 s. 43, prop. 1997/98:44, Personuppgiftslag, s. 41, prop.

1999/2000:39, Registrering av fastighetsrättsliga förhållanden, s. 78 och prop. 2009/10:80, En

reformerad grundlag, s. 183.

72Prop. 2009/10:80, En reformerad grundlag, s. 250. 73Prop. 2009/10:80, En reformerad grundlag, s. 250.

Ds 2024:13 En särskild reglering om socialtjänstdataregister

89

insamling och behandling av uppgifter från det allmännas sida i syfte att ge underlag för exempelvis en statistikverksamhet, kan alltså innebära en kartläggning av en enskilds personliga förhållanden även om det inte är avsikten.

Vidare omfattas endast sådana åtgärder som innebär ett betydande intrång i den personliga integriteten. Vad som utgör ett betydande integritetsintrång måste bedömas utifrån de samhällsvärderingar som råder vid varje givet tillfälle. Vid bedömningen av hur ingripande ett intrång i den personliga integriteten är ska stor vikt läggas vid uppgifternas karaktär. Ju känsligare uppgifterna är, desto mer ingripande måste det allmännas hantering av uppgifterna normalt sett anses vara. Även ändamålet med behandlingen av uppgifterna kan vara av betydelse vid bedömningen. Därutöver kan mängden uppgifter som behandlas vara en betydelsefull faktor, liksom i vilken omfattning de lämnas ut till andra utan omedelbart stöd i offentlighetsprincipen.74

Skyddet för den personliga integriteten är inte absolut utan begränsningar får göras genom lag (2 kap. 20 § 2 RF). En sådan begränsning får dock endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). Vid en begränsning ska det därför göras en proportionalitetsbedömning. Kravet på reglering i lag innebär dels att riksdagen måste iaktta de begränsningar som följer av 2 kap. 21 § RF, dels att lagstiftaren öppet och noggrant ska redovisa skälen för ett ingrepp och varför det krävs.

Även utanför tillämpningsområdet för det utökade grundlagsskyddet kan det ställas krav på att ett intrång måste ha stöd i lag till följd av reglerna i bland annat 8 kap. RF eller artikel 8 i Europakonventionen.75

74Prop. 2009/10:80, En reformerad grundlag, s. 183–184. 75Prop. 2009/10:80, En reformerad grundlag, s. 177.

En särskild reglering om socialtjänstdataregister Ds 2024:13

90

Socialstyrelsens personuppgiftsbehandling i ett socialtjänstdataregister omfattas av det grundlagsreglerade integritetsskyddet

Socialstyrelsen behandlar redan idag en större mängd personuppgifter inom ramen för befintliga socialtjänstdataregister. Med våra förslag kommer Socialstyrelsen ges utökade möjligheter att behandla personuppgifter i ett socialtjänstdataregister, både sett till antal personuppgifter och antalet registrerade, se vidare kapitel 8. Detta för att myndigheten exempelvis ska kunna följa upp inte bara vilka insatser som beviljats enskilda utan även bland annat orsak till en insats och på sikt dess resultat. Det rör sig om uppgifter om enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF. Det handlar också i stor utsträckning om sådana känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Behandlingen av personuppgifter i ett socialtjänstdataregister kommer vidare göras utan den registrerades samtycke.

De personuppgifter som genom våra förslag skulle få samlas in till ett socialtjänstdataregister rör en betydande del av Sveriges befolkning. Uppgifterna, som kan vara av varierande art och omfattning, kommer som utgångspunkt att samlas in löpande och kan avse enskilda i livets alla faser. Tillsammans kan de uppgifter som samlas in ge en tydlig bild av en enskilds personliga förhållanden. Vid en samkörning med exempelvis ett hälsodataregister kan Socialstyrelsen utifrån uppgifterna få en mer omfattande bild av en enskilds personliga förhållanden.

Ändamålen med Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister är främst att framställa statistik och annat underlag för olika analyser på övergripande nivå, som i sin tur syftar till att bidra till att enskilda ska få tillgång till kunskapsbaserad vård och omsorg inom socialtjänsten av hög kvalitet och på lika villkor. Personuppgifter i ett socialtjänstdataregister får inte användas för att vidta åtgärder gentemot en enskild individ. Syftet med behandlingen är alltså inte att övervaka eller kartlägga enskilda individer. Med hänsyn till den mängd uppgifter som kommer att kunna lagras och behandlas inom ramen för ett socialtjänstdataregister bedömer vi dock att behandlingen får den effekten att det kan anses utgöra kartläggning av enskildas personliga förhållanden i den mening som avses i 2 kap. 6 § andra stycket RF. Detta trots att syftet med behandlingen är ett annat.

Ds 2024:13 En särskild reglering om socialtjänstdataregister

91

Den avgörande frågan är då om det intrång i den personliga integriteten som behandlingen innebär är att bedöma som så betydande att det omfattas av grundlagsskyddet. Det är, som framgår ovan, endast vissa kvalificerade intrång som aktualiserar en tillämpning av grundlagsskyddet.

Socialstyrelsen kommer genom våra förslag att ges möjlighet att samla in och hantera omfattande mängder av personuppgifter i ett socialtjänstdataregister, och det såväl känsliga personuppgifter som andra personuppgifter av mer eller mindre integritetskänslig karaktär. De tekniska förutsättningarna är idag sådana att det är möjligt att på ett relativt enkelt sätt åstadkomma precisa sammanställningar av stora mängder personuppgifter. Uppgifter i ett socialtjänstdataregister kommer även att kunna bevaras under lång tid. Det kommer också att kunna förekomma utlämnanden av en större mängd uppgifter från ett socialtjänstdataregister till andra myndigheter och externa aktörer för bland annat forsknings- och statistikändamål, se avsnitt 7.5.

Även om personuppgiftsbehandlingen i ett socialtjänstdataregister syftar till att ge ökad nytta för såväl samhället i stort som för de personer som får insatser inom socialtjänsten, bedömer vi med hänsyn till de omständigheter som presenterats ovan att behandlingen innebär ett sådant betydande intrång i den personliga integriteten som avses i 2 kap. 6 § andra stycket RF. Utgångspunkten är därför att den föreslagna regleringen måste ges i lagform (2 kap. 20 § RF).

Ramarna för personuppgiftsbehandlingen och bestämmelser av central betydelse för integritetsskyddet bör regleras i lag

Socialstyrelsens personuppgiftsbehandling i ett socialtjänstdataregister behöver alltså regleras på ett tydligt sätt i lag. Det behöver dock inte innebära att alla led i behandlingen måste bli föremål för lagreglering. Integritetsskyddskommittén76, som lämnade förslaget till grundlagsbestämmelsen i 2 kap. 6 § andra stycket RF, konstaterade att de från integritetsskyddssynpunkt viktigaste momenten i hanteringen handlar om hur uppgifter om enskilda får samlas in, ändamålet med behandlingen och i vilken

76 Ju 2004:05.

En särskild reglering om socialtjänstdataregister Ds 2024:13

92

utsträckning uppgifter på grund av uppgiftsskyldighet, som alltså bryter sekretess som gäller för uppgifterna, ska lämnas ut till andra för samkörning med uppgifter i andra myndighetsregister eller av andra skäl. Dessa moment i hanteringen av personuppgifter utgör alltså sådana intrång som bör prövas mot förutsättningarna i 2 kap. 20 och 21 §§ RF. I vilken utsträckning andra moment i hanteringen av personuppgifter bör regleras i form av lag eller genom en förordning får avgöras utifrån de allmänt gällande reglerna om normgivning i 8 kap. RF.77

Allt sedan det utökade grundlagsskyddet i 2 kap. 6 § andra stycket RF trädde i kraft har lagstiftaren tagit ställning till vilka led i en behandling av personuppgifter som utgör ett betydande intrång i den personliga integriteten, och som därför ska ges lagform. I förarbeten stannar regeringen i de flesta fall vid att konstatera att en behandling av personuppgifter helt eller delvis utgör ett betydande intrång i den personliga integriteten och att ramarna eller de grundläggande bestämmelserna för, alternativt den huvudsakliga behandlingen av, personuppgifter ska slås fast i lag. I vissa fall uttalar regeringen också att de bestämmelser som är centrala för integritetsskyddet bör ges lagform.78 Ledning i vilka moment i en behandling av personuppgifter som utgör ett betydande intrång i den personliga integriteten bör därför kunna hämtas i hur sådan lagreglering har utformats.

I allmänhet regleras de primära och sekundära ändamålen för behandlingen i lag. Det brukar även finnas ett förtydligande om det är tillåtet att behandla personuppgifterna för andra ändamål än de ändamål som de ursprungligen samlades in för. Där det är relevant regleras vidare tillåten behandling av känsliga personuppgifter. Ofta finns det också en bestämmelse som fastställer när det är tillåtet att lämna ut personuppgifter i elektronisk form. Vissa registerlagar innehåller en reglering av uppgiftsskyldighet med sekretessbrytande verkan, såväl för den personuppgiftsansvariga myndigheten som för

77SOU 2008:3, Skyddet för den personliga integriteten – Bedömningar och förslag, s. 272–273. 78 Se exempelvis prop. 2014/15:148, Domstolsdatalag, s. 23, prop. 2016/17:89,

Skattebrottsdatalag, s. 46, prop. 2019/20:51, Totalförsvarsdatalag – personuppgiftsbehandling vid Totalförsvarets rekryteringsmyndighet, s. 28, prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 24–25, prop. 2022/23:34, Utbetalningsmyndigheten,

s. 118–119 och prop. 2022/23:41, Bättre möjligheter för Skatteverket att göra dataanalyser och

urval i folkbokföringsverksamheten, s. 44.

Ds 2024:13 En särskild reglering om socialtjänstdataregister

93

andra aktörer som möjliggör för den personuppgiftsansvariga myndigheten att samla in uppgifter.79

I syfte att bidra till att balansera ett betydande intrång i den personliga integriteten finns ofta en reglering av sökbegränsningar och längsta tid för behandling av personuppgifterna. Även bestämmelser om begränsning och kontroll av tillgången till personuppgifter i en myndighets verksamhet återfinns ofta i lag. Slutligen fastställs också vanligen vem som är personuppgiftsansvarig för behandlingen.

I överensstämmelse med det som presenterats ovan är det enligt vår uppfattning ramarna för personuppgiftsbehandlingen i ett socialtjänstdataregister som ska slås fast i lag. Det handlar om bestämmelser som rör hur uppgifter får samlas in, de primära och sekundära ändamålen med behandlingen och i vilken utsträckning uppgifter på grund av uppgiftsskyldighet som bryter sekretess som gäller för uppgifterna ska lämnas ut till externa aktörer. Även de bestämmelser som är av central betydelse för integritetsskyddet bör ges i lagform. Genom att i lag balansera det integritetsintrång som personuppgiftsbehandlingen innebär skapas tydligare förutsättningar för att behandlingen inte blir mer ingripande än vad som är nödvändigt. Genom en tydlig lagreglering skapas också bättre förutsättningar för att få allmänhetens förtroende för behandlingen av personuppgifter i ett socialtjänstdataregister.

Begränsningar av skyddet mot betydande integritetsintrång får som ovan nämnts endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle, och aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den. Det är därmed av stor vikt att de förslag som läggs fram i detta avseende uppfyller dessa krav, vilket vi bedömer att de gör. I kapitel 13 och i samband med vissa enskilda förslag redovisar vi närmare våra bedömningar av integritetsaspekter och proportionalitet.

79 Se bland annat domstolsdatalag (2015:728), lag (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och lag (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten.

En särskild reglering om socialtjänstdataregister Ds 2024:13

94

Lagens namn

Den föreslagna lagen ska komplettera dataskyddsförordningen och i första hand reglera frågor om det behov av skydd för enskildas personliga integritet som behandling i ett socialtjänstdataregister ger upphov till. Som vi har nämnt i avsnitt 3.4.1 är data även ett återkommande begrepp i statistiken och i Socialstyrelsens registerverksamhet.

Socialstyrelsens befintliga register inom socialtjänstområdet benämns idag vanligtvis för socialtjänstregister. Regeringen har tidigare bedömt det som lämpligt att benämna de uppgifter från vården som tillförs Socialstyrelsens register inom hälso- och sjukvårdsområdet för hälsodata, och de register i vilka dessa data registreras för hälsodataregister.80 Uppgifterna som samlas in från de aktörer som bedriver verksamhet inom socialtjänsten eller enligt LSS till Socialstyrelsens register bör enligt vår mening på motsvarande sätt benämnas socialtjänstdata, och registren för socialtjänstdataregister. Lagen bör därmed heta lagen om socialtjänstdataregister. Ett sådant namn anknyter såväl till innehållet i registret som till dataskyddsförordningen, och ligger även i linje med lagen om hälsodataregister.

5.3.3. Lagen ska kompletteras av en förordning

Vårt förslag: Lagen om socialtjänstdataregister ska kompletteras

av en förordning.

Skälen för vårt förslag

En lag som möjliggör viss flexibilitet och utveckling

En ny lag om socialtjänstdataregister avser att reglera Socialstyrelsens behandling av personuppgifter i ett eller flera socialtjänstdataregister. De register som finns idag är begränsade till sin omfattning och sitt innehåll. Uppdelningen i de olika registren

80Prop. 1997/98:108, Hälsodata- och vårdregister, s. 40.

Ds 2024:13 En särskild reglering om socialtjänstdataregister

95

är tydlig utifrån de särdrag som finns för varje register. Samtidigt är sambanden mellan uppgifterna i vissa fall så nära att det är svårt att motivera att de bör tillhöra olika register.

Genom våra förslag utvidgas möjligheterna för Socialstyrelsen att behandla personuppgifter i ett socialtjänstdataregister. Myndigheten har uttryckt att bredare socialtjänstdataregister, som tar fasta på större områden av socialtjänstens olika verksamheter, skulle resultera i ökad effektivitet samtidigt som det skulle underlätta genomförandet av myndighetens analyser, exempelvis i förhållande till analysen av insatskedjor och kombinationer av insatser. Även kontrollen av kvaliteten skulle genom bredare register underlättas.

Vi anser att en ny lag om socialtjänstdataregister bör vara oberoende av möjliga framtida förändringar i hur socialtjänstdataregistren struktureras vid Socialstyrelsen. Myndigheten bör enligt vår bedömning ges viss flexibilitet att utforma och strukturera registren på det sätt som är mest lämpligt och ändamålsenligt.

Lagen med tillhörande förordning bör därför inte utformas på ett sätt som cementerar den registerindelning som finns idag. Detta skiljer sig från den ordning som gäller för hälsodataregister. Vi anser däremot att denna skillnad är motiverad utifrån att framväxten och användningen av socialtjänstdataregister fortfarande får anses vara i ett utvecklingsstadium. Vi bedömer dock att det i lagen behöver klargöras vad som avses med ett socialtjänstdataregister, se avsnitt 6.2.2.

Kompletterande bestämmelser på förordningsnivå

Som framgår ovan anser vi att ramarna för Socialstyrelsens personuppgiftsbehandling i ett socialtjänstdataregister och bestämmelser som är av central betydelse för integritetsskyddet bör regleras i lag. Det är dock enligt vår bedömning inte ändamålsenligt att i lagen detaljreglera personuppgiftsbehandlingen i ett socialtjänstdataregister, som exempelvis de närmare uppgifterna som får finnas i registret.

Kompletterande bestämmelser till lagen bör alltså införas på förordningsnivå. En kombination av lag och kompletterande föreskrifter på förordningsnivå säkerställer skyddet för den

En särskild reglering om socialtjänstdataregister Ds 2024:13

96

personliga integriteten, samtidigt som Socialstyrelsens verksamhet med socialtjänstdataregister ges tillräcklig flexibilitet.

Det innebär att de grundläggande och skyddande reglerna i lag är långsiktiga och stabila och sätter ett slags tak för vilken behandling som kan tillåtas i ett socialtjänstdataregister, medan den mer detaljerade och preciserade regleringen i förordning snabbare kan justeras för att exempelvis möta förändrade behov som lyfts fram. På så vis undviks att riksdagen måste ta ställning till varje enskild detalj, vilket varken kan anses effektivt eller ändamålsenligt. Det ska samtidigt framhållas att såväl en ändring i lag som en ändring i förordning kräver en gedigen beredning. De regler som föreskrivs i förordning får inte utgöra ytterligare intrång i den personliga integriteten utöver vad som följer av föreslagna regler i lag, och inte heller kräva lagform i övrigt enligt de allmänt gällande reglerna om normgivning i 8 kap. RF.

97

6. Allmänna bestämmelser om personuppgiftsbehandling

6.1. Inledning

I det här kapitlet redovisar vi våra förslag till allmänna bestämmelser om personuppgiftsbehandling och övriga allmänna bestämmelser som vi anser ska gälla för ett samlat regelverk för socialtjänstdataregister.

Vi föreslår bland annat att det i en lag om socialtjänstdataregister ska tydliggöras vad ett socialtjänstdataregister är samt dess övergripande syfte. I kapitlet finns också förslag om att det ska införas bestämmelser om tillämpningsområde, personuppgiftsansvar och förhållande till annan reglering. Vi redovisar också för våra förslag och bedömningar i fråga om vissa ord och uttryck i lagen och enskildas rättigheter samt föreslår en generell informationsplikt för Socialstyrelsen.

6.2. Allmänt om socialtjänstdataregister

6.2.1. Ett socialtjänstdataregisters särdrag och syfte

Avsikten med ett samlat regelverk för socialtjänstdataregister är att ge Socialstyrelsen bättre förutsättningar att fullgöra sitt myndighetsuppdrag och därigenom stärka statistiken och kunskapsutvecklingen inom socialtjänsten på nationell nivå. Detta utgör i förlängningen även en viktig grund i den fortsatta utvecklingen av en kunskapsbaserad socialtjänst. En målsättning för regelverket är att de socialtjänstdataregister som Socialstyrelsen förvaltar ska få

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

98

samma betydelse för och påverkan på kunskapsutvecklingen som hälsodataregistren har haft inom hälso- och sjukvården.

För att lägga grunden till ett samlat regelverk för socialtjänstdataregister och för att det ska vara tydligt att ett sådant regelverk följer samma förutsättningar som hälsodataregistren bedömer vi att det finns anledning att tydliggöra vad som kännetecknar ett socialtjänstdataregister och vad syftet med ett sådant register är. Genom att peka ut ett socialtjänstdataregisters särdrag och syfte skapas en transparens kring registerföringen i förhållande till allmänheten samtidigt som det blir tydligt för tillämparen vad som utgör de yttersta ramarna vid tillämpningen av den föreslagna lagen.

6.2.2. Vad kännetecknar ett socialtjänstdataregister?

Vårt förslag: Det ska i lagen införas en bestämmelse som klargör

att med ett socialtjänstdataregister avses en rikstäckande samling av personuppgifter om socialtjänst hos Socialstyrelsen.

Skälen för vårt förslag

Vi har i avsnitt 3.5 beskrivit de socialtjänstdataregister som idag förvaltas av Socialstyrelsen. Det grundläggande kännetecknet för dagens register är att de innehåller uppgifter på individnivå som rör den eller de beslutade insatser inom socialtjänst som en person har fått under en viss tid. Genom den föreslagna lagen om socialtjänstdataregister kommer registren även att utökas till att omfatta fler personbundna uppgifter inom socialtjänsten. Det är alltså i grunden fråga om ett personregister som rör socialtjänst. I avsnitt 6.3.2 beskriver vi hur begreppet socialtjänst ska tolkas vid tillämpningen av denna lag.

Socialstyrelsen hanterar socialtjänstdataregistren inom ramen för myndighetens särskilda statistikverksamhet. Uppgifterna i registren omfattas därför som huvudregel av den absoluta statistiksekretessen enligt 24 kap. 8 § OSL, se avsnitt 4.5.3. Att uppgifterna hanteras inom ramen för Socialstyrelsens särskilda statistikverksamhet innebär också att uppgifterna enbart används för analys, forskning

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

99

och statistikframställning och att de produkter som tas fram alltid består av aggregerade uppgifter. Någon koppling till kommunernas eller Socialstyrelsens egen myndighetsutövning mot enskilda finns inte.

En följd av att socialtjänstdataregistren hanteras inom ramen för Socialstyrelsens särskilda statistikverksamhet är även att uppgifter tillförs registren med stöd av uppgiftsskyldighet. För framställning av officiell statistik eller annan allmäninformativ statistik är det nämligen av stor vikt att det finns en god svarsfrekvens för att säkerställa att statistiken är tillförlitlig och håller en hög kvalitet.81Samtliga uppgifter som tillförs registren, och som genom den föreslagna lagen kommer att tillföras registren, härrör från de aktörer som bedriver verksamhet inom socialtjänsten. Uppgiftsinsamlingen är till följd av uppgiftsskyldigheten obligatorisk. Det saknas möjlighet för den enskilde registrerade att påverka insamlingen genom att till exempel inte lämna sitt samtycke till att registreringen sker. Ett viktigt kännetecken för ett socialtjänstdataregister är därmed att registren är rikstäckande i den meningen att likvärdiga uppgifter samlas in från samtliga aktörer som bedriver verksamhet inom socialtjänsten.

Inom ramen för samma statistikverksamhet förvaltar Socialstyrelsen också ett antal hälsodataregister som på många sätt har samma utmärkande särdrag som socialtjänstdataregistren. Personuppgifter i ett hälsodataregister omfattas exempelvis också i regel av den absoluta statistiksekretessen. På samma sätt rapporteras uppgifter in till registren genom en obligatorisk uppgiftsskyldighet för samtliga vårdgivare. I förarbetena till lagen om hälsodataregister anges att ett hälsodataregister är ett centralt personregister hos en statlig förvaltningsmyndighet som tillförs uppgifter från vården.82Att det är fråga om ett centralt personregister betyder att registret hålls på central nivå, till skillnad från regional eller lokal nivå, och av en statlig myndighet som därmed har ett nationellt ansvar. I dessa delar ser vi stora likheter mellan ett hälsodataregister och ett socialtjänstdataregister.

Inom hälso- och sjukvården finns även andra personregister som ytterligare bidrar till att peka ut ett hälsodataregisters särdrag. Dessa

81SOU 2012:83, Vad är officiell statistik? En översyn av statistiksystemet och SCB, s. 391 och 416. 82Prop. 1997/98:108, Hälsodata- och vårdregister, s. 40.

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

100

register bör på motsvarande sätt, åtminstone delvis, kunna kontrasteras mot socialtjänstdataregistren. En vanlig form av personregister inom hälso- och sjukvården är kvalitetsregister. Dessa register har bland annat som syfte att utveckla och säkra vårdens kvalitet samt framställa statistik och forskning inom hälso- och sjukvårdsområdet. Kvalitetsregister kan föras både lokalt, inom en offentlig eller privat vårdgivares verksamhet, och nationellt. Gemensamt för kvalitetsregistren är dock att inrapporteringen av uppgifter sker till följd av ett frivilligt åtagande från vårdgivarens sida. Patienten, vars uppgifter rapporteras in, har också en rätt att motsätta sig insamlandet av uppgifter. Även de forskningsdatabaser som behandlar hälsodata för framtida forskningsprojekt, stödjer sin uppgiftsinsamling främst på den registrerades samtycke. Detta skiljer sig alltså från både hälsodataregistren och socialtjänstdataregistren som samlar in uppgifter med stöd av en obligatorisk uppgiftsskyldighet.

Vid en sammantagen bedömning anser vi att det finns ett antal särdrag som särskilt kännetecknar ett socialtjänstdataregister, nämligen att det är ett personregister om socialtjänst, att det förs på central nivå av Socialstyrelsen och att det är rikstäckande. En bestämmelse med detta innehåll bör enligt vår mening införas i lagen. Även den omständigheten att ett socialtjänstdataregister hanteras inom ramen för Socialstyrelsens särskilda statistikverksamhet bör betraktas som ett särdrag. Vi bedömer dock att detta inte behöver framgå av den föreslagna bestämmelsen. Det finns ingen avsikt att med den föreslagna bestämmelsen skapa en legaldefinition. Vår bedömning är dock att en bestämmelse som anger en yttre ram för vad som utgör ett socialtjänstdataregister fyller en viktig funktion genom att den ger vägledning för hur övriga bestämmelser i lagen ska tolkas samtidigt som den lägger grunden för ett nytt regelverk om socialtjänstdataregister.

6.2.3. Syftet med ett socialtjänstdataregister

Vårt förslag: Det ska i lagen införas en bestämmelse som anger

att syftet med ett socialtjänstdataregister är att bidra till ökad kunskap för att utveckla och förbättra socialtjänsten.

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

101

Skälen för vårt förslag

Att på ett effektivt sätt använda sig av den kunskap som finns och att utvinna ny kunskap utgör en förutsättning för att socialtjänsten ska kunna bedriva en verksamhet baserad på vetenskap och beprövad erfarenhet. Kunskap om de insatser som beslutas av socialtjänsten behövs alltså för att utveckla och förbättra socialtjänsten och samtidigt ge ökad nytta för de personer som får insatserna.

Ett socialtjänstdataregister kan ligga till grund för statistiska jämförelser, analyser och forskningsstudier som i sin tur kan bidra till ökad kunskap om till exempel resultaten av de insatser som beslutas. Detta är något som på sikt kommer att vara av stort värde för personer som får insatser av socialtjänsten. De underlag för uppföljning och utvärdering som tas fram kan även ge en tydligare bild av socialtjänstens innehåll och verksamhet och därmed ge en helhetsbild av socialtjänsten. Genom ovan nämnda metoder kan alltså Socialstyrelsen utvinna ny kunskap som i sin tur får betydelse för socialtjänsten i stort.

Utöver de möjligheter som Socialstyrelsen själv har att ta fram ny kunskap utgörs en viktig del av hanteringen av socialtjänstdataregister också av utlämnandeverksamhet. Socialstyrelsen har en omfattande utlämnandeverksamhet där framförallt uppgifter ur hälsodataregistren, men också uppgifter ur socialtjänstdataregistren, lämnas ut för forsknings- och statistikändamål. Det innebär att även andra myndigheter och civilsamhällets aktörer har en viktig roll när det gäller att bidra till en ökad samhällelig kunskap om socialtjänsten.

Vår bedömning är att det övergripande syftet med att föra socialtjänstdataregister är att bidra till ökad kunskap som är av värde för utvecklingen och förbättringen av socialtjänsten. Denna kunskap ska i sin tur ge ökad nytta för varje person som får insatser från socialtjänsten och för befolkningen som helhet. En bestämmelse som anger att syftet med ett socialtjänstdataregister är att bidra till ökad kunskap för att utveckla och förbättra socialtjänsten bör införas i lagen. Det ska noteras att bestämmelsen inte är en syftesbestämmelse i traditionell mening eftersom den inte anger syftet med den föreslagna lagen i sig. Bestämmelsen bör istället läsas tillsammans med bestämmelsen om vad som avses med ett socialtjänstdataregister och kan på detta sätt ge vägledning för hur

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

102

övriga bestämmelser i regelverket ska tolkas. Det gäller framförallt den föreslagna lagens ändamålsbestämmelser där syftet med ett socialtjänstdataregister kan ses som målsättningen med personuppgiftsbehandlingen och ändamålen som metoden att nå dit.

6.3. Lagens tillämpningsområde

6.3.1. Lagens allmänna tillämpningsområde

Vårt förslag: Lagen ska gälla vid behandling av personuppgifter i

ett socialtjänstdataregister.

Skälen för vårt förslag

Tillämpningsområdet för en ny lag om socialtjänstdataregister bör avgränsas till behandlingen av personuppgifter i just socialtjänstdataregister. Socialstyrelsen är idag den enda myndighet som förvaltar ett socialtjänstdataregister i lagens mening. Detta har sin grund i att Socialstyrelsen är statistikansvarig myndighet för området socialtjänst i enlighet med lagen och förordningen om den officiella statistiken. Utöver ansvaret för den officiella statistiken ingår det även i Socialstyrelsens uppdrag att ta fram och utveckla statistik och register inom sitt verksamhetsområde (5 § 2 och 6 § 1 i myndighetens instruktion). I en ny lag om socialtjänstdataregister avser vi att föreslå även andra ändamål för behandling av personuppgifter i ett socialtjänstdataregister än framställning av statistik i strikt mening. Dessa ändamål har sin grund i myndighetens uppdrag i enlighet med instruktionen och det behov som myndigheten ser av att behandla personuppgifter i ett register, se avsnitt 7.3. Lagen ska vara tillämplig för samtliga föreslagna ändamål för behandling samt både i förhållande till framställning av officiell statistik som annan statistik. Hur vi bedömer att den nya lagen förhåller sig till lagen om den officiella statistiken beskriver vi närmare i avsnitt 6.4.2.

Lagen ska inte vara tillämplig i någon annan del av Socialstyrelsens verksamhet. För Socialstyrelsens behandling av

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

103

personuppgifter i ett hälsodataregister finns en motsvarande lag om hälsodataregister och föreskrifter som har meddelats i anslutning till den lagen.

6.3.2. Vissa ord och uttryck i lagen

Vårt förslag: Det ska införas bestämmelser som definierar vad

som avses med vissa uttryck i lagen.

Med EU:s dataskyddsförordning ska i lagen avses Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Med begreppet socialtjänst ska i lagen avses verksamhet som anges i 1 kap. 1 § socialtjänstlagen (0000:000) samt verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.

Skälen för vårt förslag

Vi anser att det är lämpligt att i lagen kunna hänvisa till Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) med ett kortare begrepp. Vi föreslår därför att EU:s dataskyddsförordning tas in som ett särskilt uttryck i lagen.

Begreppet socialtjänst är centralt för tillämpningen av en lag om socialtjänstdataregister. För att tydliggöra vilka verksamheter som omfattas av lagens tillämpningsområde bör det i lagen därför införas en bestämmelse som anger vad som avses med socialtjänst.

Av socialtjänstlagen framgår inte vad som avses med socialtjänst, trots att termen förekommer i flera bestämmelser och är central för att avgränsa lagens tillämpningsområde. Idag definieras socialtjänst i offentlighets- och sekretesslagen och lagen (2001:454) om behandling av personuppgifter inom socialtjänsten. Dessa lagar

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

104

omfattar flera verksamheter som inte är socialtjänst i egentlig mening, men där det har bedömts motiverat att motsvarande sekretess eller regler om behandling av personuppgifter ska gälla. De verksamhetsområden som räknas upp i offentlighets- och sekretesslagen och lagen om behandling av personuppgifter inom socialtjänsten behöver därför inte nödvändigtvis överensstämma med socialtjänstlagens tillämpningsområde.

Som vi har redogjort för i avsnitt 3.2.1 har Utredningen Framtidens socialtjänst föreslagit att det i socialtjänstlagen ska införas en bestämmelse som definierar vad som avses med socialtjänst i lagens mening.83 Utredningen pekar på att begreppet är centralt för att avgränsa socialtjänstlagens tillämpningsområde och ringa in de verksamheter som ska omfattas av lagen. Utredningen anser att en definition kan bidra dels till att ringa in vilka verksamheter som ska omfattas av lagen, bland annat vad gäller vetenskap och beprövad erfarenhet, kvalitet och uppföljning samt handläggning och dokumentation, dels till att göra den nya socialtjänstlagen lättare att förstå.84 Betänkandet bereds för närvarande i Regeringskansliet. Vi har dock inom ramen för vårt förslag valt att utgå från det förslag till definition som Utredningen Framtidens socialtjänst har lämnat.

Vad som ska avses med socialtjänst i den föreslagna lagen om socialtjänstdataregister bör enligt vår bedömning lämpligen följa definitionen i den lydelse som införs i den nya socialtjänstlagen. I den föreslagna definitionen i socialtjänstlagen ingår dock inte verksamhet som bedrivs med stöd av LSS, vilket Utredningen Framtidens socialtjänst bland annat motiverar med att LSS redan innehåller heltäckande bestämmelser om handläggning av ärenden, genomförande av beslut med mera.85 Däremot ingår registret över insatser enligt LSS i Socialstyrelsens socialtjänstdataregister. Vi ser inte att det finns någon anledning till att detta register inte ska omfattas av den föreslagna lagen om socialtjänstdataregister. Vi anser därför att med begreppet socialtjänst ska i lagen avses både sådan verksamhet som avses i 1 kap. 1 § socialtjänstlagen (0000:000) och sådan verksamhet som bedrivs med stöd av LSS.

83 Se 1 kap. 1 § i den föreslagna lagen. 84SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 307. 85SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 311.

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

105

6.3.3. Uppgifter om avlidna personer

Vårt förslag: Lagen och föreskrifter som har meddelats i

anslutning till lagen ska gälla vid behandling av uppgifter om avlidna personer.

Skälen för vårt förslag

Dataskyddsförordningen är inte tillämplig på uppgifter om avlidna personer. Medlemsstaterna får dock fastställa bestämmelser för behandlingen av personuppgifter rörande avlidna personer. Det finns alltså inget hinder mot att lagen om socialtjänstdataregister i tillämpliga delar även omfattar uppgifter om avlidna (skäl 27). Det finns flera exempel på registerförfattningar vars tillämpningsområde har utsträckts på det sättet.86

I ett socialtjänstdataregister kommer det i stor utsträckning att förekomma uppgifter om avlidna personer av mer eller mindre integritetskänslig natur. Avlidna har inte samma behov av integritetsskydd som levande personer.87 De uppgifter om avlidna som kan förekomma i socialtjänstdataregister är dock enligt vår mening regelmässigt så känsliga ur integritetshänseende att det framstår som angeläget att sådana uppgifter kan omfattas av det integritetsskyddande regelverk som vårt förslag till lag utgör. Att lagen ska gälla även för uppgifter om avlidna kan också anses bidra till att upprätthålla den frid som bör tillkomma en avliden person.88Även för efterlevande kan det vara betydelsefullt att uppgifter om avlidna skyddas.

Vi anser alltså att det finns skäl att tillämpa bestämmelserna om personuppgiftsbehandling i den föreslagna lagen och tillhörande förordning även vid behandling av uppgifter om avlidna personer. Däremot blir inte dataskyddsförordningens bestämmelser som sådana tillämpliga på behandlingen av uppgifter om avlidna.

86 Se till exempel 114 kap. 5 § socialförsäkringsbalken, 1 kap. 7 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter, 1 kap. 1 § andra stycket patientdatalagen (2008:355) och 1 kap. 2 § tredje stycket lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten. 87 Se till exempel prop. 2018/19:33, Behandling av personuppgifter samt registrering och

användning av fordon på vägtrafikområdet, s. 67.

88 Jfr prop. 2007/08:126, Patientdatalag m.m., s. 52 och prop. 2019/20:106, Stärkt integritet i

Rättsmedicinalverkets verksamhet, s. 32.

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

106

6.4. Lagens förhållande till annan reglering

6.4.1. Lagen ska komplettera den allmänna dataskyddslagstiftningen

Vårt förslag: Lagen ska innehålla en bestämmelse som upplyser

om att lagen kompletterar EU:s dataskyddsförordning.

Lagen ska även innehålla en bestämmelse som anger att lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och föreskrifter som har meddelats i anslutning till den lagen gäller vid behandlingen av personuppgifter enligt lagen, om inte annat följer av lagen eller föreskrifter som har meddelats i anslutning till dessa.

Skälen för vårt förslag

Dataskyddsförordningen är direkt tillämplig i varje medlemsstat och har företräde framför nationell lagstiftning. Principen om unionsrättens företräde innebär att en bestämmelse i en registerförfattning får tillämpas endast om den är förenlig med dataskyddsförordningen och avser en fråga som enligt förordningen får särregleras eller specificeras genom nationell rätt.89 En ny lag om socialtjänstdataregister innehåller därmed enbart bestämmelser som kompletterar eller tar över dataskyddsförordningen, när detta är tillåtet. Dataskyddsförordningen gäller oavsett om det i lag införs en bestämmelse som hänvisar till den eller inte. För att det ska bli tydligt för tillämparen hur de olika regleringarna förhåller sig till varandra, anser vi dock att en bestämmelse med upplysning om att den föreslagna lagen kompletterar dataskyddsförordningen bör tas in i lagen. En sådan bestämmelse tydliggör även att lagen inte kan tillämpas fristående, utan ska tillämpas tillsammans med dataskyddsförordningen.

Dataskyddslagen innehåller nationella kompletterande bestämmelser till dataskyddsförordningen på en generell nivå. Dataskyddslagen är subsidiär i förhållande till annan lagstiftning om

89Prop. 2017/18:105, Ny dataskyddslag, s. 27.

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

107

behandling av personuppgifter.90 Det behövs därför inte någon materiell bestämmelse för att bestämmelserna i lagen om socialtjänstdataregister ska ges företräde framför dataskyddslagen. Registerförfattningar innehåller trots det ofta en upplysning om att det kan finnas tillämpliga bestämmelser om behandling av personuppgifter i dataskyddslagen och föreskrifter som har meddelats i anslutning till dataskyddslagen. Av tydlighetsskäl föreslår vi därför en bestämmelse som klargör att dataskyddslagen och föreskrifter som har meddelats i anslutning till den lagen ska gälla vid behandling av personuppgifter enligt den nya lagen, om inte annat följer av den nya lagen eller föreskrifter som har meddelats i anslutning till den lagen.

6.4.2. Förhållandet till lagen om den officiella statistiken

Vår bedömning: En ny lag om socialtjänstdataregister gäller före

lagen (2001:99) om den officiella statistiken.

Det behöver inte införas en bestämmelse som hänvisar till lagen om den officiella statistiken och de föreskrifter som har meddelats i anslutning till lagen.

Skälen för vår bedömning

En ny lag om socialtjänstdataregister kommer att omfatta behandling av personuppgifter vid framställning av både officiell statistik och annan statistik. Framställning av statistik hos en statistikansvarig myndighet inom ramen för myndighetens särskilda statistikverksamhet regleras i lagen om den officiella statistiken, som innehåller bestämmelser om syftet med och de kvalitetskriterier som gäller för den officiella statistiken. Lagen kompletterar dock även dataskyddsförordningen genom att reglera behandling av personuppgifter hos en statistikansvarig myndighet samt vissa andra frågor om till exempel utlämnanden, uppgiftsskyldighet och gallring. Det kan av denna anledning uppkomma viss osäkerhet kring om det är den föreslagna lagen om socialtjänstdataregister eller lagen om den officiella statistiken som ska tillämpas.

90 Se 1 kap. 6 § dataskyddslagen.

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

108

Inledningsvis bör det klargöras att lagen om den officiella statistiken endast reglerar behandling av personuppgifter vid en statistikansvarig myndighets framställning av statistik. Lagen är alltså inte tillämplig för andra ändamål som finns för behandlingen. Någon tvekan kring vilken lag som bör tillämpas i de fall personuppgiftsbehandlingen i socialtjänstdataregistren utförs för andra ändamål bör därför inte uppkomma.91 Framställning av statistik utgör dock en avgörande del av Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister. Det finns därför skäl att närmare klargöra det förhållande som finns mellan lagen om den officiella statistiken och en ny lag om socialtjänstdataregister i denna del.

Lagen om den officiella statistiken utgör en generell reglering på så sätt att den reglerar samtliga statistikansvariga myndigheters behandling av personuppgifter vid sin statistikframställning utan att närmare gå in på de olika särdrag som finns inom respektive statistikområde. Som nämnts ovan utgör regleringen av personuppgiftsbehandlingen i den lagen också endast en del av en mer omfattande reglering av den officiella statistiken. Syftet vid införandet av regleringen var att av integritetsskäl reglera behandlingen av personuppgifter i de många personregister som fanns hos de statistikansvariga myndigheterna.92 Av särskilt intresse är att de personregister som inte enbart användes för det renodlade ändamålet statistikframställning och som reglerades särskilt i annan lag, uttryckligen undantogs från lagens tillämpning.93 Bland annat Socialstyrelsens behandling av personuppgifter i hälsodataregistren, som regleras genom lagen om hälsodataregister, undantogs alltså från den tidigare lagens tillämpningsområde. Någon sådan undantagsbestämmelse finns dock inte i den nu gällande lagen om den officiella statistiken.

En ny lag om socialtjänstdataregister kommer att reglera Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister specifikt. Den föreslagna lagen bör därför anses innehålla specialbestämmelser i förhållande till lagen om den officiella statistiken. Mot bakgrund av detta är det vår bedömning

91 Jfr SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 623. 92Prop. 1994/95:200, Lagen om vissa personregister för officiell statistik m.m., s. 17. 93 Se prop. 1994/95:200, Lagen om vissa personregister för officiell statistik m.m., s. 22–23, prop. 1997/98:170, Ändringar i lagen om offentlig upphandling m.m., s. 24 och 1 § lagen (1995:606) om vissa personregister för officiell statistik.

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

109

att den föreslagna lagen gäller före lagen om den officiella statistiken i de delar lagarna reglerar samma sak. I de fall en ny lag om socialtjänstdataregister inte reglerar något som regleras i lagen om den officiella statistiken bör tillämpningen, vid behandling av personuppgifter för statistikändamål, däremot falla tillbaka på den senare lagen.

Vi anser inte att det är nödvändigt att i den föreslagna lagen om socialtjänstdataregister hänvisa till lagen om den officiella statistiken. En sådan bestämmelse skulle visserligen kunna motiveras med att den ger Socialstyrelsen och de registrerade en bättre helhetsbild av de regelverk som är tillämpliga. Eftersom en ny lag om socialtjänstdataregister ska gälla före lagen om den officiella statistiken bedömer vi trots detta att ett sådant klargörande är överflödigt. Det bör noteras att det i lagen om hälsodataregister saknas en hänvisning till lagen om den officiella statistiken. Några tillämpningsproblem tycks inte ha uppkommit till följd av detta.

6.5. Personuppgiftsansvar

Vårt förslag: Socialstyrelsen ska vara personuppgiftsansvarig för

behandlingen av personuppgifter som myndigheten utför enligt lagen.

Skälen för vårt förslag

Begreppet personuppgiftsansvarig är centralt i dataskyddsförordningen. Den personuppgiftsansvarige har en skyldighet att säkerställa att behandling av personuppgifter sker i enlighet med tillämpliga bestämmelser och enskilda ska alltid kunna vända sig till den personuppgiftsansvarige för att göra sina rättigheter gällande. Som exempel på de skyldigheter som åligger den personuppgiftsansvarige kan nämnas ansvaret för att kunna visa att de grundläggande principerna för behandlingen av personuppgifter enligt dataskyddsförordningen efterlevs, ansvarsskyldighet (artikel 5.2), och ansvaret för att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och visa att behandlingen utförs i enlighet med dataskyddsförordningen (artikel 24).

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

110

Personuppgiftsansvarig definieras i dataskyddsförordningen som en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. Om ändamålen och medlen för behandlingen bestäms av unionsrätten eller medlemsstaternas nationella rätt kan den personuppgiftsansvarige eller de särskilda kriterierna för hur denne ska utses föreskrivas däri (artikel 4.7).

Registerförfattningar innehåller ofta en reglering av vem som är personuppgiftsansvarig eftersom det bidrar till tydlighet om vem som har ansvaret för den behandling av personuppgifter som lagen föreslås omfatta. Även vi bedömer att möjligheten att i nationell rätt närmare ange vilken myndighet som är personuppgiftsansvarig bör användas. Socialstyrelsen är idag den enda myndighet som förvaltar ett socialtjänstdataregister och det bör av denna anledning inte finnas någon oklarhet kring vilken myndighet som är personuppgiftsansvarig. Otydlighet skulle dock lätt kunna uppkomma för det fall en annan statlig myndighet upprättar personregister inom socialtjänsten. Vår bedömning är därför att det bör anges i lagen att det är Socialstyrelsen som är personuppgiftsansvarig för den behandling som utförs enligt lagen.

Det går att argumentera för att en ny lag om socialtjänstdataregister bör utformas som en ramlag på samma sätt som lagen om hälsodataregister. Genom en ramlag skulle lagen gälla oavsett vilken myndighet som av regeringen får i uppdrag att föra ett socialtjänstdataregister och därmed kunna utgöra en allmän grund för framväxten av socialtjänstdataregister generellt. Vår bedömning är däremot att en ramlag av detta slag inte är lämplig. För det första är det enbart Socialstyrelsen som förvaltar vad som kan betecknas som socialtjänstdataregister idag. För det andra är syftet med en registerförfattning inte enbart att bidra till att en myndighet ska kunna fullgöra sina uppgifter på ett effektivt sätt, utan framförallt att säkerställa skyddet för den personliga integriteten genom att garantera lämpliga och särskilda skyddsåtgärder. Samtliga överväganden kring exempelvis ändamål och skyddsåtgärder i lagen utgår från en ordning där Socialstyrelsen är ensam personuppgiftsansvarig. Även om dessa överväganden i vissa fall i princip skulle kunna gälla även andra statistikansvariga myndigheter bedömer vi att det vid en eventuell förändring av myndighetsansvar rimligtvis bör

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

111

ske en lagändring med de överväganden som ett lagstiftningsförfarande kräver. Vår slutsats är därför att det i lagen ska införas en bestämmelse som anger att Socialstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen.

6.6. Enskildas rättigheter

6.6.1. Dataskyddsförordningens bestämmelser om den registrerades rättigheter och möjliga undantag

Dataskyddsförordningen innehåller ett flertal bestämmelser om den registrerades rättigheter som syftar till att ge den registrerade ökad kontroll över sina personuppgifter. Det handlar bland annat om rätt till information, rätt till tillgång, rätt till rättelse, rätt till radering, rätt till begränsning av behandling och rätt att göra invändningar (artiklarna 12–22).

Rättigheterna är inte i alla delar absoluta och det finns såväl direkt tillämpliga undantag som möjlighet att i nationell rätt göra ytterligare undantag i vissa fall. Rätten till radering gäller exempelvis inte i den utsträckning som behandlingen är nödvändig för att uppfylla en rättslig förpliktelse eller för att utföra en uppgift av allmänt intresse (artikel 17.3 b). Om en personuppgiftsansvarig behandlar uppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål får det enligt artikel 89.2 i unionsrätten eller nationell rätt också föreskrivas undantag från rätten till tillgång (artikel 15), rätten till rättelse (artikel 16), rätten till begränsning (artikel 18) och rätten att göra invändningar (artikel 21). Dock med förbehåll för de villkor och skyddsåtgärder som avses i artikel 89.1.

Vissa rättigheter är vidare beroende av den rättsliga grund som ligger till grund för behandlingen. Det gäller särskilt rätten att göra invändningar där den registrerade endast har rätt att göra invändningar mot behandling av personuppgifter som grundar sig på artikel 6.1 e och f i dataskyddsförordningen, det vill säga när personuppgifter behandlas för att utföra en uppgift av allmänt intresse, som ett led i myndighetsutövning eller efter en

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

112

intresseavvägning. Även här gäller särskilda regler när personuppgifterna behandlas för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål.

6.6.2. Den registrerades rättigheter bör inte begränsas

Vår bedömning: Lagen bör inte innehålla några begränsningar av

den registrerades rättigheter enligt dataskyddsförordningen.

Skälen för vår bedömning

Den registrerades rättigheter bör inte begränsas…

Ett nytt regelverk för socialtjänstdataregister bör vara tydligt, transparent och förutsebart i fråga om hur de registrerades personuppgifter behandlas. Vi bedömer därför att de rättigheter som dataskyddsförordningen föreskriver, och som också är tillämpliga vid behandling av personuppgifter i ett socialtjänstdataregister, inte bör begränsas i lagen. Detta gäller bland annat den registrerades rätt till registerutdrag (artikel 15), rätten för den registrerade att få felaktiga personuppgifter rättade (artikel 16) och rätten att under vissa förutsättningar kunna kräva att behandlingen av personuppgifter begränsas (artikel 18).

…det gäller även rätten att göra invändningar

Dataskyddsförordningen föreskriver också en rätt för den registrerade att göra invändningar mot behandling av personuppgifter (artikel 21.1). I förhållande till myndigheter begränsar sig rätten att göra invändningar till behandling av personuppgifter som grundar sig på att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i den personuppgiftsansvariges myndighetsutövning (artikel 6.1 e). Den registrerade har då rätt att när som helst, av skäl som hänför sig till hans eller hennes specifika situation, göra invändningar mot behandlingen. Den personuppgiftsansvarige får i så fall inte längre

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

113

behandla personuppgifterna om inte denne kan visa tvingande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk. Om det däremot rör sig om personuppgifter som behandlas för forskningsändamål eller statistiska ändamål, är rätten att invända begränsad på så sätt att en invändning endast får göras om behandlingen inte är nödvändig för att utföra en uppgift av allmänt intresse (artikel 21.6).

En begränsning av rätten att göra invändningar kan göras i unionsrätten eller i nationell rätt (artikel 23.1). Det krävs dock att begränsningen sker med respekt för andemeningen i de grundläggande rättigheterna och friheterna och att det utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa bland annat viktiga mål av generellt allmänt intresse.

Rätten att göra invändningar har begränsats i många registerförfattningar under förutsättningen att det är av stor betydelse att uppgifter får behandlas i myndighetens verksamhet, oberoende av den registrerades inställning. Regeringen har i vissa fall också uttalat att den personuppgiftsansvarige närmast undantagslöst skulle kunna påvisa skäl för fortsatt behandling som väger tyngre än den registrerades intressen i det enskilda fallet och att en prövning i enskilda fall därför inte skulle vara motiverad.94 För ett nationellt register kan en sådan begränsning också motiveras med att en rätt att invända mot personuppgiftsbehandlingen kan påverka täckningsgraden och därmed också kvaliteten i ett register. Vi har av denna anledning särskilt övervägt om det finns skäl för en sådan begränsning i den föreslagna lagen.

Socialstyrelsens behov av att behandla personuppgifter innefattar både sådan behandling som grundar sig i en rättslig förpliktelse och sådan behandling som är nödvändig för att utföra en uppgift av allmänt intresse, se avsnitt 7.3. En rätt för den registrerade att invända mot behandlingen är dock endast möjlig i den del Socialstyrelsens behandling är nödvändig för en uppgift av allmänt intresse. Socialstyrelsens personuppgiftsbehandling som utförs för en uppgift av allmänt intresse utgörs till övervägande del av

94 Jfr 1 kap. 4 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, 18 b § utlänningsdatalagen (2016:27), 4 § lagen (2019:663) om behandling av personuppgifter vid Myndigheten för arbetsmiljökunskap med flera.

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

114

behandling för forskningsändamål eller statistikändamål. En registrerad har, som nämnts ovan, inte rätt att invända mot en sådan behandling i den utsträckning det är nödvändigt att behandla uppgifterna för att utföra en uppgift av allmänt intresse. Rätten att invända får därmed en ytterst begränsad innebörd i förhållande till Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister.

Ett skäl till att begränsa rätten att göra invändningar är ofta att det finns en risk för en oproportionerlig arbetsbörda för myndigheten utifrån att resultatet av en invändning i princip uteslutande skulle bli att myndigheten har berättigade skäl för behandlingen och att vinsterna ur ett integritetsperspektiv skulle vara nästintill obefintliga. Enligt uppgifter från Socialstyrelsen är det endast vid ytterst få tillfällen per år som en registrerad använder sig av sin rätt att begära rättelse, begränsning av behandling respektive rätt att göra invändningar. Med beaktande av detta anser vi att det inte går att hävda att rätten att göra invändningar skulle resultera i en oproportionerlig arbetsbörda för myndigheten. Att det endast är i ett fåtal begränsade fall som den registrerade kan invända mot Socialstyrelsens personuppgiftsbehandling innebär vidare att rätten för den registrerade att göra invändningar i praktiken inte är verkningsfull, särskilt som det även är troligt att Socialstyrelsen uteslutande skulle anses ha berättigade skäl för behandlingen i de enstaka fall som den registrerade faktiskt skulle kunna använda sig av rättigheten.

Trots att det är av stor vikt att personuppgifter i ett socialtjänstdataregister får behandlas av Socialstyrelsen oberoende av den registrerades inställning och det behov som finns av att ett socialtjänstdataregister är så heltäckande som möjligt bedömer vi att det inte finns skäl för en begränsning av rätten att göra invändningar (jfr artikel 23.1). Någon begränsning av rätten för den registrerade att göra invändningar föreslås därför inte i lagen.

6.6.3. Särskilt om rätten till information

Vår bedömning: Socialstyrelsen är undantagen från skyldigheten

att lämna information till den registrerade med stöd av artikel 14.5 b och 14.5 c i dataskyddsförordningen.

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

115

Skälen för vår bedömning

Socialstyrelsen är ansvarig för behandlingen av personuppgifter i ett socialtjänstdataregister och har i och med det en skyldighet att lämna information till den registrerade. Samtliga uppgifter som tillförs ett socialtjänstdataregister har dock inhämtats från andra myndigheter. Enligt våra förslag kommer personuppgifter framöver även att kunna samlas in från samtliga som bedriver verksamhet inom socialtjänsten, se avsnitt 11.4. Något förslag på att uppgifter ska samlas in från de registrerade finns däremot inte.

Artikel 14 i dataskyddsförordningen reglerar skyldigheten för den personuppgiftsansvarige att lämna information till den registrerade om personuppgifterna har erhållits från annan än den registrerade själv. I artikel 14.5 anges en rad undantag från den personuppgiftsansvariges informationsskyldighet. Det gäller bland annat i de situationer där den registrerade redan förfogar över informationen (artikel 14.5 a), om tillhandahållandet av informationen visar sig vara omöjligt eller skulle medföra en oproportionell ansträngning, särskilt för behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 (artikel 14.5 b) eller erhållandet eller utlämnande av uppgifter uttryckligen föreskrivs genom unionsrätten eller genom en medlemsstats nationella rätt som den registrerade omfattas av och som fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen (artikel 14.5 c).

Socialstyrelsen behandlar personuppgifter som framförallt samlas in från kommuner och andra aktörer som bedriver verksamhet inom socialtjänsten. Socialstyrelsen saknar därmed all form av direktkontakt med de registrerade. Mot bakgrund av detta samt den stora mängd uppgifter som behandlas är det tydligt att det är omöjligt eller skulle medföra en oproportionerlig ansträngning för Socialstyrelsen att lämna information om personuppgiftsbehandlingen direkt till varje enskild registrerad på det sätt som artikel 14 i dataskyddsförordningen kräver. Den personuppgiftsbehandling som Socialstyrelsen utför är vidare huvudsakligen för sådana forskningsändamål eller statistikändamål som artikel 14.5 b särskilt pekar ut. Inom ramen för Socialstyrelsens registerverksamhet finns ett stort antal säkerhetsåtgärder vidtagna. För att

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

116

nämna några omfattas uppgifterna av absolut sekretess, de är i många fall pseudonymiserade, det finns tekniska behörighetsbegränsningar och registerverksamheten är fysiskt avskild från resterande verksamhet hos Socialstyrelsen, se avsnitt 9.3. Därutöver innehåller den föreslagna lagen om socialtjänstdataregister ytterligare begränsningar vad gäller ändamålen för behandlingen samt innehållet i ett socialtjänstdataregister. Undantaget i artikel 14.5 b är därmed tillämpligt för Socialstyrelsen.

En ny lag om socialtjänstdataregister kommer att reglera en sekretessbrytande uppgiftsskyldighet mellan kommuner och utförare av socialtjänstens insatser i förhållande till Socialstyrelsen. Socialstyrelsen kommer därmed även att omfattas av ett erhållande av personuppgifter som uttryckligen föreskrivs genom en medlemsstats nationella rätt som den registrerade omfattas av enligt undantaget i artikel 14.5 c. En förutsättning för undantagets tillämplighet är dock att den nationella rätten också fastställer lämpliga åtgärder för att skydda den registrerades berättigade intressen. Den föreslagna lagen om socialtjänstdataregister kommer att innehålla ett flertal bestämmelser som skyddar den registrerades integritet vid behandlingen av personuppgifter. Det gäller bland annat en begränsning av tillåtna ändamål för behandlingen och begränsningar av registrens innehåll. Utöver detta finns även sådana tekniska och organisatoriska skyddsåtgärder som vi redogjort för ovan. Det är därför vår bedömning att det i nationell rätt finns ett tillräckligt skydd för de registrerades intressen för att även undantaget i artikel 14.5 c i dataskyddsförordningen ska kunna tillämpas vid personuppgiftsbehandling i ett socialtjänstdataregister. Socialstyrelsen är därmed undantagen från skyldigheten att lämna information till den registrerade med stöd av både artikel 14.5 b och 14.5 c i dataskyddsförordningen. Någon ytterligare lagstiftningsåtgärd är inte nödvändig för att Socialstyrelsen ska kunna tillämpa undantagen.

6.6.4. Socialstyrelsen ska åläggas en allmän informationsplikt

Vårt förslag: Socialstyrelsen ska göra information om den

personuppgiftsbehandling som utförs inom ramen för socialtjänstdataregistren tillgänglig för allmänheten.

Ds 2024:13 Allmänna bestämmelser om personuppgiftsbehandling

117

Skälen för vårt förslag

De personuppgifter som Socialstyrelsen samlar in är av mycket integritetskänslig karaktär och det kan därför finnas anledning att trots tillämpliga undantag från informationsskyldigheten i artikel 14 i dataskyddsförordningen, ålägga myndigheten en allmän informationsplikt. För att säkerställa skyddet för den personliga integriteten i den nationella rätten kan en integritetshöjande åtgärd vara just att den personuppgiftsansvarige offentliggör allmän information, trots att denne är undantagen från skyldigheten att i direkt kontakt med den registrerade lämna sådan information. Det har även visat sig att allmänhetens kunskap om insamlingen av uppgifter till Socialstyrelsens personregister är lågt, vilket ytterligare talar för att göra information tillgänglig i syfte att utöka insynen för den registrerade och samtidigt möjliggöra utövandet av den kontroll över behandlingen som dataskyddsförordningen föreskriver.

Socialstyrelsen håller redan idag omfattande information tillgänglig på sin hemsida som bland annat tydliggör varför registren behövs samt varför det är viktigt att de innehåller personnummer, vilka bestämmelser som är tillämpliga och ändamålen med registren. Att göra information som i annat fall skulle ha lämnats till den registrerade vid registreringstillfället tillgänglig för allmänheten utgör ett krav enligt undantaget i artikel 14.5 b i dataskyddsförordningen. Det finns även en skyldighet för Socialstyrelsen i förhållande till hälsodataregistren att tillhandahålla ytterligare information som går utöver kravet i artikel 14.95 Något motsvarande krav på att tillgängliggöra information för allmänheten finns dock inte i artikel 14.5 c i dataskyddsförordningen.

För att säkerställa transparens och öppenhet och därmed ett högt förtroende för socialtjänstdataregistren i allmänhet bedömer vi att ett sådant tillhandahållande av information bör vara en skyldighet för Socialstyrelsen oavsett vilken undantagsgrund som myndigheten väljer att tillämpa. Vi bedömer dock att det saknas anledning att ställa ett högre krav på informationen än det som ställs enligt dataskyddsförordningen. Den information som normalt ska lämnas enligt artikel 14 är omfattande och kräver bland annat att en personuppgiftsansvarig informerar om ändamålen med behandlingen och den rättsliga grunden för denna, vilka kategorier

95 Jfr till exempel 7 § förordningen (2001:707) om patientregister hos Socialstyrelsen.

Allmänna bestämmelser om personuppgiftsbehandling Ds 2024:13

118

av personuppgifter som behandlingen gäller, den period under vilken uppgifterna kommer att lagras, varifrån uppgifterna kommer och om den registrerades rättigheter enligt dataskyddsförordningen. Att Socialstyrelsen åläggs en allmän informationsplikt innebär inte en begränsning av Socialstyrelsens möjlighet att på eget initiativ göra ytterligare information allmänt tillgänglig. Vår bedömning är däremot att vilken denna information är lämpligen bör avgöras av Socialstyrelsen och inte utgöra en skyldighet enligt författning.

Socialstyrelsen ska sammanfattningsvis åläggas en allmän informationsplikt gentemot den registrerade och allmänheten varigenom de uppgifter som normalt sett ska tillhandahållas den registrerade vid registreringstillfället enligt artikel 14 i dataskyddsförordningen görs allmänt tillgängliga. Detta bör göras på lämpligt sätt, exempelvis genom Socialstyrelsens hemsida på samma sätt som sker idag. Det kan även övervägas om det finns ytterligare informationsvägar som kan vara lämpliga att använda. Socialstyrelsens informationsplikt bör regleras på förordningsnivå och inte genom lag.

119

7. Tillåtna ändamål för behandling

7.1. Inledning

Bestämmelser om tillåtna ändamål för behandling av personuppgifter är i en registerförfattning av central betydelse för skyddet av den personliga integriteten. I detta kapitel redogör vi för olika aspekter av ändamål med personuppgiftsbehandling och betydelsen av ändamålet med behandlingen utifrån den allmänna dataskyddsregleringen. Vi ger även en övergripande beskrivning av ändamålsbestämmelser i nationell rätt.

Vi redogör sedan för vår bedömning avseende rättslig grund för behandling av personuppgifter i ett socialtjänstdataregister och lämnar förslag på hur en reglering av tillåtna ändamål för behandling av personuppgifter ska utformas i en lag om socialtjänstdataregister.

7.2. Allmänt om tillåtna ändamål för behandling av personuppgifter

7.2.1. Den rättsliga grunden sätter upp ramarna för ändamålen

För att behandling av personuppgifter överhuvudtaget ska vara laglig och tillåten enligt dataskyddsförordningen krävs att den ryms inom någon av de rättsliga grunderna för behandling som finns i artikel 6.1 i förordningen, se avsnitt 4.3.3. De rättsliga grunderna är i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.96

96Prop. 2017/18:105, Ny dataskyddslag, s. 46.

Tillåtna ändamål för behandling Ds 2024:13

120

Behandling som grundar sig på en rättslig förpliktelse som den personuppgiftsansvarige har att utföra, eller behandling som krävs för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 c och e) måste som utgångspunkt ha en grund i unionsrätten eller i en medlemsstats nationella rätt (artikel 6.3 första stycket). Enligt dataskyddsförordningen är det alltså lagstiftarens sak att genom lagstiftning tillhandahålla den rättsliga grunden för de offentliga myndigheternas behandling av personuppgifter (skäl 47). Den rättsliga grunden måste uppfylla dataskyddsförordningens krav på tydlighet, precision, förutsebarhet och proportionalitet (artikel 6.3 andra stycket och skäl 41). Vilken grad av tydlighet och precision som krävs i fråga om den rättsliga grunden för att en viss behandling av personuppgifter ska anses vara nödvändig måste bedömas från fall till fall, utifrån behandlingens och verksamhetens karaktär. Ett mer kännbart intrång, till exempel behandling av känsliga personuppgifter inom hälso- och sjukvården, kräver att den rättsliga grunden är mer preciserad och därmed gör intrånget försvarbart.97

Kravet på att all behandling måste ha en rättslig grund innebär att den verksamhetsreglering som styr en myndighets uppgifter också styr för vilka ändamål myndigheten får behandla personuppgifter. Den rättsliga grund som myndigheterna kan basera sin personuppgiftsbehandling på begränsar därmed även för vilka ändamål personuppgifter får behandlas. Det finns alltså en nära koppling mellan en myndighets verksamhetsreglering och de ändamål för behandling som kan bli aktuella. En tydlig verksamhetsreglering kan medföra att behovet av särskilda dataskyddsbestämmelser, för att avgränsa och förtydliga den rättsliga grunden, kan minska. En mer allmänt hållen verksamhetsreglering kan däremot kräva en mer preciserad reglering av personuppgiftsbehandlingen, genom till exempel bestämmelser om tillåtna ändamål som syftar till att klargöra för vilka ändamål som en myndighet får behandla uppgifter i sin verksamhet.98

97Prop. 2017/18:105, Ny dataskyddslag, s. 51. 98 Jfr Integritetsskyddsmyndigheten (2022). Vägledning för integritetsanalys i

lagstiftningsarbete.

Ds 2024:13 Tillåtna ändamål för behandling

121

7.2.2. Ändamålets betydelse i dataskyddsförordningen

Utöver krav på rättslig grund ska all behandling av personuppgifter genomföras i enlighet med vissa grundläggande principer i dataskyddsförordningen. Personuppgifter ska samlas in för särskilda, uttryckligt angivna och berättigade ändamål, vilket betyder att det alltid måste finnas minst ett ändamål med personuppgiftsbehandlingen. Ändamålet med behandlingen är avgörande för flera av de grundläggande principerna i dataskyddsförordningen. Principen om ändamålsbegränsning (även kallad finalitetsprincipen) innebär att uppgifter inte får vidarebehandlas för ändamål som är oförenliga med insamlingsändamålet (artikel 5.1 b). Den registrerade skyddas därigenom mot oväntad och integritetskränkande behandling av de personuppgifter som har samlats in. De specifika ändamål som personuppgifterna behandlas för bör vara tydliga och legitima och ha bestämts vid den tidpunkt då personuppgifterna samlades in (skäl 39).

Utifrån ändamålet avgörs vilka personuppgifter som får behandlas. Enligt principen om uppgiftsminimering ska de insamlade uppgifterna vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen med behandlingen (artikel 5.1 c). Vidare innebär principen om riktighet bland annat att alla rimliga åtgärder vidtas för att säkerställa att personuppgifter som är felaktiga, i förhållande till de ändamål för vilka de behandlas, raderas eller rättas utan dröjsmål (artikel 5.1 d). Enligt principen om lagringsminimering får personuppgifterna som huvudregel inte förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas (artikel 5.1 e).

Betydelsen av ändamålet med behandling av personuppgifter är dock inte begränsad till de grundläggande principerna. Den registrerade har bland annat rätt att få information om ändamålet (artiklarna 13.1 c, 14.1 c och 15.1 a). Även lämplig säkerhetsnivå bestäms utifrån bland annat behandlingens ändamål (artikel 32.1). Lagstiftning som begränsar tillämpningsområdet för de rättigheter och skyldigheter som följer av dataskyddsförordningen ska innehålla specifika ändamålsbestämmelser när så är relevant (artikel 23.2 a). Utöver dessa exempel har ändamålet med behandlingen betydelse

Tillåtna ändamål för behandling Ds 2024:13

122

för tillämpningen av flera olika bestämmelser i dataskyddsförordningen.

7.2.3. Något om ändamålsbestämmelser i registerförfattningar

I registerförfattningar finns det ofta en reglering av tillåtna ändamål för behandlingen av personuppgifter. Sådana bestämmelser kan fylla flera funktioner. Den viktigaste funktionen är att begränsa integritetsintrånget genom att ange den yttersta ram inom vilken personuppgifter får behandlas. Bestämmelser som anger och begränsar tillåtna ändamål har normalt ansetts vara nödvändiga för att säkerställa integritetsskyddet i renodlade registerförfattningar. Dessa definierar vilka uppgifter som får samlas in och hur uppgifterna därefter får behandlas. Ändamålsbestämmelser syftar till att garantera att en personuppgift endast behandlas om det är motiverat och nödvändigt, och tydliggör dessutom för enskilda vilken behandling av personuppgifter som får göras. Sådana bestämmelser begränsar alltså myndighetens handlingsfrihet, vilket ger ett skydd för den enskildes personliga integritet.

Bestämmelser som avser ändamål för personuppgiftsbehandling som uppkommer i myndighetens egen verksamhet brukar benämnas primära ändamål, och speglar ofta myndighetens författningsreglerade uppdrag och uppgifter. Sekundära ändamål avser ofta tillhandahållande av personuppgifter till externa mottagare, inte sällan andra myndigheter, i syfte att tillgodose deras behov. Syftet med uppdelningen i primära och sekundära ändamål är att göra det tydligt hur personuppgifter dels behandlas i myndigheternas egen verksamhet, dels behandlas för att lämnas ut till andra. Ändamålsbestämmelser kan utformas på olika sätt och vara mer eller mindre detaljerade.

De flesta registerförfattningar och annan kompletterande dataskyddsreglering innehåller idag en uppdelning mellan primära och sekundära ändamål. Även nyare författningar, som tillkommit efter att dataskyddsförordningen började tillämpas, innehåller en liknande uppdelning av ändamål.99 Det får alltså anses vara en

99 Se exempelvis lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten.

Ds 2024:13 Tillåtna ändamål för behandling

123

generell utgångspunkt att sagda uppdelning görs i dataskyddsreglering inom dataskyddsförordningens tillämpningsområde.

I svenska kompletterande registerförfattningar eller annan dataskyddsreglering motsvaras finalitetsprincipen i dataskyddsförordningen ofta av en särskild bestämmelse i anslutning till övriga ändamålsbestämmelser. Även om finalitetsprincipen inte uttryckligen anges i en kompletterande författning gäller den som utgångspunkt ändå, som en följd av dataskyddsförordningens direkta tillämplighet. Ändamålsbestämmelser kan dock i vissa fall vara uttömmande, det vill säga bestämmelserna anger de enda ändamål som uppgifter får behandlas för. Om ändamålsbestämmelserna exempelvis anger att uppgifter endast, eller bara får behandlas för de angivna ändamålen är ingen vidarebehandling för andra ändamål tillåten. Det innebär alltså att finalitetsprincipen inte gäller i det sammanhanget och följaktligen inte tillåter någon ytterligare behandling av personuppgifter.

7.3. Rättslig grund för behandling av personuppgifter i ett socialtjänstdataregister

Vår bedömning: Socialstyrelsens behandling av personuppgifter

i ett socialtjänstdataregister är nödvändig för att utföra en uppgift av allmänt intresse.

Delar av Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister är även nödvändig för att fullgöra en rättslig förpliktelse som myndigheten har.

Den rättsliga grunden kommer att framgå av nationell rätt på det sätt som krävs enligt dataskyddsförordningen.

Vårt förslag: Socialstyrelsens ansvar att föra socialtjänstdata-

register ska särskilt anges i myndighetens instruktion.

Tillåtna ändamål för behandling Ds 2024:13

124

Skälen för vår bedömning och vårt förslag

Behandling för att utföra en uppgift av allmänt intresse

En behandling som är nödvändig för att en personuppgiftsansvarig ska kunna utföra en uppgift av allmänt intresse utgör, som framgår ovan, en tillåten rättslig grund för behandling av personuppgifter (artikel 6.1 e). Regeringen har uttalat att alla uppgifter som riksdagen eller regeringen gett i uppdrag åt statliga myndigheter att utföra och sådan verksamhet som myndigheterna bedriver inom ramen för sin befogenhet är av allmänt intresse, se avsnitt 4.3.3. I normalfallet utgör därmed en myndighets uppdrag enligt författning, instruktion eller regleringsbrev en rättslig grund för behandling av personuppgifter enligt artikel 6.1 e. Av 2 kap. 2 § 1 dataskyddslagen följer vidare att en uppgift av allmänt intresse som följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning utgör en rättslig grund för behandling av personuppgifter. Eftersom en statlig myndighets uppdrag framgår av författning eller regeringsbeslut, har de åtgärder som en myndighet vidtar i syfte att utföra dessa uppdrag i sig en legal grund som har offentliggjorts genom tydliga, precisa och förutsebara regler.100

Regleringen av Socialstyrelsens verksamhet sker i förordningen med instruktion för Socialstyrelsen. Myndighetens uppgifter är alltså fastställda i förordning. Att Socialstyrelsen särskilt ska ansvara för officiell statistik framgår av 5 § 2 i förordningen. Socialstyrelsens ansvar för den officiella statistiken inom socialtjänstens område regleras också uttryckligen i lagen och förordningen om den officiella statistiken. Av Socialstyrelsens instruktion framgår vidare att myndigheten bland annat ska följa, analysera och rapportera om socialtjänst samt stöd och service till vissa personer med funktionsnedsättning genom statistikframställning, uppföljning, utvärdering och epidemiologiska studier (4 § 7). Socialstyrelsen ska även följa forsknings- och utvecklingsarbete av särskild betydelse inom sitt verksamhetsområde och verka för att sådant arbete kommer till stånd samt främja utvecklingen av metoder och arbetsformer i socialt arbete genom forskning, systematisk prövning

100Prop. 2017/18:105, Ny dataskyddslag, s. 57.

Ds 2024:13 Tillåtna ändamål för behandling

125

och värdering av utfall och effekter av insatser enligt socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade (4 § 4 och 8). Myndigheten ansvarar också för att ta fram och utveckla statistik och register inom sitt verksamhetsområde (6 § 1). Regeringen ger vidare Socialstyrelsen särskilda uppdrag som anges specifikt i regleringsbrev eller separata regeringsbeslut.

Det samlade regelverket för socialtjänstdataregister som nu föreslås kommer att närmare fastställa och precisera den rättsliga grunden för Socialstyrelsens uppgift att föra socialtjänstdataregister, bland annat när det gäller de allmänna villkoren för behandling av personuppgifter, vilka personuppgifter som får behandlas och för vilka ändamål.

Sammanfattningsvis bedömer vi att kravet i artikel 6.3 i dataskyddsförordningen på att grunden för den personuppgiftsbehandling som utförs inom ramen för Socialstyrelsens verksamhet med socialtjänstdataregister ska vara fastställd i nationell rätt uppfylls genom befintlig reglering och det regelverk som föreslås. Även kravet i samma artikel på att syftet med behandlingen ska vara nödvändigt för att utföra en uppgift av allmänt intresse får anses uppfyllt med det föreslagna regelverket.

Den rättsliga grunden ska också uppfylla ett mål av allmänt intresse och vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Regeringen har uttalat att uppgifter av allmänt intresse som har fastställts i enlighet med svensk rätt genomgående uppfyller dessa krav.101

Behandling för att fullgöra en rättslig förpliktelse

Den behandling av personuppgifter som Socialstyrelsen behöver utföra i sin verksamhet med socialtjänstdataregister bedöms alltså i första hand utgöra en uppgift av allmänt intresse enligt artikel 6.1 e. De rättsliga grunderna är dock i viss mån överlappande och flera rättsliga grunder kan därför vara tillämpliga avseende en och samma behandling.

101 Se prop. 2017/18:105, Ny dataskyddslag, s. 50 och prop. 2023/24:29, En ny

dataskyddsreglering på socialförsäkringsområdet, s. 40.

Tillåtna ändamål för behandling Ds 2024:13

126

Personuppgifter får enligt dataskyddsförordningen även behandlas om det är nödvändigt för att fullgöra en rättslig förpliktelse som åvilar den personuppgiftsansvarige (artikel 6.1 c). Begreppet omfattar i första hand offentligrättsliga förpliktelser och av 2 kap. 1 § dataskyddslagen följer att en förpliktelse utgör en rättslig grund för behandling av personuppgifter om förpliktelsen följer av lag eller annan författning, av kollektivavtal eller av beslut som har meddelats med stöd av lag eller annan författning.

Regeringen har uttalat att en myndighets uppdrag enligt instruktionen till myndigheten eller ett regleringsbrev i vissa fall kan utgöra en i enlighet med nationell rätt fastställd rättslig förpliktelse i dataskyddsförordningens mening, till exempel om myndigheten ges i uppdrag att föra ett visst register. I normalfallet torde dock myndighetens uppdrag i första hand utgöra en rättslig grund för behandling av personuppgifter med stöd av artikel 6.1 e, det vill säga på grundval av att uppdraget avser en uppgift av allmänt intresse.102

En rättslig förpliktelse kan även avse en författningsreglerad skyldighet för en myndighet att lämna ut uppgifter till exempelvis en annan myndighet. Socialstyrelsens uppgiftsutlämnande kan alltså utgöra en rättslig förpliktelse, när uppgiftsutlämnandet grundar sig på en uppgiftsskyldighet. Sådana uppgiftsskyldigheter får anses reglerade i svensk rätt på ett sätt som överensstämmer med de krav som dataskyddsförordningen ställer upp, se vidare i avsnitt 7.5 nedan.

Ansvaret för socialtjänstdataregister ska särskilt anges i Socialstyrelsens instruktion

Som vi har redogjort för ovan ansvarar Socialstyrelsen i enlighet med sin instruktion för att ta fram och utveckla statistik och register inom sitt verksamhetsområde (6 § 1), vilket får anses inkludera såväl befintliga som utökade socialtjänstdataregister. Vad gäller Socialstyrelsens ansvar för hälsodataregister anges dock denna uppgift särskilt i instruktionen (5 § 3). Vi anser att Socialstyrelsens uppgift att ansvara för socialtjänstdataregister av tydlighetsskäl lämpligen också bör anges särskilt i instruktionen, och föreslår därför att detta förs in i en ny punkt i 5 § förordningen med

102Prop. 2017/18:105, Ny dataskyddslag, s. 53–54.

Ds 2024:13 Tillåtna ändamål för behandling

127

instruktion för Socialstyrelsen. På så sätt jämställs även uppgiften att ansvara för socialtjänstdataregister med uppgiften att ansvara för hälsodataregister.

7.4. Primära ändamål

Vårt förslag: Socialstyrelsen ska få behandla personuppgifter i ett

socialtjänstdataregister om det är nödvändigt för att

1. framställa statistik,

2. framställa underlag för uppföljning och utvärdering,

3. utföra epidemiologiska studier, och

4. bedriva forskning.

Skälen för vårt förslag

Ändamålen bör utgå från Socialstyrelsens instruktionsreglerade uppdrag och ses i ljuset av syftet med ett socialtjänstdataregister

Avgränsningen av de ändamål för vilka personuppgifter i ett socialtjänstdataregister får behandlas är av stor betydelse när det gäller skyddet för den personliga integriteten. En detaljerad uppräkning av de ändamål för vilka en myndighet får behandla personuppgifter är tydligare och mer förutsebar för såväl tillämpare som de registrerade. Samtidigt ger vidare ändamålsbestämmelser ett större utrymme att behandla personuppgifter för de ändamål som myndighetens uppdrag förutsätter. När ändamål regleras i en författning måste lagstiftningen också ta höjd för att förändringar kan komma att ske i samhället och i den registeransvariga myndighetens verksamhet. En avvägning behöver därför göras där en myndighet ges nödvändiga förutsättningar att behandla personuppgifter i sin verksamhet, samtidigt som risken för obefogade intrång i den personliga integriteten så långt som möjligt begränsas.

Vi anser att det är lämpligt att Socialstyrelsens instruktionsreglerade uppdrag utgör utgångspunkten för utformningen av den

Tillåtna ändamål för behandling Ds 2024:13

128

primära ändamålsbestämmelsen i lagen. De primära ändamålen bör enligt vår bedömning spegla ramarna för Socialstyrelsens behov av att behandla uppgifter i ett socialtjänstdataregister för att myndigheten ska ges förutsättningar för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt.

Även om det huvudsakliga ändamålet med Socialstyrelsens verksamhet med socialtjänstdataregister är att framställa statistik, finns det ett behov av att myndigheten också får behandla uppgifterna för andra ändamål inom ramen för sitt uppdrag som kunskapsmyndighet. Med hänsyn till myndighetens breda uppdrag anser vi att det varken är möjligt eller lämpligt att i lag utforma en detaljerad ändamålsbeskrivning för myndighetens personuppgiftsbehandling i ett socialtjänstdataregister. En annan sak är att utformningen av ändamålen så tydligt som möjligt bör precisera den behandling av personuppgifter som ska få förekomma. När tillåtna ändamål är förhållandevis brett formulerade i en registerförfattning ställs högre krav på myndigheten att uppfylla de krav som finns i dataskyddsförordningen.

Vi har i avsnittet ovan gjort bedömningen att behandlingen av personuppgifter i ett socialtjänstdataregister i Socialstyrelsens verksamhet faller in under den rättsliga grunden uppgift av allmänt intresse och till viss del under den rättsliga grunden rättslig förpliktelse. Sådan behandling är tillåten endast om behandlingen är nödvändig. En bedömning av om behandlingen är nödvändig måste göras inför varje behandling. Kravet på nödvändighet innebär inte ett krav på att behandlingsåtgärden ska vara oundgänglig.103 I kravet på nödvändighet ligger att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås med andra medel, till exempel genom anonymiserade uppgifter.104

De tillåtna ändamålen för behandling av personuppgifter i ett socialtjänstdataregister ska även ses tillsammans med det övergripande syftet att föra ett sådant register, nämligen att bidra till ökad kunskap för att utveckla och förbättra socialtjänsten, se avsnitt 6.2.3. Ändamålen bör ses som de metoder som Socialstyrelsen kan använda vid behandlingen av personuppgifter för att framställa ett resultat som är förenligt med detta syfte. Socialstyrelsen har alltså att förhålla sig till det övergripande syftet

103Prop. 2017/18:105, Ny dataskyddslag, s. 189. 104 Jfr prop. 2022/23:34, Utbetalningsmyndigheten, s. 124.

Ds 2024:13 Tillåtna ändamål för behandling

129

vid all behandling i ett socialtjänstdataregister inom ramen för tillåtna ändamål.

De föreslagna ändamålsbestämmelserna är sådana specifika bestämmelser som i enlighet med artikel 6.2 och 6.3 anpassar tillämpningen av dataskyddsförordningen och säkerställer en laglig och rättvis behandling. Utifrån vår bedömning att personuppgiftsbehandling i ett socialtjänstdataregister omfattas av grundlagsskyddet i 2 kap. 6 § RF, krävs dessutom att det i lag regleras för vilka ändamål uppgifterna får behandlas, se avsnitt 5.3.2.

Nedan följer en närmare beskrivning av respektive ändamål. Det kan framhållas att begreppen statistik, uppföljning, utvärdering, epidemiologiska studier och forskning i viss mån går in i varandra och det går inte att dra någon skarp gräns mellan dem. Begreppen är dock etablerade i förhållande till Socialstyrelsens behandling av personuppgifter i myndighetens hälsodataregister och omfattar även den behandling som vi bedömer bör vara tillåten för att socialtjänstdataregistren ska uppfylla avsett syfte. Samtliga ändamål innebär vidare att resultatet av behandlingen alltid består av aggregerade uppgifter och inte personuppgifter. Det kan också betonas att Socialstyrelsen för att uppfylla kraven på tydliga ändamål kan behöva formulera mer preciserade ändamål för vissa särskilda socialtjänstdataregister eller specifika behandlingar av personuppgifter som sker i myndighetens verksamhet.

Statistik

I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat. Statistiska resultat kan i sin tur användas för olika ändamål, bland annat vetenskapliga forskningsändamål. Sådana resultat består inte av personuppgifter, utan av aggregerade personuppgifter, och ska inte resultera i att uppgifterna används till stöd för åtgärder eller beslut som avser en särskild fysisk person (se skäl 162). Regeringen har uttalat att med statistik avses metoder för att samla in, bearbeta, utvärdera och analysera data eller information. Även resultatet av ett sådant arbete, ofta redovisat i

Tillåtna ändamål för behandling Ds 2024:13

130

numerisk form, benämns ofta statistik.105 I dataskyddsförordningen finns ett antal bestämmelser som särskilt reglerar personuppgiftsbehandling för statistiska ändamål. Till exempel gäller som utgångspunkt att det alltid är tillåtet att behandla uppgifter för statistikändamål, oavsett för vilket ändamål uppgifterna ursprungligen samlades in (artikel 5.1 b).

Ett socialtjänstdataregister skapas som ett statistikregister som hanteras inom ramen för Socialstyrelsens särskilda statistikverksamhet, i egenskap av statistikansvarig myndighet enligt lagen om den officiella statistiken. Det ligger därför i sakens natur att ett socialtjänstdataregisters främsta syfte är att samla uppgifter som kan användas som underlag för framställning av officiell och annan statistik. I avsnitt 3.4 har vi närmare beskrivit vad som avses med officiell och annan statistik. Socialstyrelsen publicerar idag framförallt rapporter med årsstatistik utifrån de olika ämnesområdena, och gör även viss statistik tillgänglig genom myndighetens statistikdatabas. Statistikdatabasen gör det möjligt att ta fram bland annat tabeller och diagram.

Statistikframställningen utgör alltså det grundläggande och huvudsakliga ändamålet för den personuppgiftsbehandling som kommer att utföras i ett socialtjänstdataregister. Det bör därför tydligt framgå av den föreslagna lagen att Socialstyrelsen får behandla uppgifter i ett socialtjänstdataregister för att framställa statistik.

Uppföljning och utvärdering

Socialstyrelsen ska enligt sin instruktion följa, analysera och rapportera om socialtjänst genom bland annat uppföljning och utvärdering. Individdata från socialtjänstdataregistren används för att framställa underlag till sådana uppföljningar och utvärderingar som myndigheten gör i enlighet med sin instruktion och särskilda regeringsuppdrag.

Genom att följa upp och utvärdera socialtjänsten kan exempelvis ojämlika förhållanden uppmärksammas och insatsernas effektivitet studeras. Uppföljningar och utvärderingar ligger till grund för såväl

105Prop. 2017/18:107, Ändringar i vissa författningar inom Finansdepartementets ansvarsområde

med anledning av EU:s dataskyddsreform, s. 19.

Ds 2024:13 Tillåtna ändamål för behandling

131

ny kunskap som utveckling, i form av bland annat kunskapsstöd och riktlinjer. Socialstyrelsen publicerar årligen en analysplan som är en översikt över analytisk verksamhet inom vård och omsorg vid myndigheten. Med hjälp av sådana analyser kan en samlad bild av utvecklingen inom socialtjänsten ges, och därigenom också vägledning om vilka åtgärder som bör vidtas för att förbättra verksamheten.

Ändamålen uppföljning och utvärdering är ofta överlappande. Med uppföljning avses att fortlöpande och regelbundet mäta och beskriva behov, verksamheter och resursåtgång angivet i termer av till exempel behovstäckning, produktivitet och nyckeltal. Uppföljning syftar bland annat till att ge en översiktlig bild av verksamhetens utveckling och att fungera som signal för avvikelser som bör beaktas.

Ett exempel på uppföljningar hos Socialstyrelsen är öppna jämförelser. De riktar sig främst till tjänstemän och beslutsfattare i bland annat kommuner samt till politiker på olika nivåer. Öppna jämförelser gör det möjligt att jämföra socialtjänstens kvalitet i hela landet med hjälp av så kallade indikatorer. Öppna jämförelser ska enligt Socialstyrelsen bidra till tre huvudsakliga ändamål. För det första handlar det om att stimulera kommunerna till att skapa en diskussion kring utveckling, lärande, kvalitet och effektivitet. För det andra ska öppna jämförelser medverka till att skapa en öppenhet, och ge insyn i offentligt finansierade verksamheter. För det tredje ska öppna jämförelser ge underlag för styrning och ledning av verksamheter både på nationell och lokal nivå.106

De flesta kvalitetsindikatorer som publiceras i öppna jämförelser idag baseras på uppgifter som årligen samlas in från kommunerna med hjälp av enkäter, vilket är en resurskrävande uppgift. Det finns dock från Socialstyrelsens sida en strävan mot fler registerbaserade indikatorer, se avsnitt 3.5.5. Det innebär att Socialstyrelsen i första hand ska undersöka om det myndigheten vill belysa kan mätas med en registerbaserad indikator. De register som indikatorerna baseras på är Socialstyrelsens befintliga socialtjänstdataregister i kombination med myndighetens hälsodataregister, eller med andra myndigheters register.107

106 Socialstyrelsen (2023). Öppna jämförelser i utveckling. 107 Socialstyrelsen (2023). Öppna jämförelser i utveckling.

Tillåtna ändamål för behandling Ds 2024:13

132

Med ändamålet utvärdering avses analys och värdering av kvalitet, effektivitet och resultat hos en verksamhet i förhållande till exempelvis de mål som bestämts för denna. Socialstyrelsen genomför exempelvis utvärderingar av kommunernas följsamhet till myndighetens nationella riktlinjer. Sådana utvärderingar görs bland annat med utgångspunkt i indikatorer som myndigheten tagit fram i riktlinjearbetet, och riktar sig i första hand till beslutsfattare. Utvärderingarna tar sikte på insatsernas kvalitet och visar vad som behöver förbättras. Exempel på nationella riktlinjer, som riktar sig både till hälso- och sjukvården och socialtjänsten, är Socialstyrelsens riktlinjer för vård och omsorg vid demenssjukdom samt riktlinjer om vård och stöd vid funktionsnedsättningarna adhd och autism.

Socialstyrelsen arbetar alltså med framtagna indikatorer i olika uppföljnings- och utvärderingssammanhang. Utvecklingen av indikatorer tar sin utgångspunkt i Socialstyrelsens modell för kunskapsstyrning, som beskriver metoder för att systematiskt utveckla, följa upp och utvärdera vård och omsorg. Socialstyrelsen ställer särskilda krav på de indikatorer som tas fram med tillgänglig data. Indikatorn ska ange riktning, det vill säga att höga eller låga värden är uttryck för bra eller dålig kvalitet och/eller effektivitet. Indikatorn ska även vara relevant och belysa ett område som är viktigt för verksamheten att förbättra eller följa utvecklingen för och som speglar någon dimension av kvalitet och/eller effektivitet i utfallet. Indikatorn ska också vara valid, vilket innebär att den mäter det den avser att belysa och att den mäts på ett tillförlitligt sätt i ett system som samlar in data på ett likartat sätt år efter år. Indikatorn ska vidare vara vedertagen och bygga på kunskap, till exempel nationella riktlinjer, vetenskap och beprövad erfarenhet, samt vara påverkbar så att en huvudman eller utförare ska kunna påverka indikatorns utfall. Indikatorn ska slutligen vara mätbar och ska kunna mätas med nationellt tillgänglig och kontinuerligt insamlad data.108

Sammanfattningsvis är ett viktigt användningsområde för ett socialtjänstdataregister att kunna ta fram underlag till uppföljningar och utvärderingar, som i sin tur kan anses vara centrala för att beslutsfattare och professioner ska få kunskapsbaserade underlag.

Det kan framhållas att ett underlag till en uppföljning eller utvärdering kan ha olika former och behöver inte vara beständigt till

108 Socialstyrelsen (2020). Handbok för utveckling av indikatorer. För god vård och omsorg.

Ds 2024:13 Tillåtna ändamål för behandling

133

sin form, utan kan också avse en dynamisk bearbetning av information som sker över tid.

Epidemiologiska studier

Som framgår ovan ingår i Socialstyrelsens instruktionsenliga uppdrag att analysera och rapportera om socialtjänsten genom epidemiologiska studier.

Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar eller bidrar till olika typer av ohälsa. Epidemiologi definieras vanligen som läran om sjukdomars utbredning och orsaker i befolkningen. En bred definition av begreppet kan dock även inkludera studier av de sociala problemens utbredning i befolkningen.109

Epidemiologin har en central betydelse för att påvisa riskfaktorer för en lång rad sjukdomar hos befolkningen och ge underlag till systematiskt genomförda försök med förebyggande insatser. Socialstyrelsen har lyft att socialtjänstdataregistren kan ge viktig kunskap om sådana riskfaktorer i dessa studier, och kan även utgöra viktiga redskap för att kunna uppnå en än mer kunskapsbaserad socialtjänst.

Socialstyrelsen har framhållit att det finns ett behov av att inom ramen för de epidemiologiska studierna som myndigheten utför använda uppgifter ur socialtjänstdataregistren, både för framställning av statistik och för att ta fram andra slag av särskilda rapporter och redogörelser över aktuella frågeställningar. Det finns även ett behov av att till exempel samköra ett hälsodataregister med ett socialtjänstregister för ändamålet epidemiologiska studier för en fråga som rör båda områdena.

Uppgifter i ett socialtjänstdataregister kan bland annat användas i registerstudier där Socialstyrelsen utifrån hela populationen följer situationen för olika grupper som får insatser av socialtjänsten. Utvidgade socialtjänstdataregister kan möjliggöra epidemiologiska studier som kan koppla insatser inom socialtjänsten för olika målgrupper till olika typer av utfall, exempelvis hemlöshet eller ekonomiskt bistånd.

109 Jfr SOU 2009:32, Socialtjänsten Integritet – Effektivitet, s. 361.

Tillåtna ändamål för behandling Ds 2024:13

134

Inom området barn och unga har Socialstyrelsen genomfört ett flertal epidemiologiska studier med befintliga socialtjänstdataregister i syfte att förbättra situationen för placerade barn, genom att ge kunskapsunderlag om olika förhållanden. Vissa resultat baserade på dessa studier har publicerats i vetenskapliga tidskrifter, och ingått som kunskapsunderlag i olika statliga utredningar. En rapport från Socialstyrelsen har exempelvis rört tandhälsa bland ungdomar som har varit placerade i heldygnsvård under uppväxten, som baserades på Socialstyrelsens tandhälsoregister som samkörts med bland annat registret över insatser för barn och unga.110 Ett annat exempel är en rapport om instabilitet bland barn och unga placerade i heldygnsvård, där resultaten baserades på registret över insatser för barn och unga som samkörts med bland annat det externa utbildningsregistret.111 Studien syftade till att ge en bild av placeringsmönster i svensk heldygnsvård ur ett longitudinellt perspektiv, och ingick som en del i ett regeringsuppdrag.

Vi bedömer att möjligheten för Socialstyrelsen att behandla personuppgifter i ett socialtjänstdataregister för kunskapsproduktion inom epidemiologiska frågor utgör en viktig del av Socialstyrelsens verksamhet. Genom sådana studier kan myndigheten belysa angelägna samhällsfrågor.

Epidemiologiska studier skulle visserligen kunna omfattas av både ändamålet statistik och ändamålet forskning. En epidemiologisk studie kan också utgöra en integrerad del av exempelvis en uppföljning. Även om det är vanligt förekommande att en epidemiologisk studie inkluderar statistikframställning sträcker den sig oftast längre genom fördjupade analyser av de statistiska resultaten, exempelvis när det gäller orsaker och samband. En epidemiologisk studie vid Socialstyrelsen bedrivs i regel inte heller med forskning som huvudsyfte, utan snarare i syfte att analysera exempelvis trender och samband.

För att undvika tillämpningsproblem och med hänsyn till att epidemiologiska studier är en viktig del i Socialstyrelsens verksamhet bedömer vi att ändamålet bör regleras särskilt i den

110 Socialstyrelsen (2016). Tandhälsa bland unga vuxna som varit placerade. Registerstudie av

tandhälsa och tandvårdskonsumtion bland 20–29-åringar som varit placerade i heldygnsvård under uppväxten.

111 Socialstyrelsen (2023). Instabilitet bland barn och unga placerade i heldygnsvård enligt SoL

och LVU. Placeringsmönster t.o.m. år 2020 bland barn och unga födda 1990–2004.

Ds 2024:13 Tillåtna ändamål för behandling

135

föreslagna lagen.112 I avsnitt 7.6 nedan redogör vi för våra överväganden avseende möjligheten till samkörning av uppgifter i ett socialtjänstdataregister med exempelvis uppgifter i ett hälsodataregister.

Forskning

I Socialstyrelsens instruktion ingår uppgiften att främja utvecklingen av metoder och arbetsformer i socialt arbete genom forskning, systematisk prövning och värdering av utfall och effekter av insatser enligt socialtjänstlagen. Den forskning som Socialstyrelsen bedriver kan ske på eget initiativ utifrån identifierad angelägenhetsgrad och kunskapsbehov, eller på uppdrag av regeringen.

Huvudsyftet med forskningsprojekten i Socialstyrelsens verksamhet är att dessa ska handla om utfall av socialtjänstens arbete med klienter och brukare, eftersom denna typ av tillämpad forskning både är tids- och resurskrävande och endast sker i begränsad utsträckning inom akademin. Sådan forskning har enligt Socialstyrelsen stor användning för registeruppgifter. Ofta sker så kallad datatriangulering där registeruppgifter kombineras med enkät- och aktdata för att besvara en uppställd forskningsfråga.

I forskningsprojekt där uppgifter i ett socialtjänstdataregister används som underlag kommer ofta känsliga personuppgifter eller personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden att behandlas. För sådana forskningsprojekt krävs att de har godkänts vid en etikprövning enligt lagen (2003:460) om etikprövning av forskning som avser människor (etikprövningslagen).113 Etikprövningsmyndigheten ska vid sin prövning göra en intresseavvägning där riskerna för den personliga integriteten vägs mot forskningens vetenskapliga värde.114 I etikprövningslagen finns även en definition av forskning, som enligt regeringen omfattas av dataskyddsförordningens begrepp forskningsändamål.115 I lagen

112 Jfr prop. 1997/98:108, Hälsodata- och vårdregister, s. 50–51. 113 Se 2 och 6 §§ etikprövningslagen. 114 Se 7–11 §§ etikprövningslagen. 115 Se 2 § etikprövningslagen och prop. 2018/19:165, Etikprövning av forskning – tydligare regler

och skärpta straff, s. 19.

Tillåtna ändamål för behandling Ds 2024:13

136

definieras forskning som vetenskapligt experimentellt eller teoretiskt arbete eller vetenskapliga studier genom observation, om arbetet eller studierna görs för att hämta in ny kunskap, och utvecklingsarbete på vetenskaplig grund, dock inte sådant arbete eller sådana studier som utförs endast inom ramen för högskoleutbildning på grundnivå eller på avancerad nivå.

Ett exempel på en forskningsstudie som Socialstyrelsen har genomfört inom ramen för ett regeringsuppdrag har rört socialtjänstens insatser för barn och unga som lagförts för brott mot narkotikastrafflagen. Forskningsstudien baserades på data som inhämtats från flera olika nationella register samt akter och intervjuer med representanter för bland annat socialtjänstverksamheter.116

Vid en utökning av socialtjänstdataregistren utvidgas Socialstyrelsens möjligheter att belysa resultat av socialtjänstens arbete på samhällsnivå. Myndigheten kan exempelvis med hjälp av uppgifter om aktualisering i olika delar av socialtjänsten, kön, ålder och beslut om insats belysa individers förlopp genom samhällets insatser ur ett socialtjänst- och samhällsperspektiv i form av in- och utträden och koppling till olika utfall som exempelvis arbete, inkomster, ohälsa och kriminalitet.

På samma sätt som statistik är forskning i dataskyddsförordningen ett priviligierat ändamål genom att det som utgångspunkt alltid är tillåtet att behandla uppgifter för vetenskapliga eller historiska forskningsändamål, oavsett för vilket ändamål uppgifterna ursprungligen samlades in.117 Behandling av personuppgifter för vetenskapliga forskningsändamål ska ges en vid tolkning enligt dataskyddsförordningen.118 Även om sådan behandling kan utföras med stöd av finalitetsprincipen anser vi att det i den föreslagna lagen av tydlighetsskäl bör framgå som ett uttryckligt tillåtet ändamål.

Forskning som avses inom ramen för den primära ändamålsbestämmelsen ska alltså rymmas inom Socialstyrelsens verksamhetsområde, vilket i första hand bestäms av myndighetens instruktion och utifrån regeringsuppdrag. Socialstyrelsen hanterar

116 Socialstyrelsen (2022). Vårdinsats som rättslig reaktion för unga som lagförs för

narkotikabrott. En forskningsstudie om socialtjänstens insatser för barn och unga vuxna 15–20 år som under 2017 lagförts för brott mot narkotikastrafflagen .

117 Se artikel 5.1 b. 118 Se skäl 159.

Ds 2024:13 Tillåtna ändamål för behandling

137

även utlämnanden av registeruppgifter för forskning som bedrivs av utomstående aktörer. Sådana utlämnanden omfattas av förslagets sekundära ändamålsbestämmelse, och berörs närmare nedan.

7.5. Sekundära ändamål

Vårt förslag: Personuppgifter som behandlas enligt de primära

ändamålen ska även få behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Skälen för vårt förslag

Sekundära ändamål i förenlighet med offentlighets- och sekretessregleringen

Den svenska regleringen av rätten att ta del av allmänna handlingar enligt tryckfrihetsförordningen ges företräde framför rätten till skydd av personuppgifter enligt dataskyddsförordningen. Rätten att ta del av allmänna handlingar gäller dock endast i förhållande till enskilda och är inte tillämplig när myndigheter lämnar uppgifter sinsemellan. När en myndighet lämnar personuppgifter till en annan myndighet omfattas denna behandling alltså av regleringen i dataskyddsförordningen och kompletterande nationell dataskyddsreglering.

Finalitetsprincipen innebär, som vi har redogjort för ovan, att om en tilltänkt behandling av redan insamlade personuppgifter inte omfattas av de ursprungliga ändamålen måste det göras en bedömning av om ändamålet med den senare behandlingen är förenligt med de ursprungliga ändamålen. När det gäller frågan om uppgiftslämnande mellan myndigheter kan begränsas av finalitetsprincipen har Högsta förvaltningsdomstolen i rättsfallet HFD 2021 ref. 10 uttalat att utöver sekretessprövningen ska den personuppgiftsansvariga myndigheten inte göra någon kontroll av förenligheten med finalitetsprincipen i samband med utlämnande av uppgifter enligt den generella uppgiftsskyldigheten som regleras i

Tillåtna ändamål för behandling Ds 2024:13

138

6 kap. 5 § OSL. Högsta förvaltningsdomstolen konstaterade att uppgiftsskyldigheten enligt bestämmelsen förutsätter att endast uppgifter som inte omfattas av sekretess lämnas, det vill säga genom sekretessbestämmelser hindras myndigheterna från att lämna ut bland annat integritetskänsliga uppgifter till andra myndigheter och att lagstiftaren härigenom har tagit ställning till när ett utlämnande är oförenligt med det eller de ändamål för vilka uppgifterna samlades in. Regeringen har senare uttalat att om det i lag eller förordning finns en sekretessbrytande bestämmelse som reglerar att en myndighet ska eller får lämna ut personuppgifter, till exempel en uppgiftsskyldighet, innebär det att någon särskild prövning av om utlämnandet är förenligt med det ursprungliga ändamålet inte behöver ske.119

Att en viss uppgift omfattas av sekretess utgör alltså en form av skyddsåtgärd vid behandling av personuppgifter och det finns en tydlig samverkan mellan bestämmelserna i dataskyddsförordningen och sekretesslagstiftningen. Vid behandling i form av utlämnande av uppgifter från ett socialtjänstdataregister har Socialstyrelsen att beakta statistiksekretessen. Utöver det primära skydd som uppgifterna får med stöd av statistiksekretessen, skyddas uppgifterna även av sekretess enligt 21 kap. 7 § OSL. Denna bestämmelse innebär att sekretess gäller om det kan antas att uppgifterna efter ett utlämnande kommer att behandlas i strid med dataskyddsförordningen, dataskyddslagen eller 6 § etikprövningslagen. Statistiksekretessen i 24 kap. 8 § OSL är som huvudregel absolut, se avsnitt 4.5.3. Från huvudregeln om absolut sekretess finns vissa undantag. I dessa undantagsfall får uppgifter lämnas ut om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men (ett så kallat omvänt skaderekvisit). Det finns alltså även i dessa undantagssituationer en presumtion för sekretess, men uppgifterna kan lämnas ut efter en skadeprövning. Uppgifter som kan lämnas ut efter en skadeprövning är dels uppgifter som behövs för forskningsändamål eller statistikändamål, dels uppgifter som inte genom namn, annan identitetsbeteckning eller liknande är direkt hänförliga till en enskild (så kallade indirekta personuppgifter), se vidare nedan.

119Prop. 2023/24:85, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar från

välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 24.

Ds 2024:13 Tillåtna ändamål för behandling

139

Ett utlämnande kan även komma att ske med stöd av andra sekretessbrytande bestämmelser i lag eller förordning. Det kan till exempel röra sig om en sådan uttrycklig uppgiftsskyldighet gentemot en annan myndighet som avses i 10 kap. 28 § OSL.

Det främsta syftet med ett socialtjänstdataregister är att möjliggöra för Socialstyrelsen att genomföra sitt uppdrag som nationell statistik- och kunskapsmyndighet inom socialtjänstens område. Enligt vår mening bör socialtjänstdataregistren byggas upp och utformas med strikt beaktande av Socialstyrelsens uppdrag och de ändamål som finns för Socialstyrelsens behandling av uppgifter. Det ska dock framhållas att ett socialtjänstdataregister samtidigt också är en gemensam nationell resurs, och kan komma till användning för ändamål av högt samhälleligt intresse även hos andra aktörer än Socialstyrelsen.

Vi ser det som lämpligt med en sekundär ändamålsbestämmelse som ger stöd för uppgiftslämnande som sker i överensstämmelse med lag eller förordning. En sådan bestämmelse gör det tydligt för de registrerade att uppgifterna kan behandlas även för utlämnande till andra. Med bestämmelsen avses att uppgiftslämnandet sker med stöd av bestämmelser som påbjuder eller tillåter utlämnande. En sekundär ändamålsbestämmelse som förhåller sig till lag och förordning är också i linje med annan motsvarande lagstiftning.120Dessutom kräver grundlagsskyddet i 2 kap. 6 § andra stycket RF att det i lag regleras när uppgifter ska lämnas ut på grund av uppgiftsskyldighet som bryter sekretess som gäller för uppgifterna, se avsnitt 5.3.2.

Socialstyrelsen kan med stöd av dataskyddsförordningen behandla personuppgifter för att lämna ut uppgifter enligt lag eller förordning, antingen med stöd av artikel 6.1 c (rättslig förpliktelse) eller med stöd av artikel 6.1 e (uppgift av allmänt intresse). Kravet på att den rättsliga grunden ska vara fastställd är uppfyllt genom att ändamålsbestämmelsen förutsätter att utlämnandet har stöd i bestämmelser som anger att uppgifter får eller ska lämnas ut (artikel 6.3 första stycket). Syftet med behandlingen kan förutsättas framgå av bestämmelser om att uppgifter får eller ska lämnas ut,

120 Se till exempel 7 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten och 114 kap. 9 § socialförsäkringsbalken samt prop. 2023/24:29,

En ny dataskyddsreglering på socialförsäkringsområdet, s. 48.

Tillåtna ändamål för behandling Ds 2024:13

140

alternativt vara nödvändigt för utlämnandet (artikel 6.3 andra stycket).

En bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande av personuppgifter utgör i allmänhet alltså en tydlig rättslig grund för behandling av personuppgifter. Den nu föreslagna bestämmelsen om sekundära ändamål innebär inte några utökade möjligheter för Socialstyrelsen att lämna ut personuppgifter i förhållande till vad som gäller i dag. Vid uppgiftslämnande är den viktigaste frågan ur ett integritetsperspektiv om uppgifterna överhuvudtaget ska lämnas ut. Den frågan aktualiseras redan när en bestämmelse som fastställer en skyldighet eller tillåter ett utlämnande införs. Det får förutsättas att det då görs en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet. Den avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet som föregår en bestämmelse om uppgiftslämnande säkerställer alltså att den rättsliga grunden uppfyller ett mål av allmänt intresse och är proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket).

En begränsning till personuppgifter som behandlas enligt de primära ändamålen innebär vidare att det inte kan bli aktuellt för Socialstyrelsen att samla in uppgifter i ett socialtjänstdataregister i det enda syftet att senare lämna ut dem. Uppgifter som får lämnas ut med stöd av bestämmelsen måste alltså redan vara föremål för behandling i myndighetens egen verksamhet inom den ram som de primära ändamålsbestämmelserna ställer upp. Vid ett utlämnande blir den dataskyddsreglering som gäller hos mottagaren styrande för den fortsatta personuppgiftsbehandlingen.

Särskilt om Socialstyrelsens utlämnandeverksamhet

Socialstyrelsen har en omfattande verksamhet när det gäller handläggning av utlämnanden av uppgifter från såväl hälsodata- som socialtjänstdataregister, inom ramen för undantagen från den absoluta statistiksekretessen i 24 kap. 8 § OSL. Utöver utlämnanden av sekretesskyddade uppgifter tar Socialstyrelsen även fram och lämnar ut statistisk, det vill säga aggregerade uppgifter, utifrån särskilda statistikbeställningar.

Ds 2024:13 Tillåtna ändamål för behandling

141

Vad som utgör forskningsändamål definieras inte närmare i offentlighets- och sekretesslagen eller dess förarbeten. Högsta förvaltningsdomstolen har dock uttalat att den åtskillnad som i olika sammanhang görs mellan forskning å ena sidan och uppföljning, utvärdering och kvalitetssäkring å andra sidan bör upprätthållas även vid tillämpning av statistiksekretessen.121 En förutsättning för att uppgifter som behövs för forskningsändamål ska få lämnas ut är att det står klart att uppgifterna kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men. Eftersom uppgifter som omfattas av statistiksekretess har ett så starkt skydd innebär ett utlämnande till en annan myndighet som medför att uppgifterna kommer att omfattas av ett svagare sekretesskydd, i sig en risk för skada. Även om användningen av uppgifterna hos mottagaren inte medför någon skada kan nämligen det svagare sekretesskyddet hos mottagaren medföra att uppgifterna lämnas vidare på ett sätt som medför skada. För forskningsprojekt som innefattar behandling av känsliga personuppgifter eller uppgifter om lagöverträdelser krävs dessutom alltid godkänd etikprövning.122Enligt Socialstyrelsen lämnar myndigheten i regel ut avidentifierade uppgifter som har löpnummersatts. I vissa fall kan det dock ske att uppgifter med personnummer lämnas ut för forskningsändamål, om det inte är möjligt att besvara den aktuella forskningsfrågan utan dessa uppgifter.

När det gäller utlämnanden av sekretesskyddade uppgifter för statistikändamål har regeringen framhållit att det mot bakgrund av lagstiftningens syfte är rimligt att tolka uttrycket statistikändamål så att det endast omfattar användning av uppgifterna för framställning av statistik utan anknytning till något särskilt ärende. Om uppgifterna i fråga visserligen bearbetas med statistiska metoder, men sedan i bearbetad form ska användas i ett särskilt ärende, kan de enligt regeringen inte lämnas ut med stöd av undantaget för uppgifter som behövs för statistikändamål.123 Regeringen har också uttryckt att utlämnande av uppgifter för statistikändamål normalt torde kunna ske till en annan myndighet som tillämpar statistiksekretess. Omvänt torde ett utlämnande som innebär att

121 Högsta förvaltningsdomstolens dom RÅ 2004 ref. 9. 122 Se 3 och 6 §§ etikprövningslagen. 123Prop. 2013/14:162, Ändringar av statistiksekretessen, s. 11.

Tillåtna ändamål för behandling Ds 2024:13

142

uppgifterna inte längre omfattas av statistiksekretess ofta medföra en skaderisk.124

Uppgift som inte genom namn, annan identitetsbeteckning eller liknande förhållande är direkt hänförlig till den enskilde får vidare lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider skada eller men.125Undantaget får alltså anses omfatta den kategori av uppgifter som kan hänföras till en enskild genom så kallad bakvägsidentifiering, det vill säga identifiering av en person med hjälp av en kombination av uppgifter såsom kön, ålder och hemort.

7.6. Reglering av finalitetsprincipen

Vårt förslag: Det ska i lagen införas en upplysningsbestämmelse

om att personuppgifter som har samlats in för de primära ändamålen även får behandlas för andra ändamål, under förutsättning att dessa inte är oförenliga med de ändamål för vilka uppgifterna samlades in.

Skälen för vårt förslag

Finalitetsprincipen bör utgöra den yttersta ramen inom vilken personuppgifter får behandlas

Utöver de primära och sekundära ändamål som pekar ut ramarna för den behandling som är tillåten, utgör finalitetsprincipen den yttersta gränsen för tillåten behandling på dataskyddsförordningens område. Finalitetsprincipen framgår som ovan nämnts av artikel 5.1 b i dataskyddsförordningen och utgör en av de grundläggande principerna för behandling av personuppgifter. Denna princip medger att uppgifter behandlas för andra ändamål än insamlingsändamålen, under förutsättning att behandlingen inte är oförenlig med de ursprungliga ändamålen.

124Prop. 2013/14:162, Ändringar av statistiksekretessen, s. 12. 125 Se 24 kap. 8 § tredje stycket OSL.

Ds 2024:13 Tillåtna ändamål för behandling

143

Som beskrivs ovan är vissa registerförfattningar uttömmande reglerade där lagstiftaren bedömt att principen inte kan användas. I andra fall är det finalitetsprincipen som sätter gränsen för vad som är en tillåten behandling. Den personuppgiftsansvarige får då kontrollera om en senare behandling är förenlig med de ändamål för vilka personuppgifterna samlades in. I dataskyddsförordningen föreskrivs det i artikel 6.4 hur prövningen av om en vidarebehandling är förenlig med insamlingsändamålet som utgångspunkt ska gå till. Vid prövningen ska bland annat kopplingar mellan de ändamål för vilka personuppgifterna har samlats in och ändamålen med den avsedda ytterligare behandlingen beaktas. Det sammanhang inom vilket personuppgifterna har samlats in, personuppgifternas art, såsom uppgifternas känslighet, samt förekomsten av lämpliga skyddsåtgärder är också förhållanden som ska beaktas. Vidarebehandling av personuppgifter för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 i dataskyddsförordningen anses inte vara oförenlig med de ursprungliga ändamålen som uppgifterna samlades in för (artikel 5.1 b).

Vi bedömer att finalitetsprincipen lämpligen bör utgöra den yttersta ramen för personuppgiftsbehandlingen i ett socialtjänstdataregister. Finalitetsprincipen innebär i sig ett integritetsskydd eftersom den förbjuder ytterligare behandling av personuppgifter som är oförenlig med ursprungsändamålen. Finalitetsprincipen kan alltså inte tillämpas utan avvägningar som i praktiken innebär att de nya ändamålen kommer att behöva ligga mycket nära de ursprungliga ändamålen eller kunna ses som en förlängning av de ursprungliga ändamålen.126 Finalitetsprincipens räckvidd kan exempelvis enligt vår bedömning inte ges en sådan vidsträckt tolkning att Socialstyrelsen skulle kunna behandla uppgifter i syfte ett vidta en åtgärd som direkt påverkar en enskild individ. Vid fråga om utlämnande av personuppgifter gäller, som framgår ovan, bestämmelser om sekretess.

Dataskyddsförordningens bestämmelser om finalitetsprincipen är direkt tillämpliga vid Socialstyrelsens behandling av personuppgifter. Det kan därför ifrågasättas i vilken utsträckning det krävs en uttrycklig bestämmelse om finalitetsprincipen, eftersom den som utgångspunkt gäller även utan en bestämmelse i kompletterande

126 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 50.

Tillåtna ändamål för behandling Ds 2024:13

144

reglering. Vi anser dock att det av tydlighetsskäl bör införas en bestämmelse som ger uttryck för finalitetsprincipen genom att ange att personuppgifter som behandlas för något av de i lagen angivna ändamålen även får behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med det ändamål för vilket uppgifterna samlades in. Regeringen har också vid flera tillfällen bedömt att en sådan bestämmelse är påkallad av tydlighetskäl.127

Särskilt om samkörning med andra personregister

Det finns ingen legaldefinition av begreppet samkörning. Ofta används begreppet samkörning också som synonymt med sambearbetning. Regeringen har i äldre lagstiftningssammanhang uttalat att med samkörning mellan två personregister avses en maskinell bearbetning av uppgifter i ett register tillsammans med uppgifter i ett annat register hos den personuppgiftsansvarige eller hos annan personuppgiftsansvarig.128

Vi anser inte att samkörning behöver regleras särskilt i den föreslagna lagen om socialtjänstdataregister. Möjligheten till samkörning får då bedömas utifrån samma principer som för annan behandling av personuppgifter. Finalitetsprincipen kan ge stöd för att samköra uppgifter i ett socialtjänstdataregister med uppgifter från exempelvis ett hälsodataregister eller med uppgifter som samlats in genom enkäter. Behov av att kunna utföra samkörningar finns framförallt vid Socialstyrelsens epidemiologiska studier och forskning, som vi har redogjort för ovan.

Samtidigt som samkörning anses kunna medföra stor nytta för att exempelvis vidga kunskapen inom ett aktuellt område, kan samkörning av stora uppgiftsmängder mellan flera register även medföra större risker ur integritetssynpunkt. Det bör därför framhållas att det alltid krävs att Socialstyrelsen genomför en noggrann prövning enligt artikel 6.4 i dataskyddsförordningen om en samkörning är förenlig med insamlingsändamålen. Vid denna prövning ska personuppgifternas känslighet särskilt beaktas (6.4 c). Samkörning får vidare endast ske om det är tillåtet enligt relevanta

127 Se exempelvis prop. 2018/19:151, Behandling av personuppgifter vid Myndigheten för

arbetsmiljökunskap, s. 24 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 128.

128Prop. 1981/82:189, om ändring i datalagen (1973:289) m.m., s. 53.

Ds 2024:13 Tillåtna ändamål för behandling

145

bestämmelser om sekretess. Myndigheten måste även vid en proportionalitetsavvägning noggrant pröva samtliga skäl som talar för, respektive de som talar emot, en sådan behandling av personuppgifter i ett socialtjänstdataregister.

147

8. Innehållet i ett socialtjänstdataregister

8.1. Inledning

Vilka personuppgifter som får samlas in till ett socialtjänstdataregister är av avgörande betydelse för Socialstyrelsens statistikframställning och analysmöjligheter. I detta kapitel beskriver vi förutsättningarna för en utökad personuppgiftsbehandling och redovisar våra bedömningar och förslag i fråga om vilka personuppgifter som ska få behandlas i ett socialtjänstdataregister. Vi tydliggör även vad som avses med respektive uppgift och uppgiftskategori samt skälen till att uppgiften bör kunna finnas i ett socialtjänstdataregister.

Vi beskriver sedan vilka känsliga personuppgifter och uppgifter som rör lagöverträdelser som Socialstyrelsens har ett behov av att behandla samt våra bedömningar och förslag i fråga om behandlingen av dessa kategorier av personuppgifter.

8.2. Personuppgifter som ska få behandlas i ett socialtjänstdataregister

8.2.1. Utgångspunkter ur ett dataskyddsperspektiv

Principen om uppgiftsminimering

De grundläggande principerna i dataskyddsförordningen utgör kärnan i regelverket kring dataskydd, se avsnitt 4.3.2. Vid överväganden kring vilka personuppgifter som ska få behandlas i ett

Innehållet i ett socialtjänstdataregister Ds 2024:13

148

socialtjänstdataregister är det särskilt principen om uppgiftsminimering som blir aktuell (artikel 5.1 c). Enligt principen ska de personuppgifter som behandlas vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas. Med andra ord innebär det att den personuppgiftsansvarige inte får behandla fler personuppgifter än vad som behövs för ändamålen. Personuppgifterna som behandlas behöver vara effektiva i förhållande till syftet med behandlingen och integritetsintrång ska i möjligaste mån minimeras. Kan ändamålet uppnås med andra uppgifter som inte innebär samma integritetsintrång bör dessa uppgifter väljas istället (jfr skäl 39). Det är inte tillåtet att samla in personuppgifter enbart utifrån ett obestämt framtida behov, för att uppgifterna kan komma till nytta i framtiden eller för att få fram information om förhållanden som saknar betydelse för en myndighets behov av att kunna utföra sin författningsreglerade verksamhet.

Ytterst är det den personuppgiftsansvarige som har ansvar för att säkerställa att inte fler uppgifter än vad som behövs för att uppnå ändamålet behandlas. Detta eftersom det i regel är den personuppgiftsansvarige som vet bäst vilka personuppgifter som har betydelse för det syfte som ska uppnås. Dataskyddsförordningen, och därmed principen om uppgiftsminimering, är direkt tillämplig i svensk rätt. Vid behandling av känsliga personuppgifter och andra personuppgifter av integritetskänslig karaktär kan det trots det finnas anledning att närmare reglera en myndighets personuppgiftsbehandling i nationell rätt så att denna blir så begränsad som möjligt med hänsyn till ändamålet.

Om att begränsa de personuppgifter som får behandlas

Det finns inte något generellt krav inom den allmänna dataskyddsregleringen på att i författning ange vilka personuppgifter som en myndighet får behandla.129 I registerförfattningar är det istället vanligt att en begränsning av vilka personuppgifter som får behandlas sker genom tydligt reglerade och konkretiserade ändamål för myndighetens behandling; något som i sin tur innebär att en bredare personuppgiftsbehandling inte är möjlig. Det är den rättsliga

129 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 49.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

149

grund som en myndighet kan basera sin personuppgiftsbehandling på som begränsar för vilka ändamål personuppgifter får behandlas, se avsnitt 7.2.1 och 7.2.2. Eftersom ändamålen i sin tur avgör vilka personuppgifter som får behandlas innebär detta att det finns en nära koppling mellan den rättsliga grunden, ändamålen för behandlingen och de personuppgifter som en myndighet får behandla.

En begränsning av vilka personuppgifter som ska få behandlas kan dock göras genom att direkt i lag eller förordning ange de uppgifter som får behandlas. Många gånger kan det vara svårt att avgöra exakt vilka personuppgifter som bör kunna behandlas inom ramen för en myndighets verksamhet. Av den anledningen kan det vara tillräckligt att en precisering i författning av vilka personuppgifter som får behandlas tar sikte på kategorier eller typer av uppgifter. Ibland i lag kombinerat med en närmare detaljering i förordning.

8.2.2. Socialtjänstdataregister under uppbyggnad

Socialstyrelsen förvaltar idag både hälsodataregister och socialtjänstdataregister. Till skillnad från hälsodataregistren är de senare ytterst begränsade till sitt innehåll och smala i sin täckning. Det innebär att den statistik som kan tas fram och de analyser som behöver göras inom socialtjänstens område sällan grundar sig enbart på registeruppgifter. I de allra flesta fall behöver Socialstyrelsen komplettera statistiken och analyserna med mängduppgifter, enkätundersökningar, aktstudier och intervjuer. För en nationell socialtjänststatistik som är både aktuell och tillförlitlig är det nödvändigt att socialtjänstdataregistren får en mer avgörande betydelse, se avsnitt 3.6 och 5.2. Det råder en bred enighet om att Socialstyrelsen i det syftet behöver kunna behandla fler personuppgifter inom ramen för sina socialtjänstdataregister. Dataanvändningen inom socialtjänsten försvåras dock av en avsaknad av nationellt enhetliga informationsstrukturer, stor variation i hur verksamheterna hos kommunerna är organiserade, skillnader i hur data registreras och behov av utveckling av verksamhetssystem. Utvecklingen av socialtjänstdataregister som en nationell resurs är därför fortfarande i hög grad under uppbyggnad och det finns en diskrepans mellan de personuppgifter som det finns ett nationellt

Innehållet i ett socialtjänstdataregister Ds 2024:13

150

värde i att samla in och de uppgifter som i dagsläget rent faktiskt är möjliga att samla in.

För att uppnå en effektiv användning av socialtjänstdataregistren för de ändamål som vi föreslår krävs att Socialstyrelsen ges en viss flexibilitet i att bygga upp en struktur liknande den som finns inom hälsodataregistren. Hänsyn behöver tas till den uppbyggnadsfas som socialtjänstdataregistren befinner sig i, vilket kräver särskilda överväganden i förhållande till Socialstyrelsens behov av att kunna behandla vissa personuppgifter samt effektiviteten av respektive personuppgift. Den av oss föreslagna lagen om socialtjänstdataregister är vidare en dataskyddsreglering. Fokus för en sådan reglering är behandlingen av personuppgifter och skyddet för den personliga integriteten. De dataskyddsrättsliga överväganden, liksom de lagstiftningsbedömningar i övrigt, som behöver göras är däremot inte möjliga att utföra utan hänsyn till de faktiska omständigheter och praktiska förutsättningar som finns för den lag som föreslås.

8.2.3. Vilka personuppgifter behöver kunna behandlas?

Socialtjänstdataregistrens syfte och särdrag som utgångspunkt

Med ett socialtjänstdataregister avses en rikstäckande samling av personuppgifter hos Socialstyrelsen, som samlas in och hanteras inom ramen för myndighetens särskilda statistikverksamhet. Ett socialtjänstdataregister är därför i grunden ett nationellt statistikregister. Även om uppgifter i socialtjänstdataregistren får användas för andra ändamål än framställning av statistik, innebär det att karaktären av registren främst är av statistiskt slag med de särskilda överväganden som då krävs i fråga om till exempel kvalitet. Detta bör också vara en utgångspunkt vid bedömningen av vilka personuppgifter som behöver kunna behandlas i ett socialtjänstdataregister.

Ett socialtjänstdataregister är dock av stort värde och intresse även för andra aktörer som har till uppgift att utvärdera och följa upp socialtjänsten eller på andra sätt undersöka socialtjänstens verksamhet. Detta framgår inte minst av den omfattande utlämnandeverksamhet som Socialstyrelsen bedriver inom ramen

Ds 2024:13 Innehållet i ett socialtjänstdataregister

151

för sin registerverksamhet, se avsnitt 7.5. Socialtjänstdataregistren bör av denna anledning också ses som en nationell resurs för det samhälleliga arbetet med att utveckla och förbättra socialtjänstens verksamhet.

Socialstyrelsens behov av att behandla fler personuppgifter

Socialstyrelsen är personuppgiftsansvarig myndighet för den behandling av personuppgifter som utförs i ett socialtjänstdataregister. Det är därmed Socialstyrelsen som också har det yttersta ansvaret för att inte fler uppgifter behandlas än vad som är nödvändigt för att uppnå ändamålet med behandlingen.

Socialstyrelsen har i ett flertal skrivelser till regeringen fört fram att det finns ett behov av utökad uppgiftsinsamling till socialtjänstdataregistren, se avsnitt 3.6.3. Många av dessa skrivelser går dock långt tillbaka i tiden och myndigheten har därför uttryckt att de förslag som myndigheten tidigare har lagt fram behöver revideras baserat på bland annat vunna erfarenheter. Socialstyrelsen anser att regleringen av hälsodataregister bör kunna utgöra ett exempel på hur utformningen av ett nytt regelverk om socialtjänstdataregister kan se ut. Det finns dock skillnader mellan hälso- och sjukvården och socialtjänsten som är av avgörande betydelse för möjligheterna att skapa nationell tillförlitlig statistik. Skillnaderna handlar främst om att det inom socialtjänsten saknas etablerade och objektiva mått, utifrån att sociala faktorer är svåra att mäta på ett objektivt sätt. Förutsättningarna för att bygga upp register om tillstånd, behandling och utfall inom socialtjänsten ser därför annorlunda ut än inom hälso- och sjukvården. Socialstyrelsen menar att det med anledning av detta är desto mer angeläget att etablera objektiva mått för att kunna beskriva och följa samhällets förmåga att nå personer med behov av insatser från socialtjänsten.

Socialstyrelsen avser att ambitionen bör vara att skapa ett brett socialtjänstdataregister som tar fasta på alla av socialtjänstens insatser och de utredningsåtgärder som kan ställas i relation till dessa. Det går däremot att ifrågasätta om uppgifter om till exempel måluppfyllelse och resultat bör registreras på individnivå i ett nationellt socialtjänstdataregister. I registersammanhang är tillgången till adekvata uppgifter över tid i sig ett underlag för att

Innehållet i ett socialtjänstdataregister Ds 2024:13

152

kunna undersöka och beskriva resultat i relation till en mängd olika frågeställningar. Försiktighet bör även iakttas i förhållande till orosanmälningar, som kan innehålla substantiella felaktigheter som inte är lämpligt för ett nationellt register. Det finns däremot inget som hindrar att uppgifterna samlas in som mängdstatistik.

Andra samhälleliga aktörer

Socialtjänstdataregistren utgör också en nationell resurs för forskning och analys, och kan inte minst fungera som kunskapsunderlag för kommunernas verksamhetsuppföljning och kvalitetssäkring. Även andra aktörers inspel har därför varit av vikt vid överväganden av vilka uppgifter som ska få behandlas i ett socialtjänstdataregister.

Det har funnits en bred enighet om att fokus för ett socialtjänstdataregister inte enbart får vara insatser, utan att registren bör inkludera även utredningsåtgärder. Sveriges Kommuner och Regioner (SKR) har särskilt lyft att uppgifterna i ett register bör inkludera hela socialtjänsten från aktualisering och utredningsåtgärder till beslut, utförande och uppföljning. En sådan bred uppgiftsinsamling förespråkas av verksamheten trots att den innebär en utökad uppgiftslämnarbörda för kommunerna. En grundläggande förutsättning bör dock vara att insamlingen endast ska gälla uppgifter som det finns en skyldighet för kommunerna att dokumentera. Både SKR och Myndigheten för vård- och omsorgsanalys anser vidare att det redan idag finns ett stort värde i att samla in uppgifter om mål, måluppfyllelse och resultat.

Det har också påtalats att det saknas etablerade och tillförlitliga sätt att följa upp socialtjänstens insatser och att det behövs mätinstrument som kan skapa förutsättningar för bland annat forskning på området. Avsaknaden av ett standardiserat sätt att dokumentera uppgifter och önskemål om tydlighet i vad som avses med varje uppgiftskategori är något som har lyfts genomgående.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

153

8.2.4. Dokumentation inom socialtjänsten

Dokumentationsskyldighet inom socialtjänsten

I socialtjänstlagen anges att handläggning av ärenden som rör enskilda samt genomförande av beslut om stödinsatser, vård och behandling ska dokumenteras. Dokumentationen ska utvisa beslut och åtgärder som vidtas i ärendet samt faktiska omständigheter och händelser av betydelse (11 kap. 5 §). Bestämmelsen föreslås även föras över till den nya socialtjänstlagen, enbart med viss justering.130Även inom LSS anges att handläggning av ärenden som rör enskilda och genomförande av beslut om insatser enligt lagen ska dokumenteras, och att dokumentationen ska utvisa beslut och åtgärder som vidtas i ärenden samt faktiska omständigheter och händelser av betydelse (21 a § LSS). Regeringen har föreskrivit att Socialstyrelsen får meddela verkställighetsföreskrifter på området (8 § socialtjänstförordningen [2001:937] och 14 § förordningen [1993:1090] om stöd och service till vissa funktionshindrade).

Av Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS framgår de närmare krav som finns på dokumentation inom socialtjänsten samt allmänna råd för denna. I föreskrifterna anges bland annat att det av nämndens eller kommunens beslut ska framgå vilka insatser som har beviljats samt vilka skäl som ligger till grund för beslutet (5 kap. 14 och 15 §§). Av beslutsunderlaget ska vidare den bedömning som har gjorts av den enskildes behov samt målet eller målen för den insats som föreslås framgå (5 kap. 10 och 11 §§). Även skälen till att en insats avslutas ska dokumenteras (5 kap. 25 §). Till detta kommer att åtgärder som vidtas vid handläggning av ett ärende fortlöpande och utan oskäligt dröjsmål ska dokumenteras. Detsamma gäller faktiska omständigheter och händelser av betydelse för handläggningen av ett ärende eller för genomförandet (4 kap. 9 §).

Begreppsanvändningen anmälan, ansökan och information på annat sätt används i rubriksättningen i föreskrifterna och avser då aktualisering av ärenden enligt socialtjänstlagen och LSS. I dessa fall ska det dokumenteras vad saken gäller, vem eller vilka som

130 Se 14 kap. 3 § i den föreslagna lagen.

Innehållet i ett socialtjänstdataregister Ds 2024:13

154

uppgifterna avser, vem som lämnat uppgifterna, när uppgifterna har lämnats till nämnden samt namn och befattning eller titel på den som tagit emot uppgifterna. Begreppet aktivitet används i föreskrifterna genom allmänna råd i förhållande till bestämmelsen i 11 kap. 5 § socialtjänstlagen och 21 a § LSS. I de allmänna råden anges att det av genomförandeplanen bör framgå om insatsen innehåller en eller flera aktiviteter, samt de mål som gäller för varje aktivitet.

Det kan särskilt nämnas att det som ett allmänt råd även anges att den som bedriver verksamhet så långt det är möjligt bör använda sig av verksamhetsanpassade kodverk, klassifikationer, blanketter och standardiserade mallar för dokumentation.

Strukturerad dokumentation

En grundläggande förutsättning för att socialtjänstdata ska kunna delas, tolkas entydigt och sammanställas är att information dokumenteras med enhetliga begrepp, termer och klassifikationer i en överenskommen struktur. Det är också detta som avses med strukturerad dokumentation. En strukturerad dokumentation är nödvändig för uppbyggnaden av nationell statistik och för att statistiken ska bli jämförbar både mellan kommuner och nationellt. Socialstyrelsen har ett särskilt ansvar för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer, samt en ändamålsenlig informationsstruktur inom socialtjänsten.131 Det utgör ett sedan länge uppsatt mål att få till stånd en större enhetlighet och en mer ändamålsenlig struktur för att dokumentationen inom socialtjänsten ska kunna användas i till exempel uppföljning.132

Som framkommit ovan saknas dock inom socialtjänsten fortfarande i stora delar objektiva mått och ett enhetligt och standardiserat sätt att dokumentera uppgifter. I de allra flesta fall dokumenteras uppgifter och annan information i löpande text eller på ett sätt som inte är enhetligt och därmed inte jämförbart på ett nationellt plan. Många kommuner använder i och för sig redan idag systematiserade arbetssätt såsom Individens behov i centrum (IBIC) eller Barnets behov i centrum (BBIC) som stöd i dokumentation

131 Se 4 § 9 och 10 i myndighetens instruktion. 132 Jfr 2013 års överenskommelse mellan staten och Sveriges Kommuner och Landsting (numera

Sveriges Kommuner och Regioner) om stöd till en evidensbaserad praktik (EBP) för god kvalitet inom socialtjänsten.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

155

och systematisk uppföljning, vilket utgör ett första steg mot en strukturerad dokumentation. Användandet av de klassifikationer som tagits fram särskilt för en ändamålsenlig och strukturerad dokumentation inom socialtjänsten är däremot inte lika utbredd.

De klassifikationer som används inom socialtjänsten är Internationell klassifikation av funktionstillstånd, funktionshinder och hälsa (ICF) och Klassifikation av socialtjänstens insatser och aktiviteter (KSI). Klassifikationerna är mest utbredda inom äldreomsorgen och funktionshinderområdet, även om det egentliga tillämpningsområdet omfattar fler områden än dessa. För att åskådliggöra tillämpningen av klassifikationerna kan siffror från 2023 användas. Då använde 24–73 procent av kommunerna ICF i sin myndighetsutövning, beroende på verksamhetsområde. Motsvarande siffra för KSI var runt 9–21 procent.133

Även SKR har tagit fram förslag på variabler för individbaserad systematisk uppföljning som syftar till att utveckla lokal kunskap som underlag för verksamhetsutveckling och förändringsarbete. Målsättningen har varit att ta fram variabler som är hållbara över tid och som kan ge en god kunskapsgrund för verksamhetsutveckling. Dessa variabler har så långt det varit möjligt hämtats från officiell statistik och samordnats med BBIC, IBIC, Socialstyrelsens verktyg för systematisk uppföljning och Socialstyrelsens termbank.134 Det är däremot oklart i vilken omfattning dessa används i kommunernas verksamhet.

Att de uppgifter som finns i kommunernas system endast delvis är strukturerad på ett enhetligt sätt innebär en svårighet vid rapportering av uppgifter till ett nationellt socialtjänstdataregister och påverkar även bedömningen av vilka uppgifter som ska kunna behandlas i registret. Det är inte möjligt att vid överväganden om en behandling av personuppgifter är effektiv för att uppnå syftet med behandlingen bortse från sådana praktiska omständigheter som genomförbarhet.

133 Socialstyrelsen (2024). Kommunernas förutsättningar och behov inför införandet av en

socialtjänstdataregisterlag, s. 19.

134 Sveriges Kommuner och Landsting (2019). Verksamhetssystem som stöd för systematisk

uppföljning.

Innehållet i ett socialtjänstdataregister Ds 2024:13

156

8.2.5. Det krävs en reglering i lag av registrets innehåll

Vår bedömning: Det krävs en reglering i lag av registrets

innehåll. För att enklare kunna genomföra förändringar bör det i lagen endast anges de yttersta ramarna för de personuppgifter som ska kunna behandlas. En uppgiftskatalog på en högre detaljeringsnivå bör istället finnas i förordning.

Skälen för vår bedömning

Det behövs en reglering i lag

Socialtjänstdataregistren innehåller personuppgifter av mycket integritetskänslig karaktär och som dessutom rör en stor del av Sveriges befolkning. Det finns därför ett stort behov av tydlig och förutsebar reglering där den personliga integriteten värnas genom tillräckliga skyddsåtgärder.

I vårt förslag till lag om socialtjänstdataregister har vi föreslagit och närmare beskrivit de tillåtna ändamålen för Socialstyrelsens behandling av personuppgifter, se kapitel 7. Ändamålen är utformade med utgångspunkt i Socialstyrelsens författningsenliga uppdrag som regleras i myndighetens instruktion. Jämfört med många andra myndigheter är regleringen av Socialstyrelsens uppgifter förhållandevis generell. Detta speglar också ändamålsbestämmelserna som trots viss konkretisering är relativt breda. Enligt vår mening begränsar inte de angivna ändamålen på ett tillräckligt tydligt sätt vilka personuppgifter som ska kunna behandlas av Socialstyrelsen inom ramen för ändamålen. Av denna anledning bedömer vi att en författningsreglering av vilka uppgifter som ska få behandlas av myndigheten i ett socialtjänstdataregister är motiverad för att uppfylla dataskyddsförordningens krav på tydlighet, förutsebarhet och proportionalitet (jfr artikel 6.3 och skäl 41).

Socialtjänsten är ett område som är under ständig utveckling och socialtjänstdataregistren är fortfarande under uppbyggnad. De personuppgifter som bör kunna behandlas av Socialstyrelsen i ett socialtjänstdataregister kommer därför att förändras över tid, vilket

Ds 2024:13 Innehållet i ett socialtjänstdataregister

157

kräver viss flexibilitet i fråga om vilka uppgifter som får behandlas. En lämplig lösning för att tillgodose integritetsskyddet samtidigt som ordningen görs flexibel med hänsyn till socialtjänstdataregistrens särskilda karaktär, bedömer vi vara att i lag endast ange en yttre ram för innehållet i ett socialtjänstdataregister. På det sättet säkerställs att de uppgifter som samlas in och behandlas alltid faller inom ramen för syftet med ett socialtjänstdataregister. Vilka mer konkreta uppgifter det rör sig om bör kunna närmare specificeras i förordning. En bestämmelse av detta slag sätter även tydliga ramar för regeringens möjligheter att i förordning utöka registrens innehåll.

Regleringen behöver vara långsiktigt hållbar

För att den föreslagna lagen ska vara långsiktigt hållbar måste den yttre ramen för innehållet i ett socialtjänstdataregister som anges i lag också kunna omfatta sådana uppgifter som i framtiden kan vara relevanta att samla in och behandla. Det bör därför förtydligas att vårt förslag till yttre ram i lag endast anger vilka personuppgifter som Socialstyrelsen ges möjlighet att behandla i ett socialtjänstdataregister. Det betyder inte att samtliga uppgifter som kan behandlas också ska behandlas. Detsamma gäller till viss del den mer detaljerade uppgiftskatalogen i förordning. Med andra ord kan det vara så att en viss personuppgift är tillåten att samla in enligt det föreslagna regelverket men att en bred insamling av uppgiften ännu inte är lämplig av andra skäl. Det är upp till Socialstyrelsen att noggrant överväga vilka uppgifter som är adekvata och relevanta att behandla utifrån de angivna ändamålen med behandlingen och i ljuset av det övergripande syfte som finns med ett socialtjänstdataregister. På samma sätt är det upp till Socialstyrelsen att inom lämpliga tidsintervall också överväga om det finns skäl att upphöra med viss uppgiftsinsamling.

Att det ytterst är Socialstyrelsen som ska avgöra om en personuppgift som är tillåten att behandla enligt lag och förordning också är lämplig att behandla inom ramen för ett nationellt statistikregister, tydliggörs genom att uppgiftsskyldigheten är avhängig Socialstyrelsens föreskrifter, se vidare i avsnitt 11.4.2. Den yttre ramen för vilka personuppgifter som ska få behandlas

Innehållet i ett socialtjänstdataregister Ds 2024:13

158

tillsammans med uppgiftskatalogen i förordning ska därmed endast ses som en möjlighet till en första uppbyggnad av socialtjänstdataregistren.

8.2.6. Uppgifter som får finnas i ett socialtjänstdataregister

Vårt förslag: Endast personuppgifter som behövs för de ändamål

som anges i lagen ska få behandlas i ett socialtjänstdataregister.

I ett socialtjänstdataregister ska det få finnas uppgift om en person som utreds för, har prövats för eller får en insats inom socialtjänsten samt uppgift om den utredning, prövning eller insats som personen i fråga får. Registret ska också få innehålla annan uppgift av administrativ karaktär av betydelse för den utredning, prövning eller insats som en person får.

Om det är nödvändigt ska det i ett socialtjänstdataregister också få finnas uppgift om ställföreträdare för eller närstående till en person som utreds för, har prövats för eller får en insats inom socialtjänsten.

Regeringen ska få meddela föreskrifter om vilka personuppgifter som ska få finnas i ett socialtjänstdataregister.

Skälen för vårt förslag

Personuppgifter som behövs för de i lagen specificerade ändamålen

En lagbestämmelse om innehållet i ett socialtjänstdataregister bör tydligt knyta an till de tillåtna ändamål som finns för behandlingen. Det ska framgå att endast personuppgifter som behövs för de ändamål som anges i lagen ska få behandlas i registret. Detta bör ses som ett förtydligande av de krav som dataskyddsförordningen ställer på Socialstyrelsen som personuppgiftsansvarig. Ändamålen bör i sin tur tolkas i ljuset av regelverket i sin helhet, däribland det övergripande syftet med ett socialtjänstdataregister och ett socialtjänstdataregisters grundläggande särdrag som nationellt statistikregister.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

159

En begränsning till uppgifter som rör utredningar, prövningar och insatser inom socialtjänsten

Personuppgifter i ett socialtjänstdataregister bör vara knutna till en insats inom socialtjänsten. Begreppet insats är ett centralt begrepp inom socialtjänsten och används i regel som ett uttryck för åtgärder som erbjuds enskilda med syftet att möta ett behov.135 Det kan även finnas anledning att i ett socialtjänstdataregister ställa beslutade insatser i relation till den utredning som har föregått ett beslut att bevilja eller inte bevilja en insats. Möjligheten till att även inkludera uppgifter om de åtgärder som vidtas inom ramen för en utredning inom socialtjänsten bör därför inte uteslutas i lagen. Likaså bör det vara möjligt att registrera om den utredning som inletts resulterat i ett beslut att avslå eller bevilja en insats, det vill säga den prövning som görs av socialnämnden eller annan kommunal nämnd i förhållande till aktuellt beslutsunderlag. Det är socialtjänstens insatser till enskilda och de utredningsåtgärder och beslut som föregår dessa insatser som utgör kärnan i socialtjänstens verksamhet. Vi anser av den anledningen att fokus för ett socialtjänstdataregister bör ligga på insatser, prövningar och utredningsåtgärder inom socialtjänsten. Det kan inte uteslutas att det finns ett intresse och ett värde i att även följa exempelvis kommunernas handläggningsåtgärder och vidtagna åtgärder i övrigt. En sådan analys anser vi dock lämpligast genomförs genom andra metoder än insamling av individbaserade uppgifter till registren.

Det finns anledning att närmare utveckla vad som avses med begreppen utredning, prövning och insats. Att en utredning inleds innebär att socialtjänsten öppnar ett ärende och samtidigt planerar vilka utredningsåtgärder som krävs för att ta fram ett underlag för bedömning. Genom en utredning ska en persons behov av insats klargöras för beslutsfattaren. Med utredning avses alltså all den verksamhet som syftar till att göra det möjligt för socialnämnden eller annan kommunal nämnd att fatta beslut i ett ärende.136 Detta ska inte sammanblandas med en sådan förhandsbedömning som ibland görs för att avgöra om en utredning överhuvudtaget ska inledas.

135 Jfr SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 323. 136Prop. 1979/80:1 Del A, om socialtjänsten, s. 562.

Innehållet i ett socialtjänstdataregister Ds 2024:13

160

Utifrån det underlag som tas fram under utredningen ska den ansvariga nämnden fatta beslut i ärendet. Beslutet kan till exempel innebära att den enskilde beviljas en insats eller att en insats avslås. Med prövning avser vi alltså den prövning av utredningsunderlaget som beslutande nämnd genomför och som i de flesta fall resulterar i att en insats beviljas eller avslås.

I fråga om insats avser vi att följa den begreppsanvändning som föreslås i den nya socialtjänstlagen. Begreppet ringas där in i den föreslagna 10 kap. 1 § i vilken det anges att socialnämnden ska erbjuda insatser i form av rådgivning, omsorg, vård, stöd och annan hjälp till enskilda som behöver det. Begreppet är även centralt inom verksamhet enligt LSS där insats används genomgående i lagen för att beskriva de stöd- och serviceåtgärder som beslutas av kommunen.

I en ny lag om socialtjänstdataregister bör det särskilt specificeras att innehållet i ett socialtjänstdataregister rör utredningar, prövningar och insatser inom socialtjänsten, vilket enligt vår inramning inkluderar verksamhet enligt LSS, se avsnitt 6.3.2.

Den yttre ramen för de uppgifter som ska få finnas i ett socialtjänstdataregister enligt tre punkter

När det gäller de personuppgifter som ska få samlas in i ett socialtjänstdataregister är det av vikt att den begränsning som görs i lagen på ett tillräckligt sätt specificerar innehållet i ett socialtjänstdataregister utan att begränsa de uppgifter som ska få behandlas mer än vad som är nödvändigt för att Socialstyrelsen ska kunna utföra sitt författningsenliga uppdrag på ett ändamålsenligt sätt. Vi har med beaktande av dessa faktorer föreslagit att innehållet i ett socialtjänstdataregister huvudsakligen ska följa tre punkter.

För det första ska grundläggande uppgifter om den enskilde kunna samlas in. Med detta avses till exempel identifikationsuppgifter, bakgrundsuppgifter och demografiska uppgifter. En förutsättning för att kunna samla in dessa uppgifter om en person är dock att personen utreds för, har prövats för eller får en insats inom socialtjänsten. En utredning kan av naturliga skäl vara av olika omfattning men innebär alltid att ett underlag för beslut tas fram. Att en person har prövats för eller får en insats inom socialtjänsten innebär att socialnämnden eller annan kommunal nämnd har

Ds 2024:13 Innehållet i ett socialtjänstdataregister

161

beslutat om en insats, antingen efter individuell behovsprövning eller genom ett generellt beslut att tillhandahålla en viss insats utan behovsprövning. Eftersom det inte enbart är fråga om personer som får en insats utan alla personer som har prövats för en insats, inkluderas också personer som till exempel fått avslag på sin ansökan om en insats och beslut som av olika skäl inte har verkställts. Det bör understrykas att det inte ska vara möjligt att registrera uppgifter om personer som endast har kontakt med socialtjänsten av andra skäl eller på annat sätt, till exempel för enklare rådgivning eller förfrågningar.

För det andra ska vissa ytterligare personbundna uppgifter om den utredning, prövning eller insats inom socialtjänsten som den enskilde får kunna samlas in. Här handlar det om uppgifter om utredningen, prövningen och insatsen i sig. Uppgifterna kan bland annat innefatta varför en utredning har inletts, vilka utredningsåtgärder som har vidtagits, om en prövning resulterat i ett beslut om att bevilja eller avslå en ansökan, vilken insats som en person får, orsaken till att personen får en insats och varför en insats har avslutats. Kategorin bör tolkas brett eftersom det är svårt att på förhand avgöra vilka omständigheter kring en utredning, prövning eller insats som kan vara relevanta att samla in. Vad som närmare avses bör istället anges i förordning.

För det tredje föreslår vi att även andra uppgifter av administrativ karaktär av betydelse för utredningen, prövningen eller insatsen ska kunna behandlas. Denna typ av uppgift avser, som formuleringen ger uttryck för, rent administrativa förhållanden. Det kan exempelvis gälla datum för beslut, tidpunkt för händelse, vilket lagrum ett beslut om insats grundar sig på och vilken kommun eller annan enhet som ansvarar för en insats. Uppgift om adress till skyddat boende eller liknande uppgifter bör av sekretesskäl aldrig framgå. En grundläggande förutsättning för att en registrering av en uppgift överhuvudtaget ska få ske i ett socialtjänstdataregister bör dock vara att uppgiften finns dokumenterad hos den som har en skyldighet att lämna uppgiften och att denne därmed förfogar över uppgiften, se avsnitt 11.4.2.

Innehållet i ett socialtjänstdataregister Ds 2024:13

162

Uppgift om närstående eller ställföreträdare

I vissa fall kan det finnas behov av att behandla uppgifter om närstående och i förekommande fall ställföreträdare. Vad som avses med begreppet närstående är inte helt tydligt och begreppet används inte konsekvent i lagstiftningen.137 I Socialstyrelsens termbank, som innehåller begrepp för fackområdet vård och omsorg, anges att en närstående är en person som den enskilde anser sig ha en nära relation till. Begreppet ska därmed inte förväxlas med anhörig, som istället definieras som en person inom familjen eller bland de närmaste släktingarna. Begreppet bör i den föreslagna lagen förstås som en person som den enskilde har en nära relation till, oavsett om det finns ett släktskap eller inte.

Inom socialtjänsten finns det även behov av att behandla uppgifter om andra personer som inte nödvändigtvis räknas som närstående till den registrerade. Detta gäller till exempel uppgift om god man, förvaltare eller särskilt förordnad vårdnadshavare. Vi har i lagen valt att använda samlingsbegreppet ställföreträdare för dessa personer. Det bör dock tydliggöras att med ställföreträdare enligt lagen inte avses personer som stöd av fullmakt eller andra liknande direktiv företräder en persons juridiska eller ekonomiska rättigheter. Biträden, ombud eller med dessa likställda bör därför inte ses som ställföreträdare i den föreslagna lagens mening.

En registrering av närstående kan inom socialtjänsten bli aktuell i ett flertal olika fall. Det kan röra insatser till barn och unga där vårdnadshavares uppgifter kommer att behöva behandlas. Det kan också vara anhöriga, såsom syskon eller föräldrar, till personer som får insatser till följd av bland annat missbruk eller funktionsnedsättning. Likaså kan det bli aktuellt att registrera närstående eller ställföreträdare till personer med nedsatt beslutsförmåga. I vissa fall kan uppgift om närstående också finnas integrerad i en uppgift som samlas in om en person inom socialtjänsten, till exempel vid vissa insatser om anhörigstöd.

Det kan förtydligas att uppgift om närstående inte avser uppgifter om en sådan person när den personen själv registreras i ett socialtjänstdataregister som en person som utreds för, har prövats för eller får en insats inom socialtjänsten. Den problematik som

137 Inom socialförsäkringens närståendepenning anses till exempel närstående innefatta såväl anhöriga – det vill säga makar, föräldrar, barn, syskon etc. – som grannar och vänner, jfr prop. 1987/88:176, om äldreomsorgen inför 90-talet, s. 91.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

163

finns ur ett integritetsperspektiv ligger snarare i att enskilda som inte direkt omfattas av en utredning, en prövning eller en insats skulle kunna föras in i registren. Behovet av att behandla uppgifter om närstående bedöms dock uppstå vid relativt få tillfällen, sett i relation till den mängd uppgifter som kommer att behandlas i ett socialtjänstdataregister. Det bör vidare, särskilt i fråga om en ställföreträdare, framförallt vara fråga om att en uppgift om en närståendes eller ställföreträdares förekomst kopplas till en registrerad.

Vi bedömer att en ny lag om socialtjänstdataregister bör ta hänsyn till att det finns ett behov av att kunna behandla uppgifter om närstående och ställföreträdare hos Socialstyrelsen och att det också finns ett värde i en sådan behandling. För ett tydligt rättsligt stöd bör det vara tillräckligt med en reglering som anger att Socialstyrelsen endast får behandla personuppgifter om ställföreträdare för eller närstående till den person som utreds för, har prövats för eller får en insats inom socialtjänsten, om detta är nödvändigt för ändamålen med behandlingen. En behandling av personuppgifter ska enligt dataskyddsförordningen alltid vara nödvändig för att den ska vara tillåten. Genom att understryka detta särskilt i den föreslagna lagen anser vi att det blir tydligt för tillämparen att en sådan bedömning inte ska göras slentrianmässigt utan kräver en noggrann bedömning i varje enskilt fall. Uppgifter om personnummer eller annan identitetsbeteckning som är direkt hänförlig till den enskilde bör undvikas i den mån det är möjligt.

Regeringen ska få meddela föreskrifter

Slutligen föreslår vi att det tydliggörs att regeringen kan meddela föreskrifter om vilka kategorier av personuppgifter som ska få behandlas av Socialstyrelsen i ett socialtjänstdataregister. Sådana bestämmelser kan meddelas i förordning med stöd av regeringens restkompetens. På detta sätt tillåts en viss flexibilitet vad gäller de uppgifter som Socialstyrelsen tillåts behandla. Detta är av särskild vikt för socialtjänstdataregistren där mycket arbete fortfarande kvarstår och där dagens förutsättningar ännu inte möter de förväntningar som finns på ett socialtjänstdataregister.

Innehållet i ett socialtjänstdataregister Ds 2024:13

164

8.2.7. Det ska finnas en uppgiftskatalog i förordning

Vårt förslag: Det ska i förordning förtydligas att personuppgifter

som får behandlas i ett socialtjänstdataregister är uppgifter om

1. personnummer eller samordningsnummer, kön, födelseår, folkbokföringsort och födelseort,

2. utredningsåtgärd och beslut,

3. insats och aktivitet,

4. aktualisering, orsak till insats, avslutsorsak, och

5. uppgift av administrativ karaktär av betydelse för den utredning, prövning eller insats inom socialtjänsten som en person får.

Om det är nödvändigt ska det i registret också få finnas uppgift om ställföreträdare för eller närstående till en person som utreds för, har prövats för eller får en insats inom socialtjänsten.

Skälen för vårt förslag

Personnummer eller samordningsnummer

Personnummer och samordningsnummer är grundläggande identifikationsnummer som är en förutsättning för ett personregister av nu aktuellt slag. Alla personer som kommer i kontakt med socialtjänsten har däremot inte ett personnummer eller samordningsnummer. Ofta används istället födelsedata för att identifiera en enskild som saknar annat identifikationsnummer. Vår bedömning är att en registrering av födelsedata riskerar att medföra att osäkra uppgifter bevaras i registren. Uppgifter om födelsedata kan inte heller användas för att identifiera en person över tid i ett nationellt register. Det är därför inte lämpligt att registrera denna uppgift. För de fall det finns ett behov att undersöka denna grupp särskilt bör insamling av mängduppgifter utgöra tillräckligt underlag.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

165

Kön och födelseår

Även uppgifter som direkt kan utläsas ur ett personnummer bör kunna behandlas av Socialstyrelsen. Det gäller uppgift om kön, men även ålder eller födelseår. Uppgift om kön behövs till exempel för att framställa statistik och genomföra analyser som tar sikte på jämställdhet inom socialtjänsten. Vi bedömer att även uppgift om födelseår bör kunna behandlas av Socialstyrelsen för att, på samma sätt som uppgiften om kön, kunna ligga till grund för statistik och analyser som tar sikte på särskilda åldersgrupper inom socialtjänsten.

Folkbokföringsort och födelseort

Uppgift om folkbokföringsort och födelseort ska kunna behandlas. Dessa uppgifter samlas i regel in från Statistiska centralbyråns befolkningsregister. I vissa fall skulle även bosättningsort kunna vara av intresse. Att samla in uppgift om folkbokföringsort och jämföra denna med rapporterande kommun bör dock vara tillräckligt. Uppgiften om folkbokföringsort är av vikt för att kunna följa upp och utvärdera de insatser som ges av socialtjänsten på lokal och regional nivå men också för att åskådliggöra kommunala variationer. Även uppgift om födelseort är av stor vikt. I begreppet födelseort ryms uppgift om födelseland som är en viktig bakgrundsvariabel vid exempelvis uppföljning av jämlikhet inom socialtjänsten.

Utredningsåtgärd och beslut

Uppgift om utredningsåtgärder behöver kunna behandlas för att belysa skillnader mellan grupper av individer eller variationer mellan kommuner. Att ha möjlighet att ställa de utredningsåtgärder som en kommun har vidtagit mot beslutade insatser är en förutsättning för att bland annat kunna påvisa omotiverade skillnader i fråga om de insatser som tillhandahålls av socialtjänsten på nationell nivå. Av samma skäl är det även av vikt att såväl beslut om att bevilja en insats som beslut att inte bevilja en insats ska kunna registreras.

Utredningsåtgärder är ett brett begrepp som omfattar samtliga utredande aktiviteter som syftar till att ett beslut kan fattas i ett ärende inom socialtjänsten. Hur omfattande en utredning är varierar

Innehållet i ett socialtjänstdataregister Ds 2024:13

166

från fall till fall, där det i vissa ärenden räcker med en mycket begränsad utredning för att konstatera att en person bör beviljas eller inte beviljas en insats, medan det i andra fall kan vara fråga om svårare bedömningar som kräver mer omfattande utredning. Information till underlag för bedömning kan inhämtas på olika sätt, till exempel genom samtal med den person som är under utredning, standardiserade bedömningsmetoder eller genom att ta in uppgifter från andra, exempelvis professionella aktörer eller närstående. De uppgifter som avses med denna uppgiftskategori bör inte gå utöver de uppgifter som finns dokumenterade hos kommunerna. Enligt vår bedömning bör det dock vara upp till Socialstyrelsen att närmare avgöra vilka kategorier eller vilken klassifikation som ska användas för att på ett enhetligt sätt kunna samla in uppgifter som är hållbara över tid. Det är samtidigt viktigt att detta görs i nära samförstånd med kommunerna.

Med uppgift om beslut avses enbart uppgift om vilket beslut den utredning som företagits har resulterat i samt den närmare motiveringen till beslutet. Det bör i de flesta fall vara att en insats av angivna skäl har beviljats eller inte har beviljats. I många situationer kan en ansökan om en insats beviljas delvis. Samtliga möjliga utgångar för den beslutande nämndens prövning bör därmed kunna omfattas av den föreslagna kategorin, med de begränsningar som Socialstyrelsen anser är nödvändiga utifrån ändamålen med behandlingen.

Insats och aktivitet

Möjligheten att kunna behandla uppgifter om de insatser och aktiviteter som beviljas av socialtjänsten på individnivå är en förutsättning för att få kunskap om vad som är effektiva insatser utifrån olika behov. Vad som avses med insats har vi klargjort i ovanstående avsnitt. Uppgift om en insats är dock inte begränsad till endast uppgift om vilken insats som tillhandahålls utan bör även innefatta de närmare detaljerna kring insatsen i fråga. Detta gäller exempelvis den personkrets inom LSS som en person tillhör, utbetalda belopp eller omfattningen av en insats.

Begreppet insats är brett och omfattar även rådgivning och insatser utan behovsprövning. Information och rådgivning som ges

Ds 2024:13 Innehållet i ett socialtjänstdataregister

167

enskilt eller i grupp omfattas inte av dokumentationsskyldigheten. Någon förändring av detta är inte föreslaget i den nya socialtjänstlagen.138 Eftersom socialnämnden i varje kommun föreslås få fatta ett eget beslut om att undanta vissa insatser utan behovsprövning från dokumentation, skulle det kunna medföra att de insatser som faktiskt dokumenteras skiljer sig åt mellan olika kommuner och därmed påverkar underlaget för den nationella statistiken negativt. Vår bedömning är att det måste vara upp till Socialstyrelsen att avgöra vilka uppgifter som är nödvändiga att behandla. Av detta följer att det också är Socialstyrelsen som bedömer om det av olika skäl inte är motiverat att behandla uppgifter om vissa insatser.

Sammanfattningsvis anser vi att om dokumentationsskyldighet saknas eller om socialnämnden har beslutat om ett generellt undantag från dokumentation gällande vissa typer av insatser, bör dessa inte heller samlas in eller behandlas på annat sätt av Socialstyrelsen. En annan ordning anser vi skulle motverka syftet med att undanta insatserna från dokumentation. Samtliga insatser som dokumenteras av kommunerna bör däremot kunna samlas in och behandlas i ett socialtjänstdataregister. Bredden på de insatser som ges inom socialtjänsten och de lokala och regionala skillnader som finns innebär ett stort arbete med att kategorisera insatserna på ett sätt som är nödvändigt för ett nationellt register. Redan idag finns klassifikationen KSI som syftar till att på ett enhetligt och jämförbart sätt benämna och beskriva de insatser och aktiviteter som utförs inom socialtjänsten. En ny lag om socialtjänstdataregister bör dock inte i lagtext låsa Socialstyrelsen vid användandet av en viss klassifikation. Det bör istället vara upp till Socialstyrelsen att närmare utarbeta de variabler som är genomförbara och hållbara över tid.

Med uppgiften aktivitet avser vi i detta sammanhang endast aktiviteter som genomförs inom ramen för en insats. Sådana åtgärder som socialnämnden eller annan kommunal nämnd vidtar under utredningsprocessen, ofta benämnda som utredande aktiviteter, faller istället under vad vi i lagen uttrycker som utredningsåtgärder. Begreppet aktiviteter enligt vårt förslag handlar alltså om sådana aktiviteter som normalt framgår av en genomförandeplan eller motsvarande. Ett beslut om att bevilja en insats kan variera i

138SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 730–731.

Innehållet i ett socialtjänstdataregister Ds 2024:13

168

detaljeringsgrad, där insatsen ibland anges på ett övergripande sätt och ibland mer detaljerat. Det kan därför vara nödvändigt att vid genomförandet av insatsen dela upp en insats i flera aktiviteter. Ett exempel är insatsen boendestöd som kan innehålla olika aktiviteter såsom stöd att planera inköp, laga mat och att upprätthålla kontakter med vänner. En aktivitet visar alltså på hur ett mål med den beslutade insatsen kan uppnås och hur stödet, servicen eller omsorgen ska genomföras.139

En genomförandeplan upprättas inte för samtliga beslutade insatser och vilka uppgifter en genomförandeplan ska innefatta rekommenderas idag endast i allmänna råd.140 Detta skulle kunna bli problematiskt vid ett krav på rapportering av uppgifter om aktiviteter till Socialstyrelsen. Mot bakgrund av det värde som ändå finns av att följa samtliga aktiviteter som genomförs inom ramen för en insats, och då det får förutsättas att någon form av dokumentation ändå sker av genomförandet av insatser hos kommunerna eller andra utförare av socialtjänstens insatser141, anser vi att en eventuell avsaknad av standardisering inte bör utgöra ett hinder mot att i förordning ange aktivitet som en uppgiftskategori. Det kan särskilt nämnas att Socialstyrelsen redan idag har tagit fram ett enhetligt sätt att dokumentera och beskriva aktiviteter genom klassifikationen KSI. Möjligheten att samla in uppgift om aktivitet bör därför anges i förordning. Det bör på samma sätt som för övriga uppgiftskategorier vara Socialstyrelsens ansvar att begränsa insamlingen av personuppgifter som inte är nödvändiga i förhållande till ändamålen.

Orsak till insats

Vad som avses med orsak till insats bör i huvudsak motsvara det som enligt kommunernas dokumentationsskyldighet benämns som skäl till insats. Uppgiften bör dock även innefatta den enskildes behov av stöd från socialtjänsten. Uppgift om orsak till insats och de behov som ligger till grund för en insats är grundläggande för att kunna

139 Jfr Socialstyrelsen (2014). Delaktighet och inflytande i arbetet med genomförandeplaner –

Kunskapsstöd till verksamheter för personer med funktionsnedsättning.

140 Jfr Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS. 141 Jfr 11 kap. 5 § socialtjänstlagen och 21 a § LSS.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

169

utföra kvalificerade analyser av vilka insatser som är framgångsrika för att tillgodose ett visst behov. Genom uppgiften ges utökade möjligheter att beskriva grunden till att en insats beviljats och det blir också möjligt att följa en insatskedja och därmed resultatet av en insats, vilket är relevant både för den lokala verksamheten och nationellt.

I fråga om uppgifter om orsak till en insats finns det visserligen en dokumentationsskyldighet men det saknas ett enhetligt sätt att ange skälen för beslutade insatser. Det innebär att uppgiften om orsak till en insats ofta anges i löpande text hos kommunerna. Många kommuner använder dock de systematiserade arbetssätten IBIC eller BBIC som stöd i dokumentation och systematisk uppföljning, något som utgör ett första steg i riktning mot en standardisering. Socialstyrelsen har i tidigare skrivelser till regeringen föreslagit att orsak till en insats bör registreras i ett socialtjänstdataregister och då bland annat gett exempel på hur insamlingen av uppgiften skulle kunna se ut. De förslag som Socialstyrelsens gett i tidigare skrivelser är till exempel att äldres behov av socialtjänstinsatser kan beskrivas genom det bedömda funktionstillståndet klassificerat enligt ICF. Orsak till insatser för barn och unga skulle kunna beskrivas i en enkel form som omfattar miljö, eget beteende samt övrigt och i en mer utvecklad form innehålla en rad olika uppgifter om den unge och familjen.142

Vi bedömer att uppgiften om vad som utgör orsak till en insats är så viktig att den bör kunna samlas in och behandlas av Socialstyrelsen. Det kvarstår mycket arbete för kommunerna med att strukturera sin dokumentation samt för Socialstyrelsen med att ta fram fungerande kategorier och variabler som håller över tid för att på ett ändamålsenligt sätt kunna samla in relevanta uppgifter. Detta bör dock inte utgöra ett hinder för att i dagsläget föreskriva att denna uppgift bör kunna behandlas av Socialstyrelsen i ett socialtjänstdataregister.

142 Socialstyrelsen (2013). Äldres behov av vård och omsorg – Förslag till nya registeruppgifter

från socialtjänst och kommunal hälso- och sjukvård och Socialstyrelsen (2019). Framställan avseende ändring av förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen (2001:100) om den officiella statistiken.

Innehållet i ett socialtjänstdataregister Ds 2024:13

170

Avslutsorsak och aktualisering

Avslutsorsak är en kategori som vi anser bör framgå av förordningen och som är av stort värde för att kunna följa en hel insatskedja. SKR har tagit fram variabler till stöd för kommunernas uppföljning av kvalitet och resultat inom socialtjänsten där avslutsorsak utgör en sådan uppgift som exemplifierats med variabler. Några av de variabler som SKR tagit fram är att insatsen inte bedöms svara mot brukarens behov, att brukaren har flyttat eller att insatsen avbrutits oplanerat på initiativ av brukaren/företrädaren. För att arbeta på ett systematiskt och enhetligt sätt samt underlätta för kommunerna skulle den föreslagna kategorin kunna samverka med de av SKR redan framtagna variablerna. En sådan avvägning bör dock vara upp till Socialstyrelsen att göra på föreskriftsnivå.

Även uppgift om aktualisering bör kunna registreras. Med aktualisering avses det sätt på vilket en enskild blir aktuell för en insats hos socialnämnden eller annan kommunal nämnd. Det handlar alltså om uppgifter om hur ett ärende har uppstått och kan till exempel vara genom ansökan om insats enligt socialtjänstlagen eller LSS, genom anmälan eller på annat sätt. Att ett ärende har uppstått på annat sätt kan exempelvis vara om en beslutande nämnd får information från en annan enhet inom nämnden som leder till att en utredning inleds eller om en annan myndighet kontaktar socialnämnden för att få ett yttrande och det av den anledningen inleds en utredning. Personbundna uppgifter om aktualisering bör endast kunna samlas in och behandlas av Socialstyrelsen om aktualiseringen också har inneburit att nämnden tagit ställning till att inleda en utredning. Detta utesluter registrering av en stor del av de orosanmälningar som görs och särskilt de som kan innehålla substantiella felaktigheter. Skulle det finnas ett behov av att analysera samtliga aktualiseringsorsaker, inklusive sådana som inte leder till utredning, bör enligt vår bedömning mängduppgifter vara tillräckliga för att uppnå ändamålet med behandlingen.

Uppgifter av administrativ karaktär

Vi avser inte att på förordningsnivå närmare ange vad som menas med uppgifter av administrativ karaktär av betydelse för en utredning, prövning eller insats inom socialtjänsten. Vad som kan

Ds 2024:13 Innehållet i ett socialtjänstdataregister

171

omfattas av denna uppgiftskategori har exemplifierats i ovanstående avsnitt 8.2.6. Det bör istället vara upp till Socialstyrelsen att genom verkställighetsföreskrifter om uppgiftsskyldighet närmare ange de uppgifter som behövs.

8.2.8. Personuppgifter som inte bör behandlas i ett socialtjänstdataregister

Vår bedömning: Uppgifter om mål, måluppfyllelse och resultat

bör inte behandlas i ett socialtjänstdataregister. Inte heller bör fler uppgifter än de som föreslagits kunna behandlas i ett socialtjänstdataregister.

Skälen för vår bedömning

Vår bedömning är att uppgifter om mål, måluppfyllelse och resultat i dagsläget inte kan behandlas i ett socialtjänstdataregister. Personuppgifter får endast samlas in om de är nödvändiga för att uppnå ändamålet med behandlingen och ska även vara effektiva i detta syfte. Det saknas idag objektiva mått för resultat och ur ett registerperspektiv är det framförallt tillgången till adekvata och objektiva uppgifter över tid som utgör underlag för att kunna beskriva resultat i relation till en mängd olika frågeställningar.143Uppgifter som redan på ett generellt plan saknar den kvalitet som krävs för att kunna behandlas i ett socialtjänstdataregister hos Socialstyrelsen bör inte kunna anses uppfylla de krav som ställs i dataskyddsförordningen genom principen om uppgiftsminimering. Detta hindrar däremot inte Socialstyrelsen från att samla in uppgifterna i form av mängduppgifter.

Även för mål och måluppfyllelse finns det problem med att dessa uppgifter inte utgör objektiva mått och att det därför inte är möjligt att mäta och jämföra uppgifterna med bibehållandet av den kvalitet som krävs för ett statistikregister. Subjektiva uppfattningar är också av ytterst känslig karaktär, vilket innebär att dessa uppgifter bör undvikas i ett nationellt register. När det gäller måluppfyllelse

143 Socialstyrelsen (2024). Kommunernas förutsättningar och behov inför införandet av en

socialtjänstdataregisterlag. I våra kontakter med Socialstyrelsen har dock framkommit att det

även kan finnas andra perspektiv i denna fråga.

Innehållet i ett socialtjänstdataregister Ds 2024:13

172

saknas dessutom dokumentationsskyldighet för kommunerna och därmed en enhetlig och rikstäckande dokumentation. Att enbart registrera uppgift om mål för en insats utan att kunna sätta denna uppgift i relation till måluppfyllelse och resultat saknar enligt vår mening statistiskt värde.

Det har funnits önskemål om att ytterligare uppgifter ska kunna behandlas i ett socialtjänstdataregister. Vår bedömning är dock att inga ytterligare uppgifter på individnivå behöver kunna behandlas i dagsläget och att mängdstatistik kan ligga till grund för de analyser som behöver göras i övrigt. Skulle det uppkomma behov av att behandla fler uppgifter på individnivå inom ramen för en utredning, prövning eller insats inom socialtjänsten, bör det vara möjligt att genom en förordningsändring lägga till dessa i uppgiftskatalogen.

8.2.9. Något om behoven av och riskerna med en utökad personuppgiftsbehandling

Vi har i avsnitt 5.2 beskrivit det generella behov som finns av att behandla fler personuppgifter i ett socialtjänstdataregister. Under varje föreslagen uppgiftskategori har vi även närmare motiverat varför uppgiften bör kunna behandlas i ett register. Det övergripande behovet kan sammanfattas med att tillgång till fler individbaserade uppgifter behövs för att uppfylla syftet med ett socialtjänstdataregister, det vill säga för att utveckla och förbättra socialtjänsten. En utökad individbaserad statistik möjliggör fler analysmöjligheter, vilket i sin tur bidrar till bättre kunskap om socialtjänstens verksamhet som kommer både samhället och den enskilde till gagn.

En utvidgad personuppgiftsbehandling innebär samtidigt att fler personuppgifter om en större del av Sveriges befolkning kommer att behandlas och att riskerna ur ett integritetsperspektiv ökar. Uppgifter inom socialtjänsten är i regel av mycket integritetskänslig karaktär. Av denna anledning finns det en risk för att en individ upplever ett insamlande av uppgifter till ett socialtjänstdataregister som en kränkning av integriteten, något som i sin tur skulle kunna innebära att enskilda avhåller sig från att kontakta socialtjänsten. Spridningen av uppgifterna till ett nationellt register innebär också en ökad risk för att personuppgifter behandlas otillbörligt, till exempel genom att uppgifter kan komma i orätta händer eller röjas i

Ds 2024:13 Innehållet i ett socialtjänstdataregister

173

strid med gällande sekretessbestämmelser. Uppgifter i ett socialtjänstdataregister omfattar personer som i något avseende har behov av samhällets stöd och som därmed skiljer ut dem från den övriga befolkningen. Risken för otillbörlig användning och spridning av sådana uppgifter utanför den enskildes förtroendekrets kan därför uppfattas som särskilt känslig.

En uttrycklig reglering av vilka personuppgifter som får finnas i ett socialtjänstdataregister samt de yttre ramarna för dessa, utgör i dessa hänseenden en skyddsåtgärd. En sådan reglering förutsätter ett noggrant övervägande av nödvändigheten och proportionaliteten av varje enskild uppgiftskategori som föreslås och begränsar även Socialstyrelsens personuppgiftsbehandling. Vårt förslag till en lag om socialtjänstdataregister kommer vidare att innehålla ett flertal andra skyddsåtgärder. En samlad integritets- och proportionalitetsbedömning finns i kapitel 13.

8.3. Känsliga personuppgifter

8.3.1. Förbudet mot att behandla känsliga personuppgifter

Enligt artikel 9.1 i dataskyddsförordningen är det som utgångspunkt förbjudet att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person, uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning. Dessa uppgifter benämns i svensk rätt som känsliga personuppgifter.144 De kategorier av personuppgifter som avses är till sin natur särskilt känsliga och ges därför ett särskilt skydd, eftersom behandlingen av sådana uppgifter kan innebära betydande risker för de grundläggande rättigheterna och friheterna (skäl 51).

Dataskyddsförordningens förbud enligt artikel 9.1 kompletteras av ett antal undantag som anges uttömmande i artikel 9.2 a–j. Några av undantagen är direkt tillämpliga medan andra kräver viss reglering i den nationella rätten för att känsliga personuppgifter ska få

144 Jfr 3 kap. 1 § dataskyddslagen.

Innehållet i ett socialtjänstdataregister Ds 2024:13

174

behandlas. Det finns inte utrymme för medlemsstaterna att föreskriva ytterligare undantag från förbudet. Det är dock tillåtet att behålla eller införa mer specifika bestämmelser i fråga om behandling som sker med stöd av artikel 6.1 c och e, även när det gäller känsliga personuppgifter (artikel 6.2 och skäl 10). Om en behandling av känsliga personuppgifter är tillåten enligt något av undantagen i 9.2 a–j får alla typer av känsliga personuppgifter behandlas så länge det är tillåtet enligt artiklarna 5 och 6. Det finns alltså inga begränsningar gällande vissa typer av känsliga personuppgifter enligt dataskyddsförordningen. Det finns däremot inga hinder mot att reglera sådana begränsningar i nationell rätt (artikel 6.2 och 6.3 samt skäl 10). I 3 kap. dataskyddslagen finns kompletterande bestämmelser om behandling av känsliga personuppgifter.

8.3.2. Undantag från förbudet att behandla känsliga personuppgifter

Behandling av hänsyn till ett viktigt allmänt intresse

Undantag från förbudet mot att behandla känsliga personuppgifter gäller vid behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse (artikel 9.2 g). Detta undantag tillämpas huvudsakligen av myndigheter. Det är svårt att på ett generellt plan definiera vad som skiljer ett allmänt intresse från ett viktigt allmänt intresse (jfr artiklarna 6.1 e och 9.2 g). Viktiga allmänna intressen är enligt dataskyddsförordningen exempelvis EU:s eller en medlemsstats viktiga ekonomiska och finansiella intressen, däribland folkhälsa och social trygghet (jfr artikel 23.1 e). Även att en svensk myndighet kan bedriva den verksamhet som tydligt faller inom ramen för myndighetens befogenheter på ett korrekt, rättssäkert och effektivt sätt anses utgöra ett viktigt allmänt intresse.145 Detta innefattar även den behandling av känsliga personuppgifter som är nödvändig för att myndigheten ska kunna utföra sitt författningsenliga uppdrag.

Vid behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse krävs även att uppgifterna behandlas på

145Prop. 2017/18:105, Ny dataskyddslag, s. 83.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

175

grundval av unionsrätten eller medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet och vara förenligt med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades intressen.

Regeringen har uttalat att kravet på att den nationella rätten ska stå i proportion till det eftersträvade syftet innebär att den rättsliga grunden för behandlingen typiskt sett kommer att vara någon av dem som avses i artikel 6.1 c eller e, det vill säga en rättslig förpliktelse, en uppgift av allmänt intresse eller myndighetsutövning som har stöd i rättsordningen. Regeringen har vidare bedömt att det kan ifrågasättas om tillägget i artikel 9.2 g innehåller ett krav som går utöver de krav som gäller enligt artikel 6 och som måste vara uppfyllda vid all behandling av personuppgifter i allmänt intresse.146Utgångspunkten bör vara att den författning som reglerar en myndighets verksamhet och uppdrag uppfyller kraven på proportionalitet i artikel 6.1 c och e.147

Enligt vår bedömning bör artikel 9.2 g tolkas på så sätt att det är en myndighets författningsreglerade uppdrag, genom vilken myndighetens uppgifter och därmed det viktiga allmänna intresset regleras, som ska ligga till grund för behandlingen och vara proportionerlig. Som utgångspunkt ska denna också anses vara det i svensk rätt. Under förutsättning att en myndighet, vid behandling av personuppgifter för ett allmänt intresse, har rättslig grund för den behandling som är nödvändig att utföra, bör även kravet på förenlighet med det väsentliga innehållet i rätten till dataskydd kunna ses som uppfyllt. För att känsliga personuppgifter ska få behandlas enligt denna grund ställs vidare särskilda krav på skyddsåtgärder.

Behandling av skäl som hör samman med social omsorg

Känsliga personuppgifter får också behandlas om behandlingen är nödvändig av skäl som hör samman med bland annat tillhandahållande av hälso- och sjukvård, social omsorg eller förvaltning av hälso- och sjukvårdstjänster och social omsorg och av deras system,

146Prop. 2017/18:105, Ny dataskyddslag, s. 84. 147Prop. 2017/18:105, Ny dataskyddslag, s. 50.

Innehållet i ett socialtjänstdataregister Ds 2024:13

176

på grundval av unionsrätten eller en medlemsstats nationella rätt och under förutsättning att uppgifterna behandlas under tystnadsplikt (artikel 9.2 h och 9.3).

Regeringen har uttryckt att det ställs tre krav som alla måste vara uppfyllda för att undantaget i artikel 9.2 h ska vara tillämpligt. För det första ska behandlingen vara nödvändig av skäl som hör samman med någon av de i bestämmelsen angivna verksamheterna. För det andra ska den aktuella verksamheten utföras på grundval av unionsrätten eller medlemsstaternas nationella rätt eller enligt avtal med yrkesverksamma på hälsoområdet. För att känsliga personuppgifter ska få behandlas i dessa verksamheter krävs dessutom, för det tredje, att förutsättningarna i artikel 9.3 är uppfyllda.148 Artikel 9.3 anger som förutsättning för undantagets tillämplighet att uppgifterna behandlas av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt enligt unionsrätten eller medlemsstaternas nationella rätt (artikel 9.3). Regeringen har uttalat att sådan tystnadsplikt gäller inom den svenska offentliga sektorn enligt offentlighets- och sekretesslagstiftningen.149 Med sekretess avses ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt (3 kap. 1 § OSL). Sekretess innefattar alltså både tystnadsplikt och handlingssekretess.

Vad som avses med social omsorg framgår inte av dataskyddsförordningen. Regeringen har uttalat att begreppet social omsorg omfattar uppgifter som utförs inom socialtjänsten, men att det i avsaknad av praxis är svårt att närmare avgränsa innebörden av begreppet.150 Vi instämmer i regeringens bedömning att social omsorg bör omfatta uppgifter som utförs inom socialtjänsten. Av skäl 53 i dataskyddsförordningen framgår vidare att avsikten med begreppet förvaltning av hälso- och sjukvårdstjänster och social omsorg är att det ska tolkas vitt och bland annat inbegripa behandling som utförs av centrala nationella hälsovårdsmyndigheter samt vid tillsyn över hälso- och sjukvård och social omsorg. Regeringen har uttalat att undantaget för hälso- och sjukvård och social omsorg omfattar verksamhet som bedrivs av bland annat

148Prop. 2017/18:105, Ny dataskyddslag, s. 94. 149Prop. 2017/18:105, Ny dataskyddslag, s. 94. 150Prop. 2017/18:105, Ny dataskyddslag, s. 93.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

177

Socialstyrelsen, Inspektionen för vård och omsorg och Myndigheten för vård- och omsorgsanalys.151

Behandling för forskningsändamål och statistiska ändamål

Undantag från förbudet mot att behandla känsliga personuppgifter gäller också vid behandling som är nödvändig för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål i enlighet med artikel 89.1 (artikel 9.2 j).

I dataskyddsförordningen avses med statistiska ändamål varje åtgärd som vidtas för den insamling och behandling av personuppgifter som är nödvändig för statistiska undersökningar eller för framställning av statistiska resultat (skäl 162). Ett statistiskt ändamål innebär, enligt samma skäl, att resultatet av behandlingen inte består av personuppgifter, utan av aggregerade personuppgifter, och att resultatet eller uppgifterna inte används till stöd för åtgärder eller beslut som avser en särskild fysisk person.

Behandling av personuppgifter för vetenskapliga forskningsändamål bör enligt dataskyddsförordningen ges en vid tolkning och omfattar till exempel teknisk utveckling och demonstration, grundforskning, tillämpad forskning och privatfinansierad forskning. Vetenskapliga forskningsändamål bör även omfatta studier som utförs av ett allmänt intresse inom folkhälsoområdet (skäl 159).

Av artikel 89.1 följer att behandling för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål ska omfattas av lämpliga skyddsåtgärder för den registrerades rättigheter och friheter. Skyddsåtgärderna, som kan vara både tekniska och organisatoriska, ska bland annat säkerställa att principen om uppgiftsminimering iakttas. Dessa åtgärder får inbegripa pseudonymisering, under förutsättning att dessa ändamål kan uppfyllas på det sättet. När ändamålen kan uppfyllas genom vidare behandling av uppgifter som inte medger eller inte längre medger identifiering av de registrerade ska ändamålen uppfyllas på det sättet.

Vid behandling av känsliga personuppgifter för vetenskapliga eller historiska forskningsändamål eller statistiska ändamål krävs att uppgifterna behandlas på grundval av unionsrätten eller

151Prop. 2017/18:105, Ny dataskyddslag, s. 93.

Innehållet i ett socialtjänstdataregister Ds 2024:13

178

medlemsstaternas nationella rätt, vilken ska stå i proportion till det eftersträvade syftet, vara förenlig med det väsentliga innehållet i rätten till dataskydd och innehålla bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen (artikel 9.2 j). Kraven på behandlingens rättsliga grund och på lämpliga och särskilda åtgärder överensstämmer alltså med vad som gäller vid behandling av känsliga personuppgifter med hänsyn till viktiga allmänna intressen enligt artikel 9.2 g.

8.3.3. Socialstyrelsen får behandla känsliga personuppgifter

Vårt förslag: Socialstyrelsen ska få behandla personuppgifter

som avses i artikel 9.1 i EU:s dataskyddsförordning (känsliga personuppgifter), om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Skälen för vårt förslag

Socialstyrelsen har ett behov av att behandla personuppgifter om hälsa

Socialstyrelsen behöver kunna behandla ett stort antal personuppgifter för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Personuppgiftsbehandlingen inbegriper även känsliga personuppgifter. Vi har i avsnitt 8.2.6 och 8.2.7 klargjort de personuppgiftskategorier som Socialstyrelsen har ett behov av att kunna behandla i ett socialtjänstdataregister. Det framgår att Socialstyrelsen kommer att behöva behandla bland annat uppgifter om orsak till en insats; en uppgift som inom socialtjänstens område kan vara mer eller mindre komplex men som i princip alltid är av känslig karaktär. Uppgifter som kan vara nödvändiga för att avgöra vilka insatser som är framgångsrika för att tillgodose ett visst behov kan till exempel vara psykisk ohälsa, missbruk, allvarliga beteendeproblem, dysfunktionella relationer, vård- och omsorgsbehov eller funktionstillstånd.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

179

Uppgifter om hälsa definieras i artikel 4.15 i dataskyddsförordningen som personuppgifter som rör en fysisk persons fysiska eller psykiska hälsa, inbegripet tillhandahållande av hälso- och sjukvårdstjänster, vilka ger information om dennes hälsostatus. Många av de uppgifter som kommer att behandlas inom kategorin orsak till en insats faller in under uppgifter om hälsa. Detta kan även komma att gälla andra uppgiftskategorier där uppgifter om hälsa direkt eller indirekt kan komma att behandlas.

Socialstyrelsen har ett behov av att behandla personuppgifter om etniskt ursprung

Socialstyrelsen kommer även att behöva behandla bakgrundsuppgifter om de personer som utreds för, har prövats för eller får de olika insatserna inom socialtjänsten, bland annat uppgift om födelseort som även rymmer uppgift om födelseland. En isolerad uppgift om att en person kommer från en viss världsdel eller ett visst land anses normalt inte avslöja etniskt ursprung och faller därmed i regel utanför förbudet mot behandling av känsliga personuppgifter. Skulle däremot en sådan uppgift i det enskilda fallet avslöja etniskt ursprung faller den in under förbudet.152 Födelseort är alltså en sådan uppgift som direkt eller indirekt kan avslöja en persons etniska ursprung och en behandling av uppgiften skulle därmed kunna utgöra en behandling av känsliga personuppgifter.

Socialstyrelsen kan behöva behandla andra känsliga personuppgifter

Känsliga personuppgifter skulle även kunna behandlas indirekt genom att en uppgift om en persons sexuella läggning framgår av andra uppgifter som var för sig inte utgör en känslig personuppgift. På liknande sätt skulle en registrering av vissa insatser som enbart ges till specifika målgrupper kunna avslöja uppgifter om till exempel en persons sexuella läggning eller sexualliv. Det är inte heller ovanligt att socialtjänstens verksamhet som rör barn och unga innefattar information om den unges eller föräldrars kontakter med olika församlingar eller samfund som kan ha betydelse för beslutade insatser. Även känsliga personuppgifter om religiös eller filosofisk

152Prop. 2009/10:85, Integritet och effektivitet i polisens brottsbekämpande verksamhet, s. 325.

Innehållet i ett socialtjänstdataregister Ds 2024:13

180

övertygelse skulle därmed kunna framgå av ett socialtjänstdataregister.

I vilken mån övriga känsliga personuppgifter kommer att behöva behandlas direkt eller indirekt av Socialstyrelsen är inte möjligt för oss att förutse enbart utifrån de övergripande uppgiftskategorier som vi fastställt i uppgiftskatalogen. För att det ska vara möjligt för Socialstyrelsen att behandla personuppgifter på ett ändamålsenligt sätt och i enlighet med den rättsliga grunden, anser vi att myndigheten bör ges möjlighet att även behandla sådana känsliga personuppgifter som skulle kunna framgå indirekt eller direkt utifrån de uppgifter som registreras i ett socialtjänstdataregister.

Socialstyrelsen har grund för att behandla känsliga personuppgifter

Dataskyddsförordningens undantag för behandling av känsliga personuppgifter har ingen inbördes prioritering och flera undantag kan vara tillämpliga på en och samma behandling. Socialstyrelsen föreslås kunna behandla uppgifter i ett socialtjänstdataregister för ändamålen att framställa statistik, framställa underlag för uppföljning och utvärdering, bedriva forskning och utföra epidemiologiska studier. Att detta ingår i Socialstyrelsens myndighetsuppdrag framgår av myndighetens instruktion, se kapitel 7. Även en ny lag om socialtjänstdataregister kommer att tydliggöra Socialstyrelsens uppdrag. Det är inte nödvändigt att närmare beskriva vilken del av Socialstyrelsens behandling som faller under respektive undantag, utan det räcker att alla delar av behandlingen täcks av något av undantagen.

När Socialstyrelsen behandlar känsliga personuppgifter som är nödvändiga för att utföra de uppgifter som ålagts myndigheten i författning rör det sig om en behandling som är av ett viktigt allmänt intresse och som har sin grund i en nationell rätt som både är proportionerlig och förenlig med det väsentliga innehållet i rätten till dataskydd. I en ny lag om socialtjänstdataregister kommer det att finnas bestämmelser som kompletterar dataskyddsförordningens bestämmelser om när behandling av personuppgifter kan tillåtas. Lagen kommer också att innehålla olika former av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som Socialstyrelsen utför.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

181

Sammantaget bedömer vi därför att den behandling av känsliga personuppgifter som Socialstyrelsen behöver utföra uppfyller kraven i artikel 9.2 g.

Socialstyrelsen har också grund för att behandla känsliga personuppgifter med stöd av artikel 9.2 h i dataskyddsförordningen. Socialstyrelsen utgör en central nationell myndighet vars myndighetsuppdrag i huvudsak är att ta fram och utveckla statistik, regler och kunskap till hälso- och sjukvården och socialtjänsten. Socialstyrelsen är också en av de myndigheter som särskilt pekats ut av regeringen som en sådan myndighet som kan tillämpa undantaget i artikel 9.2 h. Vår bedömning är därför att Socialstyrelsens behandling av känsliga personuppgifter även får utföras om den är nödvändig av skäl som hör samman med förvaltning av social omsorg. Uppgifter i ett socialtjänstdataregister som rör en enskild persons ekonomiska eller personliga förhållanden omfattas av absolut sekretess enligt 24 kap. 8 § OSL. Även kravet på att behandlingen ska omfattas av tystnadsplikt är därmed uppfyllt.

Personuppgifter i ett socialtjänstdataregister behandlas för att framställa både officiell statistik och annan statistik. Likaså kommer Socialstyrelsen genom den föreslagna lagstiftningen att kunna behandla uppgifter i ett socialtjänstdataregister för det uttryckliga ändamålet att bedriva forskning. Att det ingår i Socialstyrelsens myndighetsuppdrag att framställa statistik och bedriva forskning framgår av Socialstyrelsens instruktion. Socialstyrelsens ansvar för att framställa officiell statistik framgår även av lagen om den officiella statistiken med tillhörande förordning. Som utvecklats ovan bedömer vi att en myndighets författningsreglerade uppdrag som utgångspunkt bör anses vara proportionerligt och förenlig med det väsentliga innehållet i rätten till dataskydd. I en ny lag om socialtjänstdataregister kommer det att finnas bestämmelser som kompletterar dataskyddsförordningens bestämmelser om när behandling av personuppgifter kan tillåtas. Lagen kommer också att innehålla olika former av skyddsåtgärder som upprätthåller skyddet för den personliga integriteten vid den behandling av känsliga personuppgifter som Socialstyrelsen utför. För forskningsprojekt som innefattar behandling av känsliga personuppgifter krävs också att projektet har godkänts vid en etikprövning.153Etikprövningsmyndigheten ska vid sin prövning göra en

153 Se 2 och 6 §§ lagen (2003:460) om etikprövning av forskning som avser människor.

Innehållet i ett socialtjänstdataregister Ds 2024:13

182

intresseavvägning där riskerna för den personliga integriteten vägs mot forskningens vetenskapliga värde.154 En sådan etikprövning uppfyller enligt regeringens uppfattning dataskyddsförordningens krav på en objektiv bedömning av de risker personuppgiftsbehandlingen kan medföra för den registrerades grundläggande rättigheter och friheter.155 Etikprövning anses därmed också vara en sådan i nationell rätt fastställd lämplig och särskild åtgärd som artikel 9.2 j i dataskyddsförordningen kräver.

Den behandling av känsliga personuppgifter som är nödvändig för Socialstyrelsen att utföra inom ramen för sitt statistik- och forskningsuppdrag bör därför uppfylla samtliga krav som ställs på den nationella rätten i artikel 9.2 j.

En särskild bestämmelse i lag ska införas

Undantagen i artikel 9.2 g, h och j i dataskyddsförordningen är direkt tillämpliga i svensk rätt. Det finns därmed ingen skyldighet att reglera undantagen i en registerförfattning. Medlemsstaterna har dock en möjlighet att i nationell rätt införa mer specifika bestämmelser avseende känsliga personuppgifter (artikel 6.2 och 6.3 samt skäl 10). I 3 kap. dataskyddslagen finns generella bestämmelser som möjliggör behandling av känsliga personuppgifter av hänsyn till ett viktigt allmänt intresse enligt 9.2 g (3 kap. 3 §), inom förvaltning av hälso-och sjukvårdstjänster, social omsorg och deras system enligt 9.2 h (3 kap. 5 §) samt för statistiska ändamål enligt 9.2 j (3 kap. 7 §).

Vår bedömning är att dataskyddslagens bestämmelser inte ger tillräckligt tydliga rättsliga förutsättningar för Socialstyrelsens behandling av känsliga personuppgifter. I fråga om 3 kap. 5 § dataskyddslagen utgör denna bestämmelse dessutom endast ett förtydligande av artikel 9.2 h i dataskyddsförordningen. Socialstyrelsens personuppgiftsbehandling, som även innefattar känsliga personuppgifter, kan innebära ett betydande intrång i enskildas personliga integritet. Detta motiverar en bestämmelse i den nya lagen som tydliggör för Socialstyrelsen att en behandling av känsliga personuppgifter är tillåten. En sådan bestämmelse bidrar

154 Se 711 §§ lagen (2003:460) om etikprövning av forskning som avser människor. 155Prop. 2017/18:298, Behandling av personuppgifter för forskningsändamål, s. 87–88.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

183

också till ökad transparens för den registrerade och allmänheten i övrigt. En bestämmelse som förtydligar att Socialstyrelsen får behandla personuppgifter som avses i artikel 9.1 i dataskyddsförordningen om det är nödvändigt med hänsyn till ändamålet med behandlingen, bör därför införas i den nya lagen. Någon uttrycklig hänvisning till de tillämpliga undantagen i 9.2 g, 9.2 h och 9.2 j anser vi inte behövs. Detta är i likhet med regeringens bedömning i andra lagstiftningsärenden.156

Att behandlingen måste vara nödvändig innebär vidare att den alltid måste vara motiverad utifrån den rättsliga grunden och behövas för att Socialstyrelsen ska kunna utföra sitt uppdrag på ett korrekt, rättssäkert och effektivt sätt.157 Detta förhindrar alltså att myndigheten behandlar uppgifterna utan att det finns en legitim grund för behandlingen. Så länge det finns ett legitimt behov för Socialstyrelsen att behandla uppgifterna bör dock inte dataskyddsförordningen begränsa myndighetens behandling av känsliga personuppgifter. Genom den föreslagna lagen om socialtjänstdataregister kommer det att finnas andra reglerade säkerhetsåtgärder, såsom sekretess, sökbegränsningar och tillgång till uppgifter som tillsammans med den generella dataskyddsregleringen på ett tillräckligt sätt skyddar den personliga integriteten.

8.4. Uppgifter som rör lagöverträdelser

8.4.1. Dataskyddsförordningens reglering av uppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott

Dataskyddsförordningen innehåller särskilda bestämmelser till skydd för personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott. Anledningen är att uppgifter som rör lagöverträdelser också är av integritetskänslig karaktär och att behandling av sådana uppgifter anses vara särskilt riskfylld. Utöver de villkor som gäller vid all behandling av personuppgifter, bland annat att det ska finnas en rättslig grund för behandlingen

156 Se till exempel prop. 2018/19:118, Reglering av mikrosimuleringsmodellen Fasit, s. 33 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 132. 157 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 83.

Innehållet i ett socialtjänstdataregister Ds 2024:13

184

enligt artikel 6.1, gäller att sådana uppgifter endast får behandlas under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs. Ett fullständigt register över fällande domar i brottmål får endast föras under kontroll av en myndighet (artikel 10).

Regeringen har uttalat att den del av artikel 10 som rör behandling av uppgifter under kontroll av en myndighet är direkt tillämplig och i vart fall bör innebära att det är tillåtet att behandla uppgifter som rör lagöverträdelser om den personuppgiftsansvarige är en myndighet.158 I linje med detta anges i 3 kap. 8 § dataskyddslagen att personuppgifter som avses i artikel 10 i dataskyddsförordningen får behandlas av myndigheter. Om en uppgift som rör lagöverträdelser även är en känslig personuppgift, gäller också de särskilda krav som finns för behandling av sådana uppgifter.

8.4.2. Socialstyrelsen får behandla uppgifter som rör lagöverträdelser

Vårt förslag: Socialstyrelsen ska få behandla personuppgifter

som avses i artikel 10 i EU:s dataskyddsförordning (fällande domar i brottmål och lagöverträdelser som innefattar brott), om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Skälen för vårt förslag

Socialstyrelsen har ett behov av att behandla uppgifter som rör lagöverträdelser

För att Socialstyrelsen ska kunna behandla personuppgifter på ett ändamålsenligt sätt krävs det i vissa fall att myndigheten får behandla uppgifter som rör lagöverträdelser i ett socialtjänstdataregister. Uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott blir särskilt relevanta inom områdena barn och unga

158Prop. 2017/18:105, Ny dataskyddslag, s. 99.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

185

samt missbruk och beroende där dessa uppgifter, ensamt eller tillsammans med andra uppgifter, kan utgöra orsak till att en enskild person beviljas en insats inom socialtjänsten. Behandlingen av denna uppgiftskategori bör motsatsvis helt sakna relevans inom andra områden inom socialtjänsten, såsom äldreomsorgen. I vilken omfattning Socialstyrelsen kommer att behöva behandla uppgifter som rör lagöverträdelser är inte tydligt. Det är däremot tydligt att det skulle kunna röra sig om mer än en begränsad behandling av uppgifter.

En särskild bestämmelse i lag ska införas

Att en myndighet får behandla uppgifter som rör lagöverträdelser följer redan av artikel 10 i dataskyddsförordningen och 3 kap. 8 § dataskyddslagen. Det krävs alltså inte en särskild bestämmelse om detta i registerförfattning för att göra en sådan behandling tillåten. På motsvarande sätt krävs det inte heller några bestämmelser som begränsar behandlingen. Mot bakgrund av uppgifternas integritetskänsliga karaktär och att behandlingen av uppgifterna ändå bör ses som särskilt riskfylld kan det trots det finnas anledning att begränsa möjligheterna till sådan behandling eller i övrigt förtydliga tillåtligheten av avsedd behandling. Detta skulle till exempel kunna bli aktuellt om det finns anledning att anta att kraven i dataskyddsförordningen inte utgör ett tillräckligt skydd för denna kategori av uppgifter.159

Vår bedömning är att en ny lag om socialtjänstdataregister bör utgå från dataskyddsförordningens bestämmelser. Utformningen av bestämmelserna i lagen bör tillåta en dynamisk tillämpning där begreppsanvändningen i nationell rätt i möjligaste mån följer den som finns i dataskyddsförordningen. Att begränsa tillämpningen av artikel 10 i dataskyddsförordningen genom att i nationell rätt hänvisa till lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel och administrativa frihetsberövanden härrör från personuppgiftslagens (1998:204) och dataskyddsdirektivets160 tid, men har i ett flertal fall behållits av

159 Jfr SOU 2015:39, Myndighetsdatalag, s. 312. 160 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet).

Innehållet i ett socialtjänstdataregister Ds 2024:13

186

regeringen även efter dataskyddsförordningens ikraftträdande.161Anledningen till detta bör vara att även den vidare begreppsanvändningen ses som särskilt riskfylld att behandla. Vi bedömer dock att det saknas anledning att tillämpa en annan begreppsanvändning än den som följer direkt av dataskyddsförordningen. En hänvisning i lagen ska därför göras direkt till artikel 10 i förordningen.

Socialstyrelsen kommer oundvikligen behöva behandla personuppgifter som rör lagöverträdelser i ett socialtjänstdataregister. Att detta ingår i Socialstyrelsens uppdrag framgår inte uttryckligen av myndighetens instruktion, utan kräver en bredare förståelse för vad som faller inom ramen för socialtjänsten. Det kan därför inte, enbart utifrån den rättsliga grunden och Socialstyrelsens tillåtna ändamål för behandlingen, utläsas att behandlingen också kan kräva behandling av uppgifter som rör lagöverträdelser. Eftersom personuppgifter som rör lagöverträdelser är av integritetskänslig karaktär och kan vara särskilt riskfylld att behandla, bedömer vi att det av tydlighetsskäl bör framgå av den föreslagna lagen att Socialstyrelsen får behandla sådana uppgifter. En förutsättning för att behandlingen ska vara tillåten är dock att den är nödvändig med hänsyn till ändamålet med behandlingen. Ett förtydligande av detta slag innebär att Socialstyrelsen aldrig har grund för att behandla uppgifter som rör lagöverträdelser inom sådana områden inom socialtjänsten där uppgiften inte kan anses nödvändig.

Det är tillräckligt att i lagen enbart förtydliga tillåtligheten av behandlingen och det saknas anledning att i övrigt begränsa Socialstyrelsens behandling av uppgifter som rör lagöverträdelser. Ett starkt skydd säkerställs redan genom den allmänna dataskyddsregleringen, befintlig sekretessreglering och de begränsningar och krav som den föreslagna lagen generellt ställer på Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister.

161 Jfr 3 § lagen (2003:460) om etikprövning av forskning som avser människor, 2 kap. 7 § patientdatalagen (2008:355) och 7 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten.

Ds 2024:13 Innehållet i ett socialtjänstdataregister

187

8.5. Bilagan till förordningen om den officiella statistiken bör ändras

Vårt förslag: Bilagan till förordningen (2001:100) om den

officiella statistiken ska ändras på så sätt att regleringen av vilka känsliga personuppgifter som får behandlas av Socialstyrelsen inom respektive statistikområde tas bort.

Skälen för vårt förslag

Lagen och förordningen om den officiella statistiken

Socialstyrelsen är statistikansvarig myndighet för statistikområdet socialtjänst och har ett nationellt ansvar att ta fram officiell statistik inom socialtjänstens område. Det innebär att Socialstyrelsen omfattas av den särskilda regleringen i lagen och förordningen om den officiella statistiken. Statistikansvariga myndigheters möjligheter att behandla känsliga personuppgifter och uppgifter som rör lagöverträdelser för framställning av statistik framgår av 15 § lagen om den officiella statistiken. Bestämmelsen gäller även vid framställning av annan statistik hos en statistikansvarig myndighet (1 § tredje stycket).

Enligt 15 § första stycket får personuppgifter som avses i artikel 9.1 och artikel 10 i dataskyddsförordningen behandlas om det följer av föreskrifter som regeringen meddelar. Regeringen har meddelat sådana föreskrifter i förordningen om den officiella statistiken som i sin tur hänvisar till bilagan till förordningen. I bilagan anges för vilka ändamål Socialstyrelsen får behandla känsliga personuppgifter och uppgifter som rör lagöverträdelser vid sin framställning av officiell statistik. Vid framställning av annan statistik gäller dock 15 § andra stycket, i vilket det anges att personuppgifter enligt första stycket också får behandlas om behandlingen är nödvändig för statistiska ändamål och samhällsintresset av det statistikprojekt där behandlingen ingår klart väger över den risk för otillbörligt intrång i enskildas personliga integritet som behandlingen kan innebära, eller ingår i ett forskningsprojekt och behandlingen har godkänts enligt lagen (2003:460) om

Innehållet i ett socialtjänstdataregister Ds 2024:13

188

etikprövning av forskning som avser människor. En prövning enligt detta ska göras för varje forsknings- eller statistikprojekt.162

Både den föreslagna lagen om socialtjänstdataregister och lagen om den officiella statistiken med tillhörande förordning reglerar därmed Socialstyrelsens behandling av känsliga personuppgifter och uppgifter som rör lagöverträdelser vid myndighetens statistikframställning.

En ändring i bilagan till förordningen bör göras för att undvika tillämpningssvårigheter

Vår bedömning är att den föreslagna lagen om socialtjänstdataregister ska gälla före lagen om den officiella statistiken med tillhörande förordning i de fall regelverken reglerar samma sak, se avsnitt 6.4.2. När det, som i förevarande fall, uppstår en konflikt mellan bestämmelserna i respektive lagar ska alltså bestämmelserna i den föreslagna lagen om socialtjänstdataregister gälla före bestämmelserna i lagen om den officiella statistiken.

För att undvika upplevda tillämpningsproblem föreslår vi att bilagan till förordningen om den officiella statistiken ska ändras så att denna inte längre reglerar detaljerna kring vilka känsliga personuppgifter och uppgifter som rör lagöverträdelser som Socialstyrelsen ska få behandla inom ramen för respektive statistikområde inom socialtjänsten. På detta sätt blir det tydligt att bestämmelsen i den föreslagna lagen om socialtjänstdataregister gäller före bestämmelsen i 15 § lagen om den officiella statistiken varigenom regeringen ges möjlighet att besluta om de personuppgifter som ska få behandlas.

162Prop. 2017/18:107, Ändringar i vissa författningar inom Finansdepartementets ansvarsområde

med anledning av EU:s dataskyddsreform, s. 40.

189

9. Särskilda bestämmelser till skydd för den personliga integriteten

9.1. Inledning

I dataskyddsförordningen finns flera bestämmelser som tar sikte på skydds- och säkerhetsåtgärder. Sådana bestämmelser ska tillämpas vid all behandling av personuppgifter i syfte att skydda enskildas personliga integritet. Dataskyddsförordningen både tillåter och i vissa fall kräver att förordningens bestämmelser kompletteras eller specificeras i nationell reglering.

I det här kapitlet föreslår vi vissa krav på skyddsåtgärder och andra särskilda bestämmelser för att balansera det integritetsintrång som behandling av personuppgifter i ett socialtjänstdataregister medför.

9.2. Sökbegränsningar

Vårt förslag: Det ska som huvudregel vara förbjudet att utföra

sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet ska dock inte omfatta sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa.

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

190

Skälen för vårt förslag

Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten

Dataskyddsförordningen saknar särskilda bestämmelser om sökning eller användning av sökbegrepp. Sökning är dock en form av behandling som omfattas av dataskyddsförordningens bestämmelser, i de fall en sökning innefattar personuppgifter. Sökningar som avslöjar och sammanställer känsliga personuppgifter innebär särskilda risker för den personliga integriteten. En bestämmelse om sökbegränsningar i en registerförfattning kan därför vara ett viktigt och ändamålsenligt sätt att begränsa dessa risker.163

Dataskyddsförordningen innehåller inte något krav på att det i nationell rätt ska föreskrivas förbud mot att använda känsliga personuppgifter eller uppgifter om lagöverträdelser vid sökning. Om behandlingen av känsliga personuppgifter grundar sig på artikel 9.2 g eller j, det vill säga den är nödvändig av hänsyn till ett viktigt allmänt intresse eller för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, krävs dock att den nationella rätten innehåller bestämmelser om lämpliga och särskilda åtgärder för att säkerställa den registrerades grundläggande rättigheter och intressen. Regeringen har bedömt att det med en sökbegränsning uppnås ett skydd av just de intressen som bestämmelserna om känsliga personuppgifter ska värna.164

Som skyddsåtgärd måste en bestämmelse om sökbegränsningar utformas på ett sådant sätt att den enskildes personliga integritet beaktas. Syftet med en sökbegränsning är dock inte att omöjliggöra sådana sökningar som behövs för att en myndighet ska kunna utföra sitt uppdrag. En avvägning måste därför göras mellan å ena sidan intresset av effektivitet i en myndighets verksamhet, och å andra sidan risken för integritetsintrång. Regler om begränsning av tillåtna sökningar bör ta sikte på sådana sökningar som typiskt sett medför särskilda integritetsrisker.165 Förbud att göra sökningar som avslöjar och sammanställer känsliga personuppgifter kan kompletteras med

163 Jfr prop. 2019/20:106, Stärkt integritet i Rättsmedicinalverkets verksamhet, s. 48. 164Prop. 2017/18:105, Ny dataskyddslag, s. 90. 165 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 66.

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

191

undantag som bedöms som berättigade utifrån den enskilda verksamhetens behov.

I ett flertal lagstiftningsärenden på senare tid har det införts eller föreslagits bestämmelser om sökförbud som utgår från syftet med en sökning.166 En sådan utformning av en sökbegränsning innebär att det är förbjudet att göra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Det är med andra ord inte tillåtet att utföra sökningar som innebär en kartläggning av personer på grundval av uppgifter om till exempel etnicitet. Om syftet med sökningen inte är att identifiera ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. En sådan bestämmelse utgör en bestämmelse om skyddsåtgärd, som är tillåten enligt artikel 6.2 och 6.3 i dataskyddsförordningen.

Vissa sökbegränsningar ska regleras i lagen

I avsnitt 8.3.3 har vi redogjort för Socialstyrelsens behov av att behandla känsliga personuppgifter i ett socialtjänstdataregister för att kunna utföra sitt uppdrag på ett ändamålsenligt sätt. Det rör sig främst om olika uppgifter om hälsa, men det kan även finnas ett behov av att i ett socialtjänstdataregister behandla uppgifter som direkt eller indirekt kan avslöja andra känsliga personuppgifter, såsom en persons etniska ursprung eller sexuella läggning.

Socialstyrelsens uppdrag att följa och analysera socialtjänsten genom bland annat statistikframställning, uppföljning och epidemiologiska studier medför en omfattande behandling av personuppgifter i ett socialtjänstdataregister och förutsätter en användning av olika sökbara variabler för urval. För att kunna analysera socialtjänsten på ett effektivt sätt behöver Socialstyrelsen, inom ramen för tillåtna ändamål, göra sökningar som avslöjar uppgifter om hälsa. Exempelvis kan redan själva uppgiften om att en person har beviljats en insats inom socialtjänsten innehålla en personuppgift om hälsa, till exempel missbruk eller en neuropsykiatrisk diagnos. Ett förbud mot att utföra sökningar i

166 Se till exempel 3 kap. 3 § dataskyddslagen, 2 kap. 3 § lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och 1 kap. 10 § lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten.

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

192

syfte att få fram ett urval av sådana uppgifter skulle därmed kraftigt begränsa användbarheten och nyttan av ett socialtjänstdataregister.

Vi anser däremot att Socialstyrelsens möjligheter att i ett socialtjänstdataregister göra sökningar i syfte att få fram ett urval av personer grundat på andra typer av känsliga personuppgifter bör begränsas. Att Socialstyrelsen skulle ha behov av att för sin framställning av statistik och analys utföra sådana sökningar på andra känsliga personuppgifter än hälsa har vi inte identifierat och ser inte heller är motiverat utifrån myndighetens uppdrag.

Vi bedömer därför att det bör införas en bestämmelse om sökbegränsning för känsliga personuppgifter i den nya lagen om socialtjänstdataregister, som utgår från syftet med en sökning. Vi föreslår att det som utgångspunkt ska vara förbjudet för Socialstyrelsen att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter som avses i artikel 9.1 i dataskyddsförordningen. Sökförbudet föreslås samtidigt kompletteras med ett undantag för uppgifter om hälsa, av hänsyn till de särskilda behov som gäller för Socialstyrelsens verksamhet med socialtjänstdataregister. På så sätt tas den enskildes intresse av att begränsa behandlingen av känsliga personuppgifter i så stor utsträckning som möjligt tillvara, samtidigt som myndighetens behov av att behandla personuppgifter för att utföra sitt uppdrag tillgodoses.

Det bör framhållas att en sökning på personuppgifter i sig utgör en behandling som måste uppfylla gällande krav för behandling av personuppgifter. För de känsliga personuppgifter som undantas från sökförbudet säkerställs integritetsskyddet genom de övriga skyddsbestämmelser som föreslås ingå i lagen, de generella dataskyddsreglerna och uppgifternas sekretesskydd.

Det skulle visserligen kunna argumenteras för att det inte finns anledning att införa en bestämmelse om sökbegränsning i den föreslagna lagen, då det redan av dataskyddsförordningen framgår att personuppgifter måste behandlas på ett lagligt och korrekt sätt. Det kommer inte heller finnas några stora mängder överskottsinformation i ett socialtjänstdataregister. Alla de variabler som kommer att finnas tillgängliga i ett socialtjänstdataregister ska kunna motiveras utifrån ändamålen med personuppgiftsbehandlingen, och genom en reglering av innehållet i registret sker också en form av reglering av möjliga sökbegrepp. Vi bedömer dock,

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

193

särskilt mot bakgrund av den potentiella mängd uppgifter som indirekt kan avslöja en känslig personuppgift, att den föreslagna sökbegränsningen är motiverad. Att exempelvis en uppgift om födelseort, som i vissa undantagsfall skulle kunna avslöja en persons etnicitet, är en variabel som behövs i ett socialtjänstdataregister, innebär inte att det därmed är motiverat att utföra sökningar i syfte att få fram ett urval av personer grundat på uppgifter om etniskt ursprung.

Det bör inte införas sökbegränsningar i lagen för uppgifter som rör lagöverträdelser

I avsnitt 8.4.2 har vi redogjort för Socialstyrelsens behov av att behandla uppgifter som rör lagöverträdelser i ett socialtjänstdataregister. Uppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott blir särskilt relevanta inom områdena barn och unga samt missbruk och beroende där dessa uppgifter, ensamt eller tillsammans med andra uppgifter, kan utgöra orsak till att en enskild person beviljas en insats inom socialtjänsten. Myndigheten har ett behov av att inom ramen för tillåtna ändamål kunna utföra sökningar på grundval av sådana uppgifter. Det är inte möjligt att på förhand i lag på ett tydligt sätt närmare avgränsa i vilka sammanhang det finns sådana behov. Det bör därför inte införas några sökbegränsningar i lagen för uppgifter som rör lagöverträdelser. Trots att några sökbegränsningar inte föreslås säkerställs ett starkt skydd för sådana uppgifter genom befintlig dataskyddsreglering och sekretessreglering samt de begränsningar och skyddsåtgärder i övrigt som vi föreslår i den nya lagen.

Något om sökbegränsningens förhållande till offentlighetsprincipen

I vilken utsträckning det är möjligt att effektivt begränsa användningen av integritetskänsliga sökbegrepp påverkas av offentlighetsprincipen. Handlingsoffentligheten enligt tryckfrihetsförordningen omfattar såväl fysiska och färdiga elektroniska handlingar som uppgifter som ännu inte har sammanställts men som kan sammanställas med hjälp av tillgänglig teknik och rutinbetonade åtgärder, till exempel en sökning (2 kap. 6 § andra stycket TF).

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

194

Enligt den så kallade begränsningsregeln i 2 kap. 7 § TF anses en sådan potentiell handling inte förvarad hos myndigheten om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig. Syftet med denna regel är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är förhindrad att ta fram i sin egen verksamhet.167 Begränsningsregeln kan därmed ses som ett uttryck för likställighetsprincipen.

Dataskyddsbestämmelser i registerförfattningar som avser förbud mot att utföra vissa sökningar kan till följd av begränsningsregeln få betydelse för i vilken omfattning potentiella handlingar, såsom till exempel sammanställningar som görs genom sökningar grundade på känsliga personuppgifter, utgör allmänna handlingar vid en myndighet. Regeringen har i nyare lagstiftningsärenden uttalat att bestämmelser om sökbegränsningar i sådan form som vi föreslår påverkar myndighetens möjligheter att sammanställa potentiella handlingar, och att en sådan sammanställning endast bör ses som en allmän handling om myndigheten får ta fram den för ett internt syfte i sin egen verksamhet.168 Det är enligt vår mening dock inte helt klart hur det föreslagna sökförbudet skulle anses förhålla sig till begränsningsregeln i rättstillämpningen.169

Oaktat hur rättstillämparen skulle se på frågan i förhållande till ett visst specifikt sökförbud kan det konstateras att i de fall en sammanställning anses förvarad hos en myndighet, och därmed utgör en allmän handling, kan sekretess hindra att uppgifterna i sammanställningen blir offentliga. Som vi tidigare har redogjort för omfattas uppgifterna i Socialstyrelsens socialtjänstdataregister som huvudregel av absolut sekretess enligt 24 kap. 8 § OSL.

167Prop. 2001/02:70, Offentlighetsprincipen och informationstekniken, s. 23. 168 Se prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 69 och prop. 2023/24:147, En registerlag för Myndigheten för vård- och omsorgsanalys, s. 55. 169 Jfr SOU 2023:100, Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden, s. 715 och prop. 2014/15:148, Domstolsdatalag, s. 53.

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

195

9.3. Begränsning och kontroll av tillgången till personuppgifter

Vårt förslag: Det ska införas en bestämmelse i lagen som

föreskriver att tillgången till personuppgifter i ett socialtjänstdataregister ska begränsas till det som var och en behöver för att kunna fullgöra sina arbetsuppgifter samt att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

I den till lagen tillhörande förordningen ska det regleras att Socialstyrelsen ansvarar för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Det ska även regleras att Socialstyrelsen ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till personuppgifter.

Skälen för vårt förslag

Det ska finnas en uttrycklig reglering i lag om att tillgången till personuppgifter i ett socialtjänstdataregister ska begränsas och kontrolleras

En utgångspunkt vid personuppgiftsbehandling är att personuppgifter inte ska spridas till fler än vad som är nödvändigt med hänsyn till ändamålet med behandlingen. Vilken spridning av personuppgifter som en viss behandling innebär har av naturliga skäl stor inverkan på integritetsriskerna med behandlingen. Obehörig spridning eller användning av uppgifter i ett socialtjänstdataregister kan medföra betydande integritetsskada för en enskild individ. Personuppgifter som är lättillgängliga för en vidare krets av personer innebär en ökad risk för att uppgifterna kommer att användas på ett otillbörligt och inte avsett sätt. En viktig del av skyddet för den personliga integriteten vid behandling av personuppgifter i ett socialtjänstdataregister är därför att det finns tydliga regler och rutiner om vem som ska få åtkomst till uppgifter i registret, och under vilka förutsättningar.

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

196

Personuppgiftsansvariga är enligt dataskyddsförordningen skyldiga att vidta tekniska eller organisatoriska åtgärder för att säkerställa lämplig säkerhet för personuppgifterna, inbegripet bland annat skydd mot obehörig eller otillåten behandling (artiklarna 5.1 f, 24, 25 och 32). Den personuppgiftsansvarige ska bland annat vidta åtgärder för att säkerställa att varje fysisk person som utför arbete under den personuppgiftsansvariges överinseende, och som får tillgång till personuppgifter, endast behandlar dessa på instruktion från den personuppgiftsansvarige (se artikel 32.4).

Att begränsa tillgången till personuppgifter är en viktig åtgärd för att säkerställa den registrerades grundläggande rättigheter och intressen (jfr artikel 9.2 g och j). Skyldigheten för personuppgiftsansvariga att på olika sätt begränsa tillgången till personuppgifter följer visserligen redan av dataskyddsförordningen. Vi anser dock att det för skyddet av den personliga integriteten är viktigt att det vid Socialstyrelsen säkerställs att personuppgifter i ett socialtjänstdataregister endast görs tillgängliga för de medarbetare som behöver uppgifterna i sitt arbete. Syftet är alltså att skydda enskilda från att uppgifter om dem sprids på ett obehörigt sätt. En bestämmelse ska därför införas i lagen som tydliggör att tillgången till personuppgifter ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Mer specifika krav på att vidta åtgärder kan fastställas i den nationella lagstiftningen med stöd av artikel 6.2 och 6.3 i dataskyddsförordningen utan att den personuppgiftsansvariges eget ansvar för att vidta lämpliga åtgärder för den skull upphör.170

Enligt den föreslagna bestämmelsen klargörs att Socialstyrelsen har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha tillgång till dessa för att kunna utföra sina arbetsuppgifter (jfr artikel 32). Innebörden av bestämmelsen är att det ska finnas ett berättigat behov av åtkomst till personuppgifter i ett socialtjänstdataregister. Det krävs alltså att Socialstyrelsen aktivt tar ställning till vilka personuppgifter en medarbetare behöver ges åtkomst till för att utföra sina arbetsuppgifter, och att nödvändig behörighet tilldelas utifrån det. Det kan finnas skäl att tekniskt begränsa åtkomsten till personuppgifter i ett

170Prop. 2017/18:171, Dataskydd inom Socialdepartementets verksamhetsområde – en

anpassning till EU:s dataskyddsförordning, s. 138.

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

197

socialtjänstdataregister både i fråga om omfattningen och formen av uppgifter som en medarbetare kan få tillgång till. Är det exempelvis tillräckligt för en medarbetare att arbeta med pseudonymiserade personuppgifter bör tillgången begränsas till det. Pseudonymisering framhålls på flera ställen i dataskyddsförordningen som exempel på lämplig skyddsåtgärd. Vilka närmare åtgärder som är lämpligast beror bland annat på vilka tekniska möjligheter myndigheten har och hur myndighetens organisation ser ut, där särskilt de tekniska förutsättningarna kan utvecklas med tiden. Det framstår därför inte som ändamålsenligt att författningsreglera vilka konkreta åtgärder som ska vidtas för att begränsa tillgången.

Vi föreslår även att det i lagen ska anges att åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet. Det skulle kunna argumenteras för att en sådan skyldighet redan följer av befintlig reglering i dataskyddsförordningen, och därmed inte behöver regleras särskilt (jfr artiklarna 24 och 32). Med anledning av den stora mängd personuppgifter som Socialstyrelsen kommer att hantera inom ramen för sin verksamhet med socialtjänstdataregister bedömer vi det dock som lämpligt att det i den föreslagna lagen uttryckligen anges att åtkomsten ska kontrolleras och följas upp. Ett sådant krav i lag utgör ännu en skyddsåtgärd i syfte att begränsa intrånget i enskildas personliga integritet. Det är även viktigt för att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Socialstyrelsen av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan till exempel ske genom uppföljning av loggar. Det bör dock vara upp till Socialstyrelsen att närmare bestämma formerna för kontrollen.

Vi vill framhålla att förekomsten av bestämmelser om tillgång till personuppgifter i den föreslagna lagen inte innebär att Socialstyrelsen kan bortse från övriga krav på lämpliga säkerhetsåtgärder som föreskrivs i dataskyddsförordningen. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen (se artikel 32). Kraven på sådana åtgärder är långtgående i en verksamhet med socialtjänstdataregister med hänsyn till uppgifternas känsliga karaktär. Som ett exempel kan nämnas att det i dataskyddsförordningen ställs krav på inbyggt dataskydd och dataskydd som

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

198

standard i den utsträckning det är lämpligt med hänsyn till bland annat kostnader, behandlingens art och omfattning och de risker som behandlingen innebär (se artikel 25).

Det kan även tilläggas att Socialstyrelsen redan idag har flera införda fysiska, organisatoriska och tekniska säkerhetsåtgärder i sin registerverksamhet. Exempelvis finns registeruppgifterna endast tillgängliga i en särskild säker miljö som saknar uppkoppling till internet och som dessutom är avskild från resterande verksamhet hos myndigheten genom fysiskt skalskydd. Endast ett fåtal medarbetare som har ett behov av tillgång till uppgifterna i registren tilldelas behörighet. Tillgången begränsas till pseudonymiserade uppgifter när det bedöms vara tillräckligt utifrån medarbetarens arbetsuppgifter, exempelvis vid analysarbete inom ramen för en uppföljning. Detta är exempel på sådana konkreta åtgärder som kan begränsa tillgången till personuppgifter i ett socialtjänstdataregister och alltså kan omfattas av den föreslagna bestämmelsen.

Vissa krav på rutiner ska finnas i förordning

Vi anser att det i den förordning som föreslås tillhöra den nya lagen ska införas kompletterande bestämmelser om krav på att Socialstyrelsen ska ha vissa rutiner för tillgång till personuppgifter. Detta även om också sådana krav på den personuppgiftsansvariga myndigheten kan anses följa redan av dataskyddsförordningens krav. Särskilda bestämmelser i förordning syftar till att tydliggöra att Socialstyrelsen har sådana skyldigheter.

Socialstyrelsen föreslås ansvara för att det inom myndigheten finns rutiner för att tilldela, förändra, ta bort och regelbundet följa upp behörigheter för åtkomst till personuppgifter. Sådana rutiner är viktiga för att bland annat förhindra att anställda tilldelas vidare behörighet till uppgifter än vad som behövs för utförandet av arbetsuppgifter, eller att anställda som byter arbetsuppgifter har kvar vidare behörigheter än vad som behövs av hänsyn till de nya arbetsuppgifterna. Rutinerna kan till exempel tas in i myndighetens arbetsordning eller beslutas om som separata rutiner.

Vi anser också att det i förordning ska föreskrivas att Socialstyrelsen ansvarar för att det inom myndigheten finns rutiner för att dokumentera och regelbundet kontrollera åtkomst till

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

199

personuppgifter. Sådana rutiner kan exempelvis avse kontroll av vem som har läst, skapat, ändrat, raderat eller på annat sätt behandlat personuppgifter samt tidpunkten för åtgärden. Det är enligt vår bedömning av vikt att Socialstyrelsen har sådana rutiner för att se till att det i lag föreslagna kravet på tillgång till personuppgifter följs. Rutinerna ska avse sådan regelbunden kontroll som ska utföras enligt den föreslagna lagbestämmelsen om tillgång till personuppgifter.

Utöver de åtgärder som vi föreslår särskilt ska föreskrivas i lagen och tillhörande förordning, kan lämpliga organisatoriska skyddsåtgärder för att uppfylla dataskyddsförordningens krav också handla om rutiner för information till och utbildning av personal i personuppgiftsbehandling. Vid tilldelning av behörighet bör det exempelvis säkerställas att medarbetaren i fråga har genomgått lämplig utbildning eller har tillräckliga kunskaper i personuppgiftsbehandling genom tidigare erfarenhet.

Något om brottet dataintrång

I fråga om tilldelning av behörighet för åtkomst till personuppgifter är brottet dataintrång av betydelse. Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling kan under vissa förutsättningar dömas för dataintrång enligt 4 kap. 9 c § brottsbalken. Bestämmelsen förutsätter inte att den som olovligen berett sig tillgång till en uppgift har haft något särskilt syfte med intrånget för att gärningen ska vara straffbar. Det är själva intrånget som straffbeläggs. Avgörande för om någon anställd eller av annan anledning verksam inom myndigheten kan bedömas ha olovligen berett sig tillgång till uppgifter bör vara om det skett inom ramen för dennes behörighet att ta del av uppgifter eller inte.171Detta förhållande talar för att tilldelningen av behörighet bör ske under sådana former att det otvetydigt kan konstateras dels vilken behörighet som tilldelats en person, dels att denne faktiskt tagit del av och förstått innebörden av tilldelningen av behörigheten och de däri angivna ramarna för behörigheten.

171 Jfr bland annat prop. 2002/03:135, Behandling av personuppgifter inom socialförsäkringens

administration, s. 85–86, RH 2000:90 och NJA 2014 s. 221.

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

200

9.4. Elektroniskt utlämnande

9.4.1. Allmänt om elektroniskt utlämnande

Informationsutbyten och informationsöverföringar i elektronisk form utgör en integrerad del av myndigheters verksamheter och samhället i stort. Detta innebär att merparten av utlämnanden idag sker genom någon form av elektroniskt utlämnande. Formerna för elektroniskt utlämnande utvecklas ständigt i takt med teknikutvecklingen i övriga samhället och kan exempelvis ske genom e-post, USB-minne eller genom en direkt överföring från ett datorsystem till ett annat. Det är dock fortfarande vanligt att skilja mellan ett utlämnande genom direktåtkomst och andra elektroniska utlämnanden.

Utlämnande av personuppgifter utgör en behandling av personuppgifter enligt dataskyddsförordningen.172 Det krävs därför att de grundläggande förutsättningarna för behandlingen är uppfyllda, däribland att det finns en rättslig grund för behandlingen enligt artikel 6.1, se avsnitt 7.2.1. I fråga om informationsutbyte och utlämnande av uppgifter utgör den rättsliga grunden ofta nationella bestämmelser som tillåter eller kräver att uppgifter lämnas ut. Även om dataskyddsförordningen tillåter en medlemsstat att i den nationella rätten begränsa myndigheters möjlighet att lämna ut personuppgifter elektroniskt (jfr artikel 6.3) finns det inga bestämmelser som särskilt reglerar formen eller tekniken för utlämnanden. Däremot ställer dataskyddsförordningen krav på bland annat uppgiftsminimering (artikel 5.1 c) samt lämpliga tekniska och organisatoriska åtgärder (artiklarna 25 och 32).

9.4.2. Särskilt om utlämnande genom direktåtkomst

Direktåtkomst har traditionellt sett ansetts vara en särskilt integritetskänslig form av elektroniskt utlämnande eftersom det saknas möjlighet för den utlämnande myndigheten att begränsa eller stoppa utlämnandet vid varje söktillfälle. Det innebär dels att det föreligger en ökad risk för spridning av känsliga personuppgifter och

172 Av artikel 4.2 i dataskyddsförordningen framgår att med behandling avses bland annat utlämning genom överföring, spridning eller tillhandahållande på annat sätt.

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

201

integritetsintrång, dels att den myndighet som får direktåtkomst får teknisk tillgång till fler uppgifter än vad som är direkt nödvändigt, så kallad överskottsinformation. Med dagens tekniklösningar kan problemen undvikas eftersom det ofta är möjligt för den myndighet som tillhandahåller direktåtkomst att tekniskt begränsa den mottagande myndighetens tillgång till uppgifter. Den tekniska skillnaden mellan direktåtkomst och andra elektroniska utlämnanden har även i andra hänseenden blivit allt mindre.

Trots att det numera kan vara svårt att dra en gräns mellan direktåtkomst och annat elektroniskt utlämnande finns det vissa rättsliga konsekvenser vid direktåtkomst som inte blir aktuella vid annan form av elektroniskt utlämnande. Direktåtkomst innebär till sin form att en myndighet har direkt åtkomst till uppgifter i en annan myndighets datorsystem, utan att det genomförs någon föregående kontroll. De allmänna handlingar som en myndighet får tillgång till genom direktåtkomsten utgör allmänna handlingar även hos denna myndighet.173 I takt med teknikutvecklingen blir det, delvis av denna anledning, alltmer ovanligt med ren direktåtkomst. Istället är det vanligt att en sådan åtkomst utformas som en fråga-svarfunktion. Teknisk sett blir en fråga-svarfunktion inte att anse som direktåtkomst eftersom den förutsätter att den utlämnande myndigheten reagerar på en begäran om utlämnande, se vidare nedan.

Om sekretess gäller hos den utlämnande myndigheten för de uppgifter som ska lämnas ut krävs antingen att det finns ett undantag från sekretessen eller en sekretessbrytande bestämmelse för att en uppgift ska kunna lämnas ut. När ett utlämnande sker genom direktåtkomst kan det av tekniska skäl inte göras en sekretessprövning av utlämnade uppgifter i ett enskilt fall innan uppgifterna lämnas ut. Uppgifterna är i normalfallet att anse som utlämnade redan i och med att direktåtkomsten upprättas och är aktiv. Det spelar alltså ingen roll om den mottagande myndigheten rent faktiskt tar del av uppgifterna eller inte. För att uppgifter ska kunna lämnas ut utan att utlämnandet föregås av en prövning i det enskilda fallet krävs därför en reglering med sekretessbrytande verkan. Möjligheten att överhuvudtaget utnyttja direktåtkomst för informationsöverföring mellan två myndigheter kan alltså begränsas redan av gällande bestämmelser om sekretess.

173 Jfr 2 kap. 6 § TF.

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

202

9.4.3. Elektroniskt utlämnande av personuppgifter bör tillåtas om det inte är olämpligt

Vårt förslag: Personuppgifter i ett socialtjänstdataregister ska få

lämnas ut elektroniskt om det inte är olämpligt.

Vår bedömning: Elektroniskt utlämnande genom direktåtkomst

bör inte särskilt förbjudas eller på annat sätt begränsas i den föreslagna lagen men är i regel olämpligt vid elektroniskt utlämnande av uppgifter från ett socialtjänstdataregister.

Skälen för vårt förslag och vår bedömning

Elektroniskt utlämnande av personuppgifter bör generellt vara tillåtet

Dataskyddsförordningen ställer, som nämnts ovan, inte upp något generellt förbud mot att lämna ut uppgifter i en viss form. Trots det är det vanligt att elektroniskt utlämnande regleras särskilt i en registerförfattning.174 Detta har sin grund i att ett elektroniskt utlämnande av uppgifter traditionellt sett har ansetts medföra en större risk för otillbörliga integritetsintrång, eftersom det ger en större möjlighet att bearbeta och sprida information jämfört med ett utlämnande som sker i pappersform.175

Socialstyrelsens utlämnande av personuppgifter i ett socialtjänstdataregister sker i princip uteslutande elektroniskt, vilket stämmer överens med trenden för utlämnanden och informationsutbyten generellt i samhället. Den tekniska utvecklingen innebär enligt vår mening att det går att ifrågasätta om det fortfarande är motiverat att särskilt reglera eller begränsa elektroniskt utlämnande i en registerförfattning. Det kan i sammanhanget tilläggas att det numera är mycket enkelt och billigt för en mottagare av uppgifter på papper att genom skanning överföra uppgifterna till elektroniskt format. I praktiken blir därför skillnaderna mellan ett utlämnande på papper

174 Se bland annat lagen (2023:457) om behandling av personuppgifter vid Utbetalningsmyndigheten, lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och domstolsdatalagen (2015:728). 175 Jfr till exempel Ds 2017:41, En omarbetad domstolsdatalag – Anpassning till EU:s

dataskyddsförordning, s. 214.

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

203

och ett utlämnande i elektronisk form små.176 Teknikutvecklingen har dessutom medfört en rad integritetshöjande säkerhetsåtgärder vid elektroniskt utlämnande som på många sätt innebär att ett sådant utlämnande inte kan anses utgöra en högre risk för integritetsintrång än ett utlämnande i pappersform. Exempel på detta är kryptering vid informationsöverföring och andra autentiserings- och auktorisationsprocesser för att säkerställa att ett utlämnande sker till behörig part. Vår bedömning är därför att det inte längre är korrekt att utgå från att integritetsrisker alltid är lägre vid analogt utlämnande än vid elektroniskt utlämnande. Vi anser därför att elektroniskt utlämnande av personuppgifter generellt bör vara tillåtet och så även ett elektroniskt utlämnande av personuppgifter i ett socialtjänstdataregister.

Det är inte motiverat att reglera direktåtkomst särskilt

Direktåtkomst betraktas som den mest integritetskänsliga formen av elektroniskt utlämnande. Av den anledningen finns det i regel bestämmelser som förbjuder eller särskilt anger när direktåtkomst får förekomma i registerförfattningar. En sådan reglering förutsätter dock att det fortfarande är motiverat utifrån ett integritetsperspektiv att göra en juridisk åtskillnad mellan direktåtkomst och annat elektroniskt utlämnande. På samma sätt som dataskyddsförordningen inte reglerar formen eller tekniken för utlämnanden finns det inte heller någon bestämmelse med innebörden att sådan behandling som kan anses vara särskilt integritetskänslig ska regleras särskilt. När det gäller formen för behandling och val av teknisk lösning framhåller istället dataskyddsförordningen att skyddet för den personliga integriteten ska vara teknikneutralt (jfr skäl 15).

Att skillnaden mellan direktåtkomst och annat elektroniskt utlämnande kommit att bli allt mindre är något som har lyfts i senare lagstiftningsförfaranden.177 Detta gäller särskilt i förhållande till sådana fråga-svarfunktioner som kännetecknas av att uppgiftslämnandet från en myndighet till en annan sker momentant och bygger på en i förväg genomförd sekretessprövning och automatiserade kontroller. Avgörande för att en sådan teknisk

176 Jfr prop. 2014/15:148, Domstolsdatalag, s. 76. 177 Jfr till exempel prop. 2021/22:177, Sammanhållen vård- och omsorgsdokumentation, s. 79.

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

204

lösning inte ska betraktas som direktåtkomst är att ett utlämnande förutsätter att den utlämnande myndigheten reagerar på en begäran om att de efterfrågade uppgifterna ska lämnas ut.178 Detta gäller även om reaktionen i sig är helt automatiserad och någon egentlig möjlighet för myndigheten att avbryta utlämnandet inte finns. Den juridiska gränsdragning som görs mellan direktåtkomst och annat elektroniskt utlämnande har därmed kopplats bort från frågan om integritetsskydd eftersom skillnaden från integritetssynpunkt mellan direktåtkomst och ett elektroniskt utlämnande som kännetecknas av att uppgiftslämnandet sker automatiserat, momentant och bygger på en i förväg genomförd sekretessprövning, i princip är obefintlig. En väl avvägd direktåtkomst behöver alltså inte innebära större risker än annan form av elektroniskt utlämnande.179

Mot bakgrund av dataskyddsförordningens målsättning om teknikneutralitet och den allt mindre skillnad som finns mellan direktåtkomst och annat elektroniskt utlämnande bedömer vi att det saknas anledning att reglera direktåtkomst särskilt i den föreslagna lagen. Detta särskilt som ren direktåtkomst blir allt ovanligare. Istället bör direktåtkomst betraktas som en av flera integritetskänsliga former av elektroniskt utlämnande. Någon åtskillnad bör därmed inte göras mellan elektroniskt utlämnande generellt och direktåtkomst specifikt.

Ett elektroniskt utlämnande får ske om det inte är olämpligt

Vi har bedömt att elektroniskt utlämnande numera bör vara norm vid utlämnande av personuppgifter och att det även saknas skäl för att särreglera direktåtkomst. Att en juridisk åtskillnad inte längre görs mellan direktåtkomst och annat elektroniskt utlämnande innebär däremot inte att direktåtkomst – tillsammans med vissa andra former av elektroniskt utlämnande – fortfarande kan vara särskilt integritetskänsliga och därför kräver särskilda överväganden kring bland annat sekretesskydd, behövliga säkerhetsåtgärder, begränsning av överskottsinformation och andra begränsningar av den mottagande myndighetens möjlighet att använda sig av de

178 Jfr HFD 2015 ref. 61 och HFD 2020 not. 16. 179 Jfr SOU 2015:39, Myndighetsdatalag, s. 151.

Ds 2024:13 Särskilda bestämmelser till skydd för den personliga integriteten

205

uppgifter som görs åtkomliga. För att upprätthålla ett adekvat skydd för den personliga integriteten vid utlämnande i elektronisk form är det viktigt att inte fler uppgifter än nödvändigt lämnas ut och att utlämnandet sker på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. Dessa krav följer direkt av dataskyddsförordningen och bör även utgöra en naturlig del i en myndighets verksamhet vid aktualisering av ett utlämnande.

Även om Socialstyrelsen i princip uteslutande lämnar ut personuppgifter från ett socialtjänstdataregister i elektronisk form och ett elektroniskt utlämnande av denna anledning bör vara tillåten, innehåller registren särskilt integritetskänsliga personuppgifter. För att uppnå en ändamålsenlig avvägning mellan möjligheten att generellt lämna ut personuppgifter genom elektroniskt utlämnande och de utökade risker som kan finnas med att överföra uppgifter i elektronisk form bör elektroniskt utlämnande vara tillåtet om det inte är olämpligt. En bestämmelse med denna innebörd bör därför införas i den föreslagna lagen.180 En sådan reglering bör vidare betraktas som en integritetshöjande åtgärd i förhållande till avsaknaden av någon begränsande bestämmelse.

Den föreslagna bestämmelsen ska självfallet inte tolkas som att Socialstyrelsen alltid måste använda sig av elektroniskt utlämnande. Däremot är myndigheten inte rättsligt förhindrad att använda sig av elektroniska former för informationsöverföring under förutsättning att en noggrann avvägning mellan de skäl som talar för en sådan åtkomst och integritetsskäl som talar mot denna har genomförts och bedömningen därmed har gjorts att den tekniska lösningen inte är olämplig. Bedömningen av om ett utlämnande är olämpligt ska bland annat ske med beaktande av bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Utifrån socialtjänstdataregistrens särdrag och syfte och personuppgifternas integritetskänsliga karaktär, bör elektroniskt utlämnande i form av direktåtkomst som regel inte utgöra en lämplig teknisk lösning.

Det kan i sammanhanget tilläggas att uppgifter i ett socialtjänstdataregister omfattas av absolut sekretess vilket innebär att redan sekretessen förhindrar direktåtkomst. I de fall det finns en

180 Liknande bestämmelser har nyligen införts i lagen (2020:421) om Rättsmedicinalverkets behandling av personuppgifter och kustbevakningsdatalagen (2019:429). Se även SOU 2023:100, Framtidens dataskydd – Vid Skatteverket, Tullverket och Kronofogden.

Särskilda bestämmelser till skydd för den personliga integriteten Ds 2024:13

206

sekretessbrytande bestämmelse bör det dock vara upp till Socialstyrelsen att medge direktåtkomst eller annan form av elektroniskt utlämnande, om det framstår som proportionerligt och lämpligt i förhållande till de omständigheter som är aktuella. Att det krävs en sekretessbrytande bestämmelse för direktåtkomst till ett socialtjänstdataregister innebär också att en avvägning mellan skyddet för den personliga integriteten och behovet av en sekretessbrytande bestämmelse nödvändigtvis kommer att behöva göras av antingen regering eller riksdag.

9.5. Något om vissa andra särskilda skyddsåtgärder

Vårt förslag till ett samlat regelverk för socialtjänstdataregister innehåller ett antal bestämmelser som syftar till att minska risken för otillbörligt intrång i den personliga integriteten och skydda den registrerades grundläggande rättigheter och friheter.

Utöver de bestämmelser som vi föreslår kan det även framhållas att regeringen har ansett att bestämmelser om sekretess utgör lämpliga och särskilda skyddsåtgärder, eftersom dessa har utformats noggrant efter en avvägning mellan behovet av skydd och intresset av insyn.181 Som vi tidigare har konstaterat innefattar statistiksekretessen i 24 kap. 8 § OSL ett starkt integritetsskydd för uppgifterna i ett socialtjänstdataregister, och är därmed en tydlig skyddsåtgärd. Vid behandling av känsliga personuppgifter för forskningsändamål har regeringen vidare uttalat att kravet på etikprövning utgör en i nationell rätt fastställd lämplig och särskild skyddsåtgärd.182 Detta gäller både för Socialstyrelsens egen forskning och vid utlämnanden till externa forskningsprojekt.

Det kan även nämnas att vi i avsnitt 6.6.4 har redogjort för vårt förslag att Socialstyrelsen ska åläggas en allmän informationsplikt om sin registerverksamhet. En sådan integritetshöjande åtgärd bidrar enligt vår bedömning också till att säkerställa den registrerades rättigheter och intressen.

181Prop. 2017/18:105, Ny dataskyddslag, s. 116. Jfr även prop. 2017/18:298, Behandling av

personuppgifter för forskningsändamål, s. 113–114.

182Prop. 2017/18:298, Behandling av personuppgifter för forskningsändamål, s. 87–88.

207

10. Gallring och längsta tid för behandling

10.1. Inledning

I detta kapitel redogör vi för olika aspekter av gallring och längsta tid för behandling av personuppgifter som aktualiseras i Socialstyrelsens verksamhet med socialtjänstdataregister. Vi beskriver övergripande arkivrättsliga och dataskyddsrättsliga utgångspunkter, samt redogör för befintlig reglering av gallring och bevarande för uppgifter i Socialstyrelsens register och inom socialtjänstens verksamheter. Vi redogör även för våra bedömningar i fråga om behovet av reglering av längsta tid för behandling och särskilda bestämmelser om gallring av uppgifter i ett socialtjänstdataregister.

10.2. Arkivrättsliga hänsyn, dataskydd och sekretess

10.2.1. Arkivrättslig reglering

I arkivlagen (1990:782) och arkivförordningen (1991:446) finns bestämmelser om bevarande och gallring av uppgifter hos myndigheter och vissa andra organ. Utgångspunkten i arkivlagen är att allmänna handlingar ska bevaras men under vissa förutsättningar får gallras. Syftet är att upprätthålla handlingsoffentligheten. Arkivlagens bestämmelser om gallring är subsidiära i förhållande till annan lagstiftning. Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller förordning, har de bestämmelserna företräde (10 § tredje stycket arkivlagen).

Gallring och längsta tid för behandling Ds 2024:13

208

Utöver arkivförordningen fylls arkivlagen ut av de myndighetsspecifika beslut eller generella föreskrifter som arkivmyndigheten utfärdar. Gallring på den statliga sidan sker med stöd av föreskrifter eller särskilda beslut av Riksarkivet. Gallringsföreskrifter för kommunala eller regionala myndigheter meddelas i allmänhet av kommunerna eller regionerna själva.

10.2.2. Dataskyddsrättslig reglering

Principen om lagringsminimering

Av dataskyddsförordningen följer inte någon skyldighet att gallra personuppgifter i arkivrättslig mening. Dataskyddsförordningen reglerar alltså inte vad som ska bevaras eller gallras. Utgångspunkten i det dataskyddsrättsliga regelverket är istället principen om lagringsminimering (artikel 5.1 e). Av principen följer att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas. I vissa fall måste den personuppgiftsansvariga myndigheten dock spara uppgifterna under längre tid än för behandling enligt insamlingsändamålet, exempelvis om det finns andra rättsliga förpliktelser som åligger myndigheten. Principen om lagringsminimering innebär att den personuppgiftsansvariga myndigheten måste se till att den period under vilken personuppgifterna lagras är begränsad till ett strikt minimum (skäl 39).

Särskilda regler gäller om personuppgifter behandlas för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål. Om personuppgifter behandlas enbart för dessa ändamål, får de lagras under längre perioder under förutsättning att lämpliga tekniska och organisatoriska åtgärder vidtas. Regeringen har uttalat att det står klart att den behandling av personuppgifter som utförs för att uppfylla de krav som ställs i arkivlagen och anslutande föreskrifter måste anses ske för arkivändamål av allmänt intresse.183

183Prop. 2017/18:105, Ny dataskyddslag, s. 110.

Ds 2024:13 Gallring och längsta tid för behandling

209

Medan utgångspunkten i det arkivrättsliga regelverket bygger på tanken att uppgifter ska bevaras, är alltså utgångspunkten i dataskyddsförordningen att uppgifter inte ska behandlas under längre tid än vad som behövs för ändamålet.

Gallring och längsta tid för behandling i registerförfattningar

Det har sedan länge funnits bestämmelser om gallring i registerförfattningar som reglerar behandling av personuppgifter inom integritetskänsliga områden. Begreppet gallring avser då inte enbart att i arkivvårdande syfte helt eller delvis förstöra allmänna handlingar i enlighet med arkivlagens bestämmelser. Bestämmelser om gallring i kompletterande dataskyddsreglering avser att av integritetsskäl radera personuppgifter eller på annat sätt vidta åtgärder så att uppgifterna inte förekommer i ett visst sammanhang. I dataskyddssammanhang används inte gallring som ett undantag från principen om att allmänna handlingar ska bevaras, utan som ett led i skyddet av den personliga integriteten. Gallring begränsas i det sammanhanget inte heller till att omfatta enbart allmänna handlingar. Utgångspunkten har i registerförfattningar varit den omvända i förhållande till arkivlagen, det vill säga gallring är huvudregel och bevarande av personuppgifter ett undantag. I ett flertal registerförfattningar finns dock även bestämmelser om undantag från gallring.

Sedan ikraftträdandet av dataskyddsförordningen har det skett en viss förändring i begreppsanvändningen på området. För att tydligt skilja mellan arkivrättsliga regler och regler om skydd för personuppgifter har regeringen i flera lagstiftningsärenden uttryckt att begreppen bevarande och gallring i nya registerförfattningar enbart bör användas i den betydelse som de har i arkivlagstiftningen. Istället för gallring bör begreppen längsta tid för behandling och upphörande av behandling användas, när bestämmelserna tar sikte på skyddet för den personliga integriteten och ändamålen med behandlingen.184 Det måste samtidigt beaktas att bestämmelser om gallring och bestämmelser om längsta tid för behandling av personuppgifter inte fyller samma funktion och därmed inte är helt

184 Se bland annat prop. 2017/18:269, Brottsdatalag – kompletterande lagstiftning, s. 120–121, prop. 2020/21:124, Transportstyrelsens olycksdatabas, s. 75–76 och prop. 2022/23:34,

Utbetalningsmyndigheten, s. 149–150.

Gallring och längsta tid för behandling Ds 2024:13

210

utbytbara. Att personuppgifter upphör att behandlas innebär inte nödvändigtvis att handlingarna gallras.185

10.2.3. Sekretesslagstiftningen

Av betydelse ur integritetssynpunkt vid frågor om bevarande och gallring av personuppgifter är hur länge eventuellt sekretesskydd för uppgifterna gäller. Sekretesstidens längd för uppgift i en allmän handling varierar normalt beroende på vilket skyddsintresse som har föranlett sekretessen. När det gäller skyddet för enskildas personliga förhållanden är idag den längsta tiden för sekretess sjuttio år. Den längre sekretesstiden har ofta motiverats med att sekretessen som utgångspunkt bör gälla under större delen av den enskildes livstid.186

Statistiksekretessen gäller i högst sjuttio år om uppgiften avser en enskilds personliga förhållanden, och annars i högst tjugo år (24 kap. 8 § fjärde stycket OSL). Även socialtjänstsekretessen gäller i högst sjuttio år (26 kap. 1 § sjätte stycket OSL). Sekretessen överförs till en arkivmyndighet vid ett överlämnande (11 kap. 6 § OSL).

10.3. Befintlig reglering av gallring och bevarande

10.3.1. Socialstyrelsens statistikregister

Regleringen i lagen om den officiella statistiken

Av 19 § lagen om den officiella statistiken framgår att personuppgifter ska gallras hos de statistikansvariga myndigheterna när uppgifterna inte längre behövs för sitt ändamål. Regeringen eller den myndighet som regeringen bestämmer får dock föreskriva om undantag från denna skyldighet, om en gallring skulle äventyra arkivens roll som en del av det nationella kulturarvet eller strida mot forskningens behov. Behovet av skydd för den enskildes personliga integritet ska då särskilt beaktas. Material som inte gallras ska

185 Jfr prop. 2023/24:29, En ny dataskyddsreglering på socialförsäkringsområdet, s. 80. 186 Se bland annat prop. 1979/80:2, med förslag till sekretesslag m.m, Del A s. 460 och 493–494 och prop. 2020/21:15, Sekretess för uppgifter om statliga tjänstepensionsförmåner, s. 19.

Ds 2024:13 Gallring och längsta tid för behandling

211

överlämnas till en arkivmyndighet. Av 12 § förordningen om den officiella statistiken följer att Riksarkivet får meddela föreskrifter om sådana undantag från gallring.

Bestämmelserna om gallring i lagen och förordningen om den officiella statistiken är sådana avvikande bestämmelser om bevarande och gallring som avses i 10 § tredje stycket arkivlagen. Tillämpningen av sådana bestämmelser besvarar både frågan om längsta tid för behandling av uppgifterna och om handlingarna ska gallras eller bevaras. I motiven framhöll regeringen att utgångspunkten för integritetskänsliga statistikregister, liksom för många andra likvärdiga register, borde vara att personuppgifterna i registret ska gallras när ändamålet är uppfyllt. Regeringen ansåg att det i och för sig är svårt för någon annan än den statistikansvariga myndigheten att bedöma när statistiska uppgifter inte längre behövs för sitt ändamål. En bortre gräns borde dock normalt sättas för hur länge en personuppgift som huvudregel ska få finnas i ett statistikregister. En sådan generell längsta tid är svår att fastställa med hänsyn till den mängd register av skiftande beskaffenhet som skulle komma att omfattas av lagen, även om det på goda grunder kunde förutsättas att en personuppgift sällan behövdes längre än tio år för att framställa officiell statistik. Det stod dock klart att en längre bevarandetid kunde behövas vid bland annat longitudinella uppföljningar.187

Regeringen uttalade även att statistiska uppgifter många gånger är intressanta för andra ändamål än det primära statistikområdet, i första hand för forskningen och det nationella kulturarvet. Inte minst för att tillgodose olika slags forskning var det enligt regeringens mening av stor betydelse att man noga prövar om de uppgifter som finns i statistikregistren bör bevaras. Vid bedömningen av bevarandefrågan lade regeringen stor tyngd vid integritetsaspekten. I vilken utsträckning bevarande skulle ske, borde bli en avvägning mellan å ena sidan den enskildes intresse av skydd för sin personliga integritet och å andra sidan forsknings- och kulturintressena. Hur denna avvägning skulle göras ansågs svårare att precisera. Försiktighet ansågs påkallad med hänsyn till att en alltför ambitiös gallring kan förorsaka skador som aldrig går att reparera. Arbetet ansågs kräva sakkunskap och resurser och kunde

187Prop. 1994/95:200, Lag om vissa personregister för officiell statistik m.m., s. 33. Se även prop. 2000/01:27, En ny statistiklagstiftning, s. 58.

Gallring och längsta tid för behandling Ds 2024:13

212

inte utan vidare utföras inom Regeringskansliet. Den lösning som med hänsyn till samtliga föreliggande faktorer framstod som mest rimlig var att dessa ofta svåra avvägningar i stor utsträckning fick avgöras av Riksarkivet.188

Befintliga register är undantagna från gallring

Av Riksarkivets föreskrifter om undantag från gallring och gallring hos Socialstyrelsen (RA-MS 2020:22) framgår att uppgifter i upptagningar för automatiserad behandling för framställning av statistik och som omfattas av lagen om den officiella statistiken ska undantas från gallring enligt vad som anges i bilaga. Av bilagan följer att personuppgifterna i såväl befintliga hälsodataregister som socialtjänstdataregister, där varje register specificeras, är undantagna från kravet på gallring. Primäruppgifter, det vill säga underlaget till registret, får dock gallras fem år från det att underlaget kommit in till myndigheten.

Personuppgifterna i Socialstyrelsens befintliga register är alltså undantagna från kravet på gallring. Det finns med andra ord ett uttryckligt krav på att personuppgifter i registren ska bevaras hos Socialstyrelsen till dess uppgifterna lämnas över till en arkivmyndighet.

10.3.2. Uppgifter inom socialtjänstens verksamheter

I fråga om kommunala handlingar är det som huvudregel kommunstyrelsen som är arkivmyndighet och beslutar om tidpunkten för gallring (8 § arkivlagen). Om det finns avvikande bestämmelser om gallring av vissa allmänna handlingar i annan lag eller i förordning gäller, som vi har redogjort för ovan, dock dessa bestämmelser (10 § tredje stycket arkivlagen).

I socialtjänstlagen finns särskilt reglerat vilka handlingar som ska bevaras och vilka som ska gallras. Av lagen följer en tvingande gallring av stora delar av socialtjänstens personakter, som utgör grunden för dokumentationen inom socialtjänsten, fem år efter sista

188Prop. 1994/95:200, Lag om vissa personregister för officiell statistik m.m., s. 33–34. Se även prop. 2000/01:27, En ny statistiklagstiftning, s. 58–59.

Ds 2024:13 Gallring och längsta tid för behandling

213

anteckningen.189 Undantag görs dock för vissa handlingar. Ett undantag avser handlingar som kommit in eller upprättats i samband med att ett barn har placerats eller tagits emot i bland annat ett hem för vård eller boende, familjehem eller stödboende. Vissa handlingar undantas även från gallring av hänsyn till forskningens behov i ett representativt urval av kommuner och i övriga kommuner beträffande ett representativt urval av personer.190 Eftersom detta urval undantas från gallring endast för forskningens behov, inte för socialtjänstens, ska de undantagna handlingarna överlämnas till arkivmyndigheten vid den tidpunkt då de annars skulle ha gallrats.

Beträffande verksamhet enligt LSS finns en gallringsplikt för personakter som i sak motsvarar bestämmelserna i socialtjänstlagen, det vill säga att anteckningar och andra uppgifter i en personakt ska gallras fem år efter det att sista anteckningen gjordes i akten.191

Till grund för regleringen om gallring av personakter låg framförallt integritetshänsyn. Det ansågs vara många som avhöll sig från kontakt med socialtjänsten av rädsla för att personliga uppgifter om dem skulle komma att arkiveras för framtiden. Utifrån integritetssynpunkt ansågs det olämpligt att ömtåliga personuppgifter om enskilda sparades längre tid än vad som behövdes för det ändamål för vilket de hade samlats in.192 Tanken var att den enskildes integritet skulle stärkas om socialtjänsten inte hade möjlighet att använda inaktuella uppgifter om den enskilde i nya ärenden. Socialtjänsten skulle varken ha skyldighet eller möjlighet att föra vidare dessa uppgifter om en person till en annan myndighet.193 Vid sidan av det beaktades även arkivekonomiska skäl.194

Två utredningar i närtid har lyft behovet av att vissa handlingar i barnakter ska sparas längre tid än idag.195 Det har samtidigt framhållits att för att handlingarna inte ska bli offentliga bör dessa fortsatt gallras innan den 70-åriga sekretessen upphör.196

189 Se 12 kap. 1 § socialtjänstlagen. 190 Se 12 kap. 2 § socialtjänstlagen och 7 kap. 2 § socialtjänstförordningen. 191 Se 21 c § första stycket LSS. 192Prop. 1979/80:1, Om socialtjänsten, s. 448–449. 193 Jfr Ds 2023:15, Fler verktyg i socialtjänsternas arbete för att förebygga brott och stärka skyddet

för barn, s. 243.

194Prop. 1979/80:1, Om socialtjänsten, s. 449. 195 Se SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag och Ds 2023:15, Fler verktyg i

socialtjänsternas arbete för att förebygga brott och stärka skyddet för barn.

196Ds 2023:15, Fler verktyg i socialtjänsternas arbete för att förebygga brott och stärka skyddet för

barn, s. 269.

Gallring och längsta tid för behandling Ds 2024:13

214

Vid en jämförelse med patientjournaler inom hälso- och sjukvården ska en journalhandling bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Enligt gallringsföreskrifter inom den regionala hälso- och sjukvården gäller dock ofta evig bevarandetid för patientjournaler.197

10.4. Bör längsta tid för behandling regleras i den föreslagna lagen?

Vår bedömning: Det bör inte införas en bestämmelse i lagen om

socialtjänstdataregister om längsta tid för behandling av personuppgifter.

Skälen för vår bedömning

En bestämmelse om en längsta tid under vilken personuppgifter får behandlas i ett socialtjänstdataregister skulle kunna motiveras av integritetsskäl. Till skillnad från vad som många gånger är fallet med uppgiftsinsamlingar som används för exempelvis ärendehandläggning, tappar dock uppgifter i ett socialtjänstdataregister i stor utsträckning inte sin relevans med tiden. Detta gäller särskilt för longitudinella studier som görs inom ramen för de föreslagna tillåtna ändamålen, för vilka personuppgifter regelmässigt behöver bevaras under en längre tid. Retrospektiva analyser med kontroller bakåt i tiden kan också komma att genomföras.

Med hänsyn till syftet med ett socialtjänstdataregister anser vi att det varken är möjligt eller lämpligt att i lag föreslå mer konkreta tidsgränser än sådana som bygger på principen om lagringsminimering i dataskyddsförordningen, nämligen att uppgifter inte ska behandlas under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

Frågan blir då om det kan finnas skäl att i lagen införa en bestämmelse som förtydligar principen om lagringsminimering. Vi anser dock att en sådan bestämmelse, utifrån

197 Se 3 kap. 17 § patientdatalagen och SOU 2021:4, Informationsöverföring inom vård och

omsorg, s. 580.

Ds 2024:13 Gallring och längsta tid för behandling

215

socialtjänstdataregistrens karaktär och ändamål, inte skulle tjäna något egentligt syfte. Dataskyddsförordningen är direkt tillämplig i svensk rätt och principen om lagringsminimering kräver att de uppgifter som inte längre behöver behandlas för ett visst ändamål också slutar behandlas för det ändamålet. Det är enligt dataskyddsförordningen dessutom tillåtet att personuppgifter lagras under längre perioder hos Socialstyrelsen, i den mån uppgifterna enbart behandlas för statistik- och forskningsändamål. I enlighet med ansvarsprincipen (artikel 5.2) ska vidare den personuppgiftsansvariga myndigheten också kunna visa att bland annat principen om lagringsminimering efterlevs, exempelvis inför sitt dataskyddsombud eller Integritetsskyddsmyndigheten.

Vi anser alltså att det inte finns ett behov av att i den föreslagna lagen särskilt reglera frågan om längsta tid för behandling av personuppgifter i ett socialtjänstdataregister. Eftersom uppgifterna i ett socialtjänstdataregister ligger till grund för officiell och annan statistik finns dessutom tillämpliga bestämmelser om gallring i lagen och förordningen om den officiella statistiken, se vidare nedan.

10.5. Behöver befintliga gallringsbestämmelser ses över?

Vår bedömning: Det behöver inte införas särskilda

bestämmelser om gallring i lagen om socialtjänstdataregister.

Vid en omstrukturering och utökning av befintliga socialtjänstdataregister bör lämpligen nya överväganden göras av Riksarkivet, i samråd med Socialstyrelsen, i förhållande till utfärdade föreskrifter om undantag från gallring.

Skälen för vår bedömning

Som vi har redogjort för ovan är bestämmelserna om gallring i lagen och förordningen om den officiella statistiken sådana avvikande bestämmelser som både besvarar frågan om längsta tid för behandling av uppgifterna och om uppgifterna ska gallras eller bevaras. Genom våra förslag kommer Socialstyrelsen att kunna samla in betydligt fler personuppgifter i ett socialtjänstdataregister

Gallring och längsta tid för behandling Ds 2024:13

216

vilket innebär ett kraftigt utökat registerinnehåll, både när det gäller antalet registrerade individer och mängden integritetskänsliga uppgifter. Det finns därför anledning att överväga om nuvarande bestämmelser om gallring i regelverket för den officiella statistiken är tillräckliga ur integritetssynpunkt, eller om det finns ett behov av att införa särskilda bestämmelser om gallring i regelverket för socialtjänstdataregister.

I lagen om hälsodataregister finns idag ett bemyndigande för regeringen att meddela föreskrifter om begränsningar i rätten att bevara uppgifter. I förarbetena uttalades att en författningsreglering av möjligheten att gallra de uppgifter som finns i ett hälsodataregister är viktig både ur den enskildes och ur samhällets synpunkt. En alltför omfattande gallring i hälsodataregister kan få till följd att det inte kommer att finnas tillräckligt material för till exempel epidemiologiska undersökningar eller utvärderingar av olika slag. En alltför begränsad gallring kan medföra att känsliga uppgifter om den enskilde onödigtvis sparas, vilket kan upplevas som ett intrång i den personliga integriteten. Andra omständigheter ansågs tala i motsatt riktning, och regeringen menade att det var svårt att fastställa en tidpunkt när uppgifterna inte längre behövs i ett hälsodataregister. Många epidemiologiska undersökningar och forskningsprojekt förutsätter att man har tillgång till uppgifter som ligger långt tillbaka i tiden. Det är också av stort intresse att kunna följa utvecklingen inom hälso- och sjukvårdens område under längre tidsperioder.198

I förordningarna för de specifika hälsodataregistren hos Socialstyrelsen finns dock inga föreskrifter om gallring, utan gallring av uppgifter i dessa register regleras idag enbart utifrån bestämmelserna i lagen och förordningen om den officiella statistiken samt Riksarkivets utfärdade föreskrifter. Som vi har redogjort för ovan är samtliga befintliga socialtjänstdata- och hälsodataregister undantagna från gallring. En statistikansvarig myndighet avgör själv när den inte längre behöver uppgifterna och överlämnar dessa till en arkivmyndighet. Den tvingande bestämmelsen om överlämnande är en skyddsåtgärd i och med att uppgifterna inte längre är tillgängliga

198Prop. 1997/98:108, Hälsodata- och vårdregister, s. 59–60.

Ds 2024:13 Gallring och längsta tid för behandling

217

i den verksamhet där de har behandlats för de ursprungliga ändamålen.199

Riksarkivet har i sin utredning inför nu gällande föreskrifter (RA-MS 2020:22), en utredning som dock inte tog sikte på det redan reglerade undantaget från gallring, uttalat att vad gäller bevarandefrågan får det anses vara väl utrett att uppgifterna i Socialstyrelsens register har stor betydelse för bland annat forskning.200 Riksarkivet har även tidigare ansett att forsknings- och kulturintressena för uppgifterna i registren över ekonomiskt bistånd, tvångsvård av missbrukare och insatser till barn och unga får anses väga tyngre än den enskildes intresse av skydd för sin personliga integritet. Skyddet för den personliga integriteten ansåg myndigheten också torde tillfredsställas genom att uppgifterna var sekretessbelagda och genom bestämmelsen i lagen om den officiella statistiken om att material som inte ska gallras ska överlämnas till arkivmyndighet. Riksarkivet har också uttryckt att föregångaren till dessa register, registret om socialtjänstens individinriktade insatser som fördes hos SCB, var synnerligen värdefullt för forskningen och rikstäckande med registerdata av den typ som är viktig för att studera bland annat samhällsförändringarnas betydelse.201 Även Integritetsutredningen ansåg att registret om socialtjänstens individinriktade insatser hade väsentligt värde för forskningen och därför borde bevaras, en bedömning som gjordes utifrån den generella ståndpunkten att integritetskänsliga register endast skulle bevaras om det fanns synnerliga skäl.202

Bestämmelserna om gallring i lagen om den officiella statistiken syftar i och för sig till att skydda den personliga integriteten, men utfärdade föreskrifter om undantag från gallring har motiverats med att forskningsintresset för uppgifterna väger tyngre. Riksarkivets uppdrag är även annat i grunden än att bevaka integritetsfrågor, vilket skulle kunna utgöra skäl till att särskilt reglera frågan om gallring av personuppgifter i ett socialtjänstdataregister.

199 Riksarkivet har uttryckt att personuppgifterna bör kunna bevaras hos de statistikansvariga myndigheterna under en längre tid, under förutsättning att myndigheterna vidtar lämpliga skyddsåtgärder, se Riksarkivets skrivelse till arkivutredningen Bestämmelser om överlämnande

av arkivhandlingar till Riksarkivet i registerförfattningar, 2019-04-08, dnr RA 04-2017/05870.

200 Riksarkivets PM Gallring av primäruppgifter hos Socialstyrelsen, 2020-04-15, dnr RA 231-2019/8386. 201 Riksarkivets PM Gallring av primärmaterial och bevarande av ADB-register för framställning

av officiell socialtjänststatistik hos Socialstyrelsen, 2001-08-08, dnr RA 31-1998/288.

202 Se SOU 1994:65, Statistik och integritet, s. 139.

Gallring och längsta tid för behandling Ds 2024:13

218

En lång tids bevarande av en större mängd personuppgifter innebär ett ökat integritetsintrång för den enskilde. Utifrån nuvarande reglering i dataskyddsförordningen och lagen om den officiella statistiken med tillhörande föreskrifter ska Socialstyrelsen visserligen upphöra med sin behandling av personuppgifterna i registren när uppgifterna inte längre behövs för sina ändamål, men uppgifterna kommer inte att gallras och därmed aldrig raderas efter ett överlämnande till arkivmyndighet. Att bevara långa tidsserier av data är samtidigt angeläget för såväl statistikframställning som forskning. Gallring är en oåterkallelig åtgärd som kan ha återverkningar på registeruppgifters användbarhet för dessa ändamål. Personuppgifter kan visserligen gallras genom avidentifiering, vilket kräver att det inte finns någon krypteringsnyckel som gör att uppgifterna kan knytas till en person. Det finns dock ett behov av att fortsatt kunna koppla uppgifterna till en individ, bland annat för tillförandet av nya uppgifter avseende samma individ men också för möjliggörande av samkörning med exempelvis ett annat socialtjänstdataregister eller ett hälsodataregister.

Personuppgifterna i ett socialtjänstdataregister kommer vidare att omgärdas av såväl tekniska och organisatoriska skyddsåtgärder som juridiskt skydd i form av bestämmelser om sekretess. Att registeruppgifterna är sekretessbelagda anser vi utgör ett av de viktigaste skydden för den personliga integriteten. Som vi har redogjort för ovan löper dock sekretesskyddet för uppgifter i registren om enskildas personliga förhållanden ut efter sjuttio år. För en person som blev aktuell för en insats som barn skulle det alltså kunna komma att innebära att vissa uppgifter blir offentliga under personens livstid, vilket vi anser utgör en integritetsrisk. Även om denna risk redan idag finns för uppgifter i personakter inom socialtjänsten som är undantagna från gallring, skulle uppgifter i ett socialtjänstdataregister även avse uppgifter i handlingar som har gallrats hos socialtjänsten.

Vi noterar här att bland annat Utredningen Framtidens socialtjänst har lyft behovet av att det med en ökad medellivslängd kan finnas skäl att överväga om tiden för allmänna handlingars sekretess bör förlängas, en fråga som dock anses behöva behandlas i ett större sammanhang.203 Det kan även tilläggas att utöver det

203SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 832. Se även Ds 2023:15, Fler

verktyg i socialtjänsternas arbete för att förebygga brott och stärka skyddet för barn, s. 268–269.

Ds 2024:13 Gallring och längsta tid för behandling

219

primära skydd som uppgifterna får med stöd av statistiksekretessen, skyddas uppgifterna även under den enskildes livstid, i viss utsträckning, av sekretess enligt 21 kap. 7 § OSL.

Vid en samlad bedömning anser vi att det i fråga om längsta tid för behandling och gallring av personuppgifterna i ett socialtjänstdataregister hos Socialstyrelsen, bör vara tillräckligt att tillämpa de generella bestämmelserna i dataskyddsförordningen och de särskilda bestämmelserna i lagen och förordningen om den officiella statistiken. Att socialtjänstdataregistren i sin nuvarande omfattning undantas från gallring har ansetts godtagbart ur integritetssynpunkt med hänsyn till uppgifternas betydelse för bland annat forskningen. Vid en omstrukturering och utökning av dessa register bör dock Riksarkivet genomföra en översyn av utfärdade föreskrifter om undantag från gallring. En mer omfattande insamling av uppgifter i ett socialtjänstdataregister skulle enligt vår bedömning kunna medföra andra överväganden utifrån de intressen som ska beaktas vid undantag från gallring enligt lagen om den officiella statistiken. Sådana avvägningar kräver närmare sakkunskap och bör därför lämpligen avgöras av Riksarkivet, i samråd med Socialstyrelsen.

221

11. Skyldighet att lämna uppgifter till ett socialtjänstdataregister

11.1. Inledning

Grunden för att kunna ta fram individbaserad nationell statistik och underlag för analys inom socialtjänsten är att de kommuner och andra aktörer som bedriver verksamhet inom socialtjänsten lämnar uppgifter till Socialstyrelsens socialtjänstdataregister.

I det här kapitlet redogör vi för nuvarande reglering av skyldigheten att lämna uppgifter till Socialstyrelsens befintliga socialtjänstdataregister samt våra överväganden avseende behovet av en ny särskild reglering. Vi lämnar även förslag på utvidgade bestämmelser om uppgiftsskyldighet i det samlade regelverket för socialtjänstdataregister.

11.2. Allmänt om uppgiftsskyldighet

Uppgiftsskyldigheten är en viktig del av statistiklagstiftningen. Bakgrunden till att man infört uppgiftsskyldighet till den officiella statistiken är vikten av att denna är tillförlitlig och håller hög kvalitet, vilket höga svarsfrekvenser anses säkerställa.204

Bestämmelser om uppgiftsskyldighet är även nödvändigt för att möjliggöra insamling av sekretessbelagda uppgifter från en myndighet till en annan, om utlämnandet inte kan ske med stöd av någon generellt sekretessbrytande bestämmelse. Sekretess hindrar nämligen inte att en uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning.205 I de fall där det

204SOU 2012:83, Vad är officiell statistik? En översyn av statistiksystemet och SCB, s. 391 och 416. 205 Se 10 kap. 28 § OSL.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

222

finns sekretessbrytande bestämmelser för myndigheter har även den som omfattas av tystnadsplikt rätt att lämna uppgifter på motsvarande sätt, utan att röjandet anses obehörigt.206

För att en bestämmelse om uppgiftsskyldighet ska ha sekretessbrytande effekt krävs antingen att den föreskriver en skyldighet för en myndighet att lämna ut uppgifter till en annan myndighet, eller att den föreskriver en rätt för en myndighet att ta del av uppgifter hos en annan myndighet.207 En uppgiftsskyldighet är som regel utformad så att den endast anger skyldigheten att lämna ut uppgifter och inte på vilket sätt uppgifterna ska lämnas eller varifrån uppgifterna ska hämtas.208

Ett utlämnande av personuppgifter innebär vidare att personuppgifter behandlas. Dataskyddsregleringen är därför tillämplig på den personuppgiftsbehandling som ett utlämnande ger upphov till. Det behöver därmed finnas en rättslig grund för den behandling som utlämnandet innebär och principerna om bland annat ändamålsbegränsning och uppgiftsminimering måste följas (artiklarna 5 och 6 i dataskyddsförordningen).

När en sekretessbrytande uppgiftsskyldighet övervägs krävs noggranna avvägningar mellan viktiga allmänna intressen och skyddet för den personliga integriteten, utifrån den skyddsreglering som finns i bland annat sekretesslagstiftningen och dataskyddsregleringen.

11.3. Nuvarande reglering om uppgiftsskyldighet

Grundläggande bestämmelser om uppgiftsskyldighet till statistikansvariga myndigheter finns i 7 och 8 §§ lagen om den officiella statistiken. I lagen regleras kretsen av uppgiftsskyldiga, vilket bland annat är näringsidkare, stiftelser och ideella föreningar samt kommuner och regioner. Statliga myndigheters uppgiftslämnande regleras däremot i förordningen om den officiella

206 Se bland annat prop. 2005/06:161, Sekretessfrågor – Skyddade adresser, m.m., s. 82 och 93, prop. 2007/08:126, Patientdatalag m.m., s. 132–133 samt prop. 2023/24:50, En skyldighet att

lämna uppgifter till Adoptionskommissionen, s. 15.

207 Se bland annat prop. 2007/08:160, Utökat elektroniskt informationsutbyte, s. 71 och prop. 2019/20:51,

Totalförsvarsdatalag – personuppgiftsbehandling vid Totalförsvarets

rekryteringsmyndighet, s. 61–62.

208SOU 2017:66, Dataskydd inom Socialdepartementets verksamhetsområde – en anpassning till

EU:s dataskyddsförordning, s. 309.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

223

statistiken. I 6 § förordningen om den officiella statistiken anges att en statlig myndighet till statistikansvariga myndigheter ska lämna de uppgifter som behövs för framställning av officiell statistik.

Tidigare reglerade lagen om den officiella statistiken även vilka uppgifter som omfattades av uppgiftsskyldigheten, men eftersom statistikområdet följer samhällsutvecklingen och behoven därmed ändras från tid till annan ansågs det lämpligare att reglera detta på lägre normgivningsnivå.209 I förarbetena uttalades att vilka uppgifter som ska omfattas av uppgiftsskyldighet bör i förordningen vara så tydligt angivet att den uppgiftsskyldige kan överblicka vilka uppgifter som kan komma i fråga.210

Av 4 § förordningen om den officiella statistiken framgår att de statistikansvariga myndigheterna vid framställning av officiell statistik i så stor utsträckning som möjligt ska använda uppgifter ur befintliga register. I förarbeten till den tidigare statistiklagen uttryckte regeringen att de uppgifter som inte kan erhållas genom statliga register och som inte heller kan inhämtas med uppgiftsskyldighet i annan lag, men som behövs för den officiella statistiken, omfattas av uppgiftsskyldigheten enligt lagen.211

Kommunernas uppgiftslämnande till Socialstyrelsens socialtjänstdataregister sker idag med stöd av uppgiftsskyldigheter i socialtjänstlagen och lagen om stöd och service till vissa funktionshindrade, LSS. Av 12 kap. 5 § socialtjänstlagen har socialnämnderna en skyldighet att, enligt vad regeringen närmare föreskriver, lämna personuppgifter till Socialstyrelsen för angelägna statistiska ändamål. En liknande bestämmelse om uppgiftsskyldighet finns i 15 a § LSS, enligt vilken kommunen ska lämna ut vissa personuppgifter till Socialstyrelsen för framställning av officiell statistik. Närmare föreskrifter om vilka uppgifter som ska lämnas till Socialstyrelsen finns i förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade. Specificering av hur inrapportering ska ske finns i Socialstyrelsens föreskrifter.

Statens institutionsstyrelse, SiS, lämnar idag uppgifter till Socialstyrelsens register över tvångsvård av missbrukare med stöd av

209 Se prop. 2013/14:7, Ändringar i statistiklagstiftningen, s. 13. 210SOU 2012:83, Vad är officiell statistik? En översyn av statistiksystemet och SCB, s. 422. 211Prop. 1991/92:118, om förenklad statistikreglering, s. 24. Se även SOU 2012:83, Vad är

officiell statistik? En översyn av statistiksystemet och SCB, s. 117 och 409.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

224

6 § förordningen om den officiella statistiken. Därutöver inhämtas vissa uppgifter från SCB:s register över totalbefolkningen.

Vid en jämförelse med Socialstyrelsens hälsodataregister regleras uppgiftsskyldighet till registren huvudsakligen i lagen om hälsodataregister, där det av 6 § framgår att den som bedriver verksamhet inom hälso- och sjukvården ska lämna uppgifter till registren. I förarbetena uttalas att rapporteringen av hälsodata med hänsyn till kravet på korrekt och fullständig information inte kan grundas på ett frivilligt åtagande från vårdgivarna. En inte obetydlig risk för underlåten rapportering till exempel till följd av hög arbetsbelastning kan då uppstå.212 Uppgiftsskyldigheten gäller för alla som är ansvariga för verksamhet inom den regionala och lokala hälso- och sjukvården. Uppgiftsskyldigheten åvilar regioner och kommuner inom den offentligt bedrivna vården och inte den enskilde yrkesutövaren. Inom den privata vården ansvarar vårdgivaren för att uppgiftsskyldigheten fullgörs på lämpligt sätt.213 SCB har också en författningsreglerad skyldighet att lämna uppgifter till hälsodataregistren, se exempelvis 6 § andra stycket förordningen (2001:707) om patientregister hos Socialstyrelsen.

På samma sätt som för uppgiftsskyldigheten i socialtjänstlagen och LSS är det uppgiftsskyldigheten i lagen om hälsodataregister och dess anslutande förordningar som i första hand ska tillämpas vid insamling av uppgifter till Socialstyrelsens register, och inte den uppgiftsskyldighet som regleras i lagen och förordningen om den officiella statistiken.

212Prop. 1997/98:108, Hälsodata- och vårdregister, s. 54. 213Prop. 1997/98:108, Hälsodata- och vårdregister, s. 91–92.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

225

11.4. En utvidgad uppgiftsskyldighet i det samlade regelverket för socialtjänstdataregister

11.4.1. Behov av att samla in uppgifter från både offentliga och privata aktörer

Vår bedömning: En skyldighet att lämna uppgifter till ett

socialtjänstdataregister bör omfatta både offentliga och privata aktörer som bedriver verksamhet inom socialtjänsten eller enligt LSS.

Skälen för vår bedömning

Uppgifter som behövs i ett socialtjänstdataregister härrör från verksamhet i både offentlig och enskild regi

I kapitel 8 har vi redogjort för våra överväganden av vilka personuppgifter och kategorier av personuppgifter som vi anser ska få behandlas i ett socialtjänstdataregister. Vi har tidigare även beskrivit behoven och nyttan av en insamling av sådana uppgifter för att kunna stärka och utveckla den nationella statistiken och möjligheterna till analys. Uppgifterna härrör dels från handläggningen av ett ärende, dels från genomförandet av en insats som ges efter eller utan behovsprövning.

Kommunens uppgifter inom socialtjänsten fullgörs av den eller de nämnder som kommunfullmäktige bestämmer.214 Även ledningen av kommunens verksamhet enligt LSS ska utövas av en eller flera nämnder som fullmäktige utser.215 Genomförandet av insatser som beslutats med stöd av socialtjänstlagen eller LSS kan dock genom avtal överlåtas till såväl annan kommun som en enskild person.216 En enskild person, fortsättningsvis benämnd privat utförare, kan vara en fysisk eller juridisk person, till exempel en privatperson med enskild firma, ett bolag, en förening eller en stiftelse. För att en

214 Se 2 kap. 4 § socialtjänstlagen. 215 Se 22 § LSS. 216 Se 9 kap. 37 § kommunallagen (2017:725), 2 kap. 5 § socialtjänstlagen och 17 § LSS.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

226

privat utförare ska kunna utföra beslutade insatser krävs att ett avtal har ingåtts med kommunen.

Ansvaret för genomförandet av en beslutad insats går som huvudregel hand i hand med ansvaret för att genomförandet av insatsen i fråga dokumenteras. Som vi tidigare har redogjort för är vår bedömning att uppgifter om alla insatser som omfattas av dokumentationskrav bör kunna samlas in i ett socialtjänstdataregister, se avsnitt 8.2.7.

Enskild verksamhet som står under tillsyn av IVO omfattas i tillämpliga delar av bestämmelserna om dokumentation i socialtjänstlagen.217 Även bestämmelserna om dokumentation i LSS gäller i tillämpliga delar enskild verksamhet.218 För dessa enskilt bedrivna verksamheter gäller också Socialstyrelsens föreskrifter och allmänna råd (SOSFS 2014:5) om dokumentation i verksamhet som bedrivs med stöd av SoL, LVU, LVM och LSS.219 De privata utförarna ansvarar alltså självständigt för att dokumentera sina insatser och är även personuppgiftsansvariga för sin behandling av personuppgifter.220

Vidare ansvarar SiS för verksamheten vid särskilda ungdomshem och LVM-hem.221 Om socialnämnden beslutar att den unge ska vistas i ett särskilt ungdomshem ska SiS anvisa den unge en plats i ett sådant hem.222 SiS ska även efter anmälan av socialnämnden anvisa en enskild en plats i ett LVM-hem.223 SiS får enligt sin instruktion också utföra uppdrag åt kommuner i fråga om insatser som anknyter till verksamheten vid de särskilda ungdomshemmen och LVMhemmen.224 Även SiS omfattas av dokumentationskrav vid genomförande av insatser enligt socialtjänstlagen, LVU och LVM.225

Det kan alltså konstateras att de uppgifter som föreslås få samlas in till ett socialtjänstdataregister finns i verksamheter som bedrivs i såväl kommunal och statlig som enskild regi.

217 Se 7 kap.3 §§socialtjänstlagen. 218 Se 21 a och 23 c §§ LSS. 219 Se 3 § SOSFS 2014:5. 220 Se 17 § förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten. 221 Se 6 kap. 3 § socialtjänstlagen, 12 § LVU, 22 och 23 §§ LVM samt 2 § förordning (2007:1132) med instruktion för Statens institutionsstyrelse. 222 Se 12 § LVU. 223 Se 25 § LVM. 224 Se 3 § förordning med instruktion för Statens institutionsstyrelse. 225 Se 5 § SOSFS 2014:5.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

227

Vilka aktörer ska omfattas av uppgiftsskyldigheten till ett socialtjänstdataregister?

För att få ett fullständigt och korrekt statistiskt underlag behöver Socialstyrelsen till ett socialtjänstdataregister få in uppgifter som härrör från såväl beslutande nämnd som den som utför insatser, oavsett om det sker i kommunal eller statlig regi eller om kommunen anlitat en privat utförare. Fråga uppkommer därmed om vilka aktörer som lämpligen ska omfattas av en skyldighet att lämna uppgifter till ett socialtjänstdataregister. Här ser vi att det finns anledning att överväga två alternativ. Antingen åläggs både offentliga och privata aktörer som bedriver verksamhet inom socialtjänsten en skyldighet att lämna uppgifter till Socialstyrelsen, eller så riktas uppgiftsskyldigheten till kommunerna att lämna in uppgifter som härrör både från den egna verksamheten och från utförare i annan regi. Våra överväganden i denna fråga utvecklas i det följande.

En kommun har visserligen stor frihet att besluta att någon annan ska utföra uppgifter inom socialtjänsten, men det yttersta ansvaret för kommunens uppgifter inom socialtjänsten kan inte överlåtas. Oavsett om verksamhet bedrivs i kommunal eller enskild regi har kommunen alltså kvar det grundläggande ansvaret för uppgiften.

Socialtjänstdatautredningen behandlade i sitt betänkande frågan om hur en insamling av uppgifter från enskilda verksamheter till Socialstyrelsen kunde gå till. Utredningen ansåg att det inte skulle införas en separat uppgiftsskyldighet för privata utförare, utan att det istället skulle åligga socialnämnderna att hämta in uppgifter från enskilda aktörer och leverera dem vidare till Socialstyrelsen. Enligt utredningens mening var en sådan ordning att rekommendera framför en insamling direkt från de privata utförarna, bland annat mot bakgrund av att kommunerna annars skulle förlora överblicken över socialtjänstverksamheten.226

Socialtjänstdatautredningen ansåg att tystnadsplikten inte utgjorde hinder mot att uppgifter lämnas från privata utförare till kommunen. Det motiverades bland annat med att det yttersta ansvaret för en kommuns uppgifter inom socialtjänsten inte kan överlåtas på annan och att socialnämnden har det direkta ansvaret för att sådant som lagts ut på ett företag kontrolleras och följs upp.227

226SOU 2009:32, Socialtjänsten Integritet – Effektivitet, s. 376–378. 227SOU 2009:32, Socialtjänsten Integritet – Effektivitet, s. 378.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

228

I senare utredningar har det dock uttalats att motsvarande tystnadspliktsgräns gäller runt en privat utförare som det i sekretesshänseende finns runt en myndighet.228 Det har bland annat lyfts att om ett utlämnade är möjligt på basen av huvudmannaansvaret skulle det innebära att möjligheten att ta del av uppgifter skulle vara större i förhållande till privata utförare än vad som gäller mellan nämnder inom samma organisation, vilket ansågs svårt att förena med att tolkningen av begreppet obehörigt lämnande ska göras med utgångspunkt i sekretesslagstiftningen.229

Det finns alltså olika bedömningar i fråga om tystnadspliktens omfattning i förhållande till informationsöverföring från privata utförare till socialnämnderna. Med anledning av behovet av tydligt lagstöd för att socialnämnderna ska kunna följa upp insatser som utförs i annan regi, föreslås i promemorian Uppgiftsskyldighet för

utförare inom socialtjänsten (S2022/02856) en sekretess- och

tystnadspliktsbrytande uppgiftsskyldighet för utförare i verksamhet enligt socialtjänstlagen. Detta också särskilt mot bakgrund av det uttryckliga krav på uppföljning som Utredningen Framtidens socialtjänst föreslår ska införas i socialtjänstlagen.230 Uppgiftsskyldigheten föreslås ta sikte på uppgifter som socialnämnden behöver för kvalitetssäkring, administration, uppföljning eller utvärdering.

Även vid ett införande av en sekretess- och tystnadspliktsbrytande uppgiftsskyldighet mellan ansvarig nämnd och utförare i annan regi, är det enligt vår mening svårt att förutse och avgöra den närmare korrelationen mellan personuppgifter som kommer att omfattas av en uppgiftsskyldighet till ett socialtjänstdataregister och uppgifter som kommunen anser sig behöva från dessa utförare i sin egen verksamhet. Detta gäller särskilt icke behovsprövade insatser, men även vid eventuella framtida förordningsändringar där uppgiftskatalogen skulle kunna utvidgas i förhållande till den nu föreslagna. Det skulle alltså kunna uppstå situationer där en uppgift som behövs från en utförare i ett socialtjänstdataregister inte är en uppgift som kommunen behöver i sin uppföljning, och därmed kan anse sig förhindrad att samla in. Vidare kan konstateras att det i dagsläget inte finns något förslag på

228SOU 2014:23, Rätt information på rätt plats i rätt tid, s. 579–580 och 622 samt SOU 2017:38,

Kvalitet i välfärden – Bättre upphandling och uppföljning, s. 96.

229SOU 2017:38, Kvalitet i välfärden – Bättre upphandling och uppföljning, s. 95-96. 230SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 502.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

229

sekretessbrytande uppgiftsskyldighet för privata utförare i verksamhet enligt LSS. Dessa omständigheter talar alltså mot en ordning där uppgiftsinsamlingen från verksamhet i annan regi endast kan ske via kommunerna.

Enligt vår bedömning bör därför uppgiftsskyldigheten lämpligen inte bara rikta sig till kommunerna utan till såväl offentliga som privata aktörer som bedriver verksamhet inom socialtjänsten eller enligt LSS. En annan ordning skulle kunna uppställa omotiverade hinder mot en nödvändig uppgiftsinsamling och vidare utbyggnad av registren. Vi vill samtidigt framhålla att detta inte hindrar att kommunala nämnder ingår överenskommelser med utförare i annan regi om att nämnderna ska ansvara för uppgiftslämnandet till Socialstyrelsen, när det bedöms finnas förutsättningar för detta. Det är sannolikt att de uppgifter som nämnden behöver från utförarna inom ramen för sitt yttersta ansvar och individuella uppföljning i vart fall i stor utsträckning inkluderar de personuppgifter som behövs i ett socialtjänstdataregister. Sådana överenskommelser kan minska arbetsbördan för utförarna, samtidigt som nämndernas möjlighet till kontroll och överblick av uppgiftslämnandet kan öka.

Det kan noteras att Socialstyrelsen beträffande patientregistret har konstaterat att det, trots att det idag finns en lagstadgad skyldighet för vissa privata vårdgivare att rapportera till registret, finns ett bortfall av vårdkontakter med privata vårdgivare. Varken omfattning eller orsak är känt och bortfallet beror enligt Socialstyrelsen troligtvis på flera faktorer, som exempelvis okunskap hos de uppgiftsskyldiga, eller tekniska begränsningar för rapportering.231 Även med en författningsreglerad uppgiftsskyldighet kan bortfall vid inrapporteringen till Socialstyrelsen från privata utförare inom socialtjänsten inte uteslutas, vilket skulle kunna påverka socialtjänstdataregistrens tillförlitlighet och kvalitet. Vi anser dock att detta förhållande inte motiverar en annan utformning av regleringen av uppgiftsskyldigheten. Däremot kan det framöver uppkomma skäl att utreda frågan om åtgärder som ökar incitamenten för privata utförare att rapportera uppgifter till Socialstyrelsen. Incitamenten att rapportera in uppgifter hör även samman med uppgifternas korrekthet. Socialstyrelsen gör grundläggande kontroller av rapporterade uppgifter, men kvalitetsfrågan

231 Socialstyrelsen (2021). Uppföljning av primärvård och omställningen till en mer nära vård,

Deluppdrag I – Nationell insamling av registeruppgifter från primärvården.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

230

behöver avgöras av den aktör som lämnar uppgifterna. Vi anser att det ankommer främst på SKR och Socialstyrelsen att stödja de enskilda verksamheterna att dokumentera sina insatser på ett strukturerat och enhetligt sätt. Även vikten av kravställning i avtal kan framhållas.

11.4.2. Uppgiftsskyldigheten bör regleras i den föreslagna lagen

Vårt förslag: Det ska i lagen om socialtjänstdataregister införas

en uppgiftsskyldighet för den som bedriver verksamhet inom socialtjänsten att till Socialstyrelsen lämna de uppgifter som denne förfogar över och som behövs i ett socialtjänstdataregister.

Närmare precisering av hur uppgiftsskyldigheten ska fullgöras ska framgå av förordning och Socialstyrelsens föreskrifter.

Skälen för vårt förslag

Uppgiftsskyldigheten bör regleras i den föreslagna lagen om socialtjänstdataregister

För att möjliggöra för Socialstyrelsen att samla in de uppgifter som behövs i ett socialtjänstdataregister bedömer vi att det är nödvändigt med en ny, utvidgad, bestämmelse om uppgiftsskyldighet som bryter den sekretess och tystnadsplikt som gäller i socialtjänstens verksamheter och som tydliggör skyldigheten att lämna uppgifter till Socialstyrelsen.

Vi har tidigare redogjort för vår bedömning att behandling av personuppgifter i ett socialtjänstdataregister omfattas av grundlagsskyddet i 2 kap. 6 § andra stycket RF, och att bestämmelser som reglerar hur uppgifter får samlas in till ett sådant register därmed bör regleras i lag, se avsnitt 5.3.2. Det kan även konstateras att betungande föreskrifter som innebär skyldigheter för enskilda eller avser kommunernas åligganden måste regleras i lag.232

232 Se 8 kap. 2 § första stycket 2 och 3 RF.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

231

En bestämmelse om uppgiftsskyldighet som möjliggör för Socialstyrelsen att samla in uppgifter till ett socialtjänstdataregister kräver alltså lagform. En sådan uppgiftsskyldighet kan dock likväl regleras i annan författning än i den föreslagna lagen om socialtjänstdataregister, där nuvarande insamling sker med stöd av bestämmelser i socialtjänstlagen och LSS samt, i förhållande till SiS, förordningen om den officiella statistiken. Vi anser dock att skyldigheten att lämna uppgifter till ett socialtjänstdataregister, i likhet med regleringen för hälsodataregister, lämpligen bör regleras samlat i det föreslagna regelverket.

En bestämmelse om uppgiftsskyldighet i lag för den som bedriver verksamhet inom socialtjänsten

Vi anser att lagen om socialtjänstdataregister ska innefatta en uppgiftsskyldighet för den som bedriver verksamhet inom socialtjänsten, oavsett om verksamheten bedrivs i offentlig eller enskild regi. Uppgiftsskyldigheten omfattar alltså en socialnämnd i fråga om den socialtjänst som kommunen har ansvar för, annan kommunal nämnd i fråga om sådan verksamhet som kommunen har ansvar för enligt LSS, annan juridisk person eller enskild näringsidkare som genomför beslutade insatser, och SiS när den myndigheten bedriver verksamhet enligt socialtjänstlagen, LVU eller LVM. Det bör tydliggöras att uppdragstagare som inte omfattas av egna dokumentationskrav, inte heller omfattas av den föreslagna uppgiftsskyldigheten.233

Vi noterar att regioner svarar för insatsen rådgivning och annat personligt stöd enligt 9 § 1 LSS.234 Regionerna kan därför komma att formellt omfattas av en uppgiftsskyldighet enligt bestämmelsens ordalydelse. Personuppgifter om denna insats samlas dock inte in till det befintliga socialtjänstdataregistret över insatser enligt LSS, och det har inte heller framkommit ett behov av att idag eller framöver samla in sådana uppgifter på individnivå.

Bestämmelsen i lag bör fungera som den grundläggande uppgiftsskyldigheten för den som bedriver verksamhet inom socialtjänsten

233 Exempelvis omfattas enskilda familjehem och kontaktpersoner som avses 3 kap. 6 b § socialtjänstlagen eller 9 § 4 LSS inte av någon dokumentationsskyldighet, utan ansvaret för dokumentation under pågående insats ligger kvar hos den beslutande nämnden. 234 Se 3 § LSS.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

232

eller enligt LSS att lämna uppgifter till ett socialtjänstdataregister. Uppgiftsskyldigheten ska endast gälla i den utsträckning som uppgifterna behövs i ett socialtjänstdataregister, vilket i sin tur regleras utifrån bestämmelserna om ändamål och innehåll. Den yttre ramen för vilka uppgifter som kan bli föremål för uppgiftsskyldigheten följer alltså av lagens innehållsbestämmelse. Innehållsbestämmelsen i lagen utgör därmed en begränsning av vilka uppgifter som får samlas in och knyter även tydligt an till de tillåtna ändamålen för behandlingen. Även ett socialtjänstdataregisters särdrag som nationellt statistikregister, begränsar vilka uppgifter som kan samlas in.

Uppgiftsskyldigheten gäller vidare endast för sådana uppgifter som den som bedriver verksamhet inom socialtjänsten förfogar över. Den utökade insamlingen av personuppgifter till ett socialtjänstdataregister ska utgå från de uppgifter som redan dokumenteras i verksamheten hos beslutande nämnd och den som genomför insatsen, se kapitel 8. Avsikten med den utvidgade skyldigheten att lämna uppgifter till Socialstyrelsen är alltså inte att påföra dessa aktörer nya krav på att samla in uppgifter som inte annars behöver dokumenteras i verksamheten.

Uppgiftsskyldigheten preciseras i förordning och Socialstyrelsens föreskrifter

Den föreslagna regleringen i lag sätter alltså ramarna för skyldigheten att lämna de uppgifter till Socialstyrelsen som behövs i ett socialtjänstdataregister. Den närmare regleringen av vilka personuppgifter och kategorier av personuppgifter som får behandlas i ett socialtjänstdataregister preciseras av en uppgiftskatalog i den föreslagna förordningen. Vi anser därför att det i förordningen lämpligen ska införas en bestämmelse som knyter an skyldigheten att lämna uppgifter till den föreslagna uppgiftskatalogen.

Socialstyrelsen bör vidare få bemyndigande att meddela preciserade föreskrifter om hur uppgiftsskyldigheten ska fullgöras. Sådana föreskrifter bör sträva mot att uppnå en ändamålsenlig, effektiv och kvalitativ uppgiftsinsamling. Föreskrifterna får innehålla en precisering av vilka aktörer och vilka specifika uppgifter respektive aktör är skyldig att lämna in till Socialstyrelsen, samt hur

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

233

ofta och på vilket sätt uppgifterna ska lämnas. Socialstyrelsen bör i dessa frågor samråda med SKR.

Det ska dock åter framhållas att vårt förslag till uppgiftskatalog i förordning endast anger de personuppgifter som Socialstyrelsen ges möjlighet att behandla i ett socialtjänstdataregister. Det betyder inte att samtliga uppgifter som kan samlas in också ska samlas in. Det är upp till Socialstyrelsen att noggrant överväga vilka uppgifter som är adekvata och relevanta att samla in utifrån de nationella statistiska behoven och i ljuset av det övergripande syfte som finns med ett socialtjänstdataregister. Begränsningen av vilka uppgifter som föreslås få samlas in till ett socialtjänstdataregister har övervägts utifrån olika perspektiv, bland annat sådana praktiska omständigheter som genomförbarhet. Som vi tidigare har konstaterat kvarstår dock mycket arbete beträffande utvecklingen av objektiva och jämförbara mått samt enhetliga variabler för socialtjänstdataregistren, se avsnitt 8.2.4. En förutsättning för att uppgiftsskyldighet ska gälla för en uppgift i den föreslagna uppgiftskatalogen bör därmed vara att detta även följer av föreskrifter som har meddelats av Socialstyrelsen. Genom ett sådant förtydligande blir uppgiftsskyldigheten direkt avhängig Socialstyrelsens föreskrifter och därmed myndighetens överväganden i förhållande till vilka uppgifter som är adekvata och relevanta att samla in.

En del kategorier av uppgifter som omfattas av uppgiftsskyldighet, exempelvis om insats och aktivitet, kommer sannolikt i stor utsträckning att finnas dokumenterade både hos beslutande nämnd och utförare. Utöver möjligheten som nämnts ovan att kommuner och utförare sinsemellan kan ingå överenskommelser om att sköta inrapporteringen, bör Socialstyrelsen i så stor utsträckning som möjligt tydliggöra vem som ska lämna in vad. Det kan dock inte uteslutas att det skulle kunna inträffa att samma uppgift rapporteras in till Socialstyrelsen från olika håll. En sådan dubbelrapportering bör kunna hanteras av Socialstyrelsen inom ramen för myndighetens inledande kontroll av inlämnade uppgifter.

Som vi har redogjort för ovan inhämtar Socialstyrelsen idag även vissa uppgifter från SCB:s register över totalbefolkningen. Vi bedömer att det inte behöver införas en särskild reglering för denna insamling, utan uppgifterna bör även fortsättningsvis kunna samlas in i nuvarande ordning utifrån befintlig reglering. Sådana uppgifter

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

234

avser främst folkbokföringsort, födelseort och personnummerförändringar.

11.4.3. Något om uppgiftslämnarnas förutsättningar och behov vid en utökad uppgiftsskyldighet

Vi har tidigare konstaterat att det finns ett stort behov och en stor nytta av en utökad insamling av individbaserade uppgifter från verksamheter inom socialtjänsten till Socialstyrelsens socialtjänstdataregister. Tillgången till nationell statistik inom socialtjänsten är ett viktigt underlag för att kunna följa upp, analysera och utvärdera socialtjänstens insatser och arbetssätt. Genom att utvidga möjligheterna för Socialstyrelsen att samla in uppgifter till registren och därmed också skyldigheten för de aktörer som bedriver verksamhet inom socialtjänsten att lämna dessa uppgifter, skapas samtidigt en utökad uppgiftslämnarbörda. Uppgiftslämnarbördan kommer främst att ligga på kommunerna, men uppgifter som rör genomförandet av insatser kommer även privata utförare och SiS vara skyldiga att lämna in.

De uppgifter och kategorier av uppgifter om enskilda som omfattas av den uppgiftsskyldighet som vi föreslår är sådana som dokumenteras vid handläggningen av ärendet hos den beslutande nämnden samt vid genomförandet av insatsen. Personuppgifterna skulle därmed hämtas från den dokumentation som den beslutande nämnden och utföraren, när insatsen genomförs i annan regi, har i fråga om den vård, behandling eller omsorg som den enskilde får. En uppgiftsskyldig ska alltså inte samla in uppgifter endast i syfte att fullgöra uppgiftsskyldigheten till Socialstyrelsen, utan de ska hämtas från redan insamlade uppgifter. Uppgifter som samlas in till ett socialtjänstdataregister måste däremot vara enhetligt definierade på en tillräckligt detaljerad nivå för att informationen i uppgifterna ska vara meningsfull att använda och möjlig att systematiskt hämta in från dokumentationen i socialtjänstens verksamheter.

Uppbyggnadsfasen av socialtjänstdataregistren hör därmed samman med arbetet med strukturerad information där Socialstyrelsen har ett särskilt ansvar för att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer. Socialstyrelsen har haft i uppdrag att analysera kommunernas förutsättningar och behov inför införandet av en socialtjänstdataregisterlag. Myndigheten har

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

235

fört fram att dagens dokumentation bara delvis stödjer en utökad inrapportering, och att ett stort arbete med att utöka den strukturerade delen av dokumentationen kommer att krävas. Socialstyrelsen har även lyft att det finns tekniska utmaningar vid en utökad uppgiftsskyldighet och att det hos kommunerna finns stora behov av anpassningar av verksamhetssystem för ökad interoperabilitet.235

Den utökade insamling till Socialstyrelsen som våra förslag möjliggör kommer alltså att innebära ett merarbete för kommunerna med den omställning till strukturerad dokumentation av uppgifter och de anpassningar av verksamhetssystem som måste göras. Omfattningen av omställningsarbetet kan se olika ut för olika kommuner. Kommunernas behov av nationellt stöd, främst kopplat till tydliga definitioner av uppgifter och hur de ska struktureras, har betonats.236 Även om den största uppgiftslämnarbördan kommer att ligga på kommunerna, krävs också ett omställningsarbete av SiS och uppgiftsskyldiga privata aktörer. Även detta arbete kan vara av olika omfattning. Mot bakgrund av det omställningsarbete som kommer att krävas bedömer vi det även som troligt att en utökad uppgiftsskyldighet kommer att ske successivt och att mängden personuppgifter som kommer att behandlas i ett socialtjänstdataregister därför kommer att öka gradvis i omfattning.

Vi återkommer i kapitel 15 till vilka konsekvenser vi bedömer att våra förslag kommer att medföra för Socialstyrelsen och de uppgiftsskyldiga aktörerna.

11.5. Intresseavvägning vid införande av en sekretessbrytande uppgiftsskyldighet

Vår bedömning:

Vid en intresseavvägning mellan

Socialstyrelsens behov av att ta del av uppgifterna och det intresse som socialtjänstsekretessen avser att skydda, bedömer vi att den uppgiftsskyldighet som föreslås är motiverad och proportionerlig.

235 Socialstyrelsen (2024). Kommunernas förutsättningar och behov inför införandet av en

socialtjänstdataregisterlag.

236 Socialstyrelsen (2024). Kommunernas förutsättningar och behov inför införandet av en

socialtjänstdataregisterlag.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

236

Skälen för vår bedömning

Uppgifter om enskilds personliga förhållanden som behöver samlas in till ett socialtjänstdataregister omfattas av stark sekretess i de utlämnande myndigheternas verksamhet enligt 26 kap. 1 § OSL. Inom enskild verksamhet finns vidare motsvarande bestämmelser om tystnadsplikt.237 Dessa bestämmelser syftar till att skydda den enskildes integritet, både i förhållande till enskilda och till andra myndigheter. En utgångspunkt är därför att information som omfattas av sekretess och tystnadsplikt inte ska vidarebefordras utanför den verksamhet i vilken den hämtats in. Innan en sekretessbrytande uppgiftsskyldighet införs måste därmed alltid en intresseavvägning göras mellan behovet av att utbyta uppgifter och det intresse som sekretessbestämmelsen avser att skydda. En reglering i lag som anger att uppgifter ska lämnas bör endast införas om skälen för det är starkare än det integritetsintrång som utlämnandet innebär för den enskilde.

Det sekretesskydd som uppgifterna får hos mottagaren är av betydelse vid intresseavvägningen. När uppgifter lämnas till ett socialtjänstdataregister kommer de sekretessregler som gäller hos Socialstyrelsen att bli tillämpliga på uppgifterna. Som vi har redogjort för omfattas uppgifterna i Socialstyrelsens register av absolut sekretess enligt 24 kap. 8 § OSL. De undantag från den absoluta statistiksekretessen som finns i paragrafens tredje stycke innehåller ett omvänt skaderekvisit och motsvarar därmed socialtjänstsekretessens skyddsnivå. I den mån uppgifter som är hänförliga till en enskild lämnas ut från ett socialtjänstdataregister till andra myndigheter för statistik- och forskningsändamål omfattas de av sekretess även hos mottagarna.

Uppgifterna hos Socialstyrelsen omfattas alltså som huvudregel av bestämmelser om sekretess som har starkare skyddsnivå än socialtjänstsekretessen. En ökad spridning av personuppgifter innebär dock alltid i sig en ökad risk för otillbörligt intrång i den personliga integriteten. Det kan konstateras att det idag redan finns en sekretessbrytande skyldighet att lämna uppgifter till Socialstyrelsen i socialtjänstlagen och LSS. Den föreslagna regleringen av uppgiftsskyldighet till ett socialtjänstdataregister skulle dock innebära att personuppgifter lämnas till Socialstyrelsen i

23715 kap. 1 § socialtjänstlagen och 29 § LSS.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

237

större utsträckning än idag och medför att myndigheten utifrån uppgifterna kan få tillgång till en mer omfattande bild av den enskildes personliga förhållanden.

Det finns samtidigt ett stort samhälleligt intresse av att stärka och utveckla den kunskapsbaserade socialtjänsten genom bland annat nationell statistik. En utökad uppgiftsinsamling bedöms vara nödvändig för att uppnå detta syfte. Det finns alltså ett berättigat och konkret behov av att Socialstyrelsen ska kunna hämta in de aktuella uppgifterna till ett socialtjänstdataregister. Uppgiftsskyldighet föreslås endast i den utsträckning som ett tydligt behov av detta har identifierats, och där avidentifierade uppgifter i form av exempelvis mängdstatistik inte kan anses tillräckligt.

Uppgifterna skulle hos Socialstyrelsen inte heller i något fall användas för att vidta åtgärder som är direkt riktade mot eller får direkta effekter för enskilda individer. Som vi tidigare har redogjort för i kapitel 9 föreslås Socialstyrelsens personuppgiftsbehandling vidare omgärdas av flera författningsreglerade skydds- och säkerhetsåtgärder som syftar till att värna den personliga integriteten i verksamheten med socialtjänstdataregister.

Vid en intresseavvägning mellan Socialstyrelsens behov av att ta del av uppgifterna och det intresse som socialtjänstsekretessen avser att skydda, bedömer vi att den uppgiftsskyldighet som föreslås är motiverad och proportionerlig. I avsnittet nedan redogör vi för hur den personuppgiftsbehandling som förslaget medför förhåller sig till den dataskyddsrättsliga regleringen, som likt sekretessbestämmelserna också syftar till att skydda den personliga integriteten.

11.6. Personuppgiftsbehandling vid utökat uppgiftslämnande till ett socialtjänstdataregister

11.6.1. Dataskyddsförordningens krav

Ett utlämnande av uppgifter från myndigheter och andra aktörer till ett socialtjänstdataregister medför behandling av personuppgifter, och dataskyddsregleringen gäller alltså för utlämnandet som sådant. Som vi tidigare har redogjort för behöver all behandling av

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

238

personuppgifter vila på en rättslig grund för att vara laglig (artikel 6.1 i dataskyddsförordningen). Flera rättsliga grunder kan vara tillämpliga avseende en och samma behandling.

För behandling som är nödvändig för att fullgöra en rättslig förpliktelse (artikel 6.1 c) eller för att utföra en uppgift av allmänt intresse (artikel 6.1 e) ska grunden för behandlingen fastställas i enlighet med unionsrätten eller i medlemsstats nationella rätt (artikel 6.3 och skäl 45). Unionsrätten eller medlemsstaternas nationella rätt ska uppfylla ett mål av allmänt intresse och vara proportionell mot det legitima mål som eftersträvas.

Dataskyddsförordningen sätter även vissa gränser för behandling som sker för andra ändamål än det för vilket uppgifterna ursprungligen samlades in (finalitetsprincipen). Om en sådan vidarebehandling inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1, måste den personuppgiftsansvarige pröva om vidarebehandlingen ska anses förenlig med de ursprungliga ändamålen (se artikel 6.4).

Om en personuppgiftsbehandling är nödvändig för att fullgöra en uppgift av allmänt intresse, kan medlemsstaternas nationella rätt fastställa och närmare ange för vilka uppgifter och syften ytterligare behandling bör betraktas som förenlig och laglig. Ytterligare behandling för arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål bör betraktas som förenlig och laglig behandling av uppgifter.238 Tillåtligheten av en vidarebehandling kan alltså säkerställas genom nationell lagstiftning som reglerar när sådan vidarebehandling ska vara tillåten.239 Om behandlingen grundar sig på unionsrätten eller på medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd i ett demokratiskt samhälle i syfte att säkerställa i synnerhet viktiga mål av allmänt intresse, bör den personuppgiftsansvarige tillåtas att behandla personuppgifterna ytterligare, oavsett om detta är förenligt med ändamålen eller inte.240Dataskyddsförordningen ger alltså utrymme för att i nationell rätt införa reglering som även ger stöd för sådan vidarebehandling som

238 Skäl 50 första stycket. 239 Jfr artikel 6.3 andra stycket. 240 Skäl 50 andra stycket.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

239

är oförenlig med de ursprungliga ändamålen. Dock måste sådan lagstiftning vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda de mål som avses i artikel 23.1.241

Om det i lag eller förordning finns en sekretessbrytande bestämmelse som reglerar att en myndighet ska eller får lämna ut personuppgifter, till exempel en uppgiftsskyldighet, innebär det att någon särskild prövning av om utlämnandet är förenligt med det ursprungliga ändamålet inte behöver göras.242

11.6.2. Personuppgiftsbehandling hos de utlämnande aktörerna

Vår bedömning: De utlämnande aktörerna kommer att ha ett

tydligt rättsligt stöd för den personuppgiftsbehandling som uppgiftsskyldigheten medför. Uppgiftsskyldigheten är en nödvändig och proportionerlig åtgärd i förhållande till syftet med uppgiftsinsamlingen.

Några ändringar eller förtydliganden i den registerförfattning som uppgiftslämnarna omfattas av krävs inte vid införandet av den föreslagna utvidgade uppgiftsskyldigheten.

Skälen för vår bedömning

Kravet på rättslig grund och proportionalitet

En författningsreglerad uppgiftsskyldighet utgör en sådan rättslig förpliktelse som enligt artikel 6.1 c och 6.3 är fastställd i rättsordningen.243 De utlämnande aktörerna ges genom den sekretessbrytande bestämmelsen om uppgiftsskyldighet därmed en tydlig rättslig grund för behandlingen. Kravet på att syftet med

241 Jfr artikel 6.4. 242 Se prop. 2023/24:85, En ny lag om uppgiftsskyldighet för att motverka felaktiga utbetalningar

från välfärdssystemen samt fusk, regelöverträdelser och brottslighet i arbetslivet, s. 24. Se även

prop. 2017/18:95, Anpassningar av vissa författningar inom skatt, tull och exekution till EU:s

dataskyddsförordning, s. 47–48 och HFD 2021 ref. 10.

243 Jfr bland annat prop. 2020/21:124, Transportstyrelsens olycksdatabas, s. 47 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 156.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

240

behandlingen ska fastställas i den rättsliga grunden anser vi är tillgodosett med den föreslagna regleringen. Att syftet ska fastställas i den rättsliga grunden innebär ett krav på att det ska vara möjligt för såväl den personuppgiftsansvarige som den registrerade att förstå varför behandlingen av personuppgifter ska utföras.244

Den personuppgiftsbehandling som uppgiftsskyldigheten ger upphov till kan dessutom anses nödvändig för att utföra en uppgift av allmänt intresse. Socialstyrelsen behöver uppgifterna för att kunna utföra sina författningsreglerade uppgifter att framställa nationell statistik och underlag för analys inom socialtjänstens område. Det finns därmed även en rättslig grund för behandlingen hos uppgiftslämnarna enligt artikel 6.1 e.

De utlämnande aktörerna kommer alltså att ha stöd för den vidareanvändning av personuppgifter som uppgiftsskyldigheten medför eftersom skyldigheten följer av en bestämmelse i nationell rätt. Uppgiftsskyldigheten bedöms vara en nödvändig och proportionell åtgärd i ett demokratiskt samhälle för att skydda viktiga mål av allmänt intresse.245 Som vi har redovisat ovan och i flera tidigare kapitel finns stora behov av en utökad insamling av personuppgifter till Socialstyrelsen för att säkerställa ett kunskapsunderlag med hög kvalitet ägnat att stärka och utveckla socialtjänsten. Riskerna för intrång i den enskildes personliga integritet anser vi inte är för långtgående i förhållande till syftet med och behovet av uppgiftsinsamlingen. Det kan dessutom konstateras att behandlingen av personuppgifterna hos Socialstyrelsen främst kommer att ske för ändamål som i regel är förenliga med finalitetsprincipen, nämligen statistiska ändamål och forskningsändamål.246

I avsnitt 8.3.3 har vi redogjort för våra överväganden i fråga om behandling av känsliga personuppgifter i ett socialtjänstdataregister. Mot bakgrund av behovet av att tillföra sådana uppgifter till registren anser vi att den behandling av känsliga personuppgifter som uppgiftslämnande till registren innebär får anses nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g.

244 Jfr prop. 2017/18:105, Ny dataskyddslag, s. 54. 245 Jfr artikel 6.4, 23.1 e och skäl 50. Socialtjänst inklusive den administration sådan verksamhet kräver betraktas som ett sådant viktigt mål av allmänt intresse som avses i artikel 23.1 e, se bland annat SOU 2017:66, Dataskydd inom Socialdepartementets verksamhetsområde – En

anpassning till EU:s dataskyddsförordning, s. 398.

246 Jfr artikel 5.1 b och skäl 50.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

241

När Socialstyrelsen väl har hämtat in uppgifterna till ett socialtjänstdataregister måste det, trots den sekretessbrytande uppgiftsskyldigheten, finnas en tillämplig rättslig grund, vilken närmare preciseras i den föreslagna lagen om socialtjänstdataregister. Vidare måste de grundläggande principerna om behandling följas, liksom övriga bestämmelser i dataskyddsförordningen. Den föreslagna regleringen av uppgiftsskyldighet innehåller villkor om att uppgiftsskyldigheten endast gäller i den utsträckning uppgifterna behövs i ett socialtjänstdataregister, vilket i sin tur regleras utifrån bestämmelserna om ett socialtjänstdataregisters särdrag och syfte, ändamål och innehåll. Dessutom kommer behandlingen av uppgifterna hos Socialstyrelsen att omgärdas av såväl tekniska som organisatoriska säkerhetsåtgärder. Utöver detta kommer som ovan nämnts sekretesskyddet hos Socialstyrelsen att vara mycket starkt efter utlämnandet av uppgifterna.

I kapitel 13 redogör vi närmare och samlat för vår integritets- och proportionalitetsbedömning av våra förslag, i förhållande till såväl dataskyddsregleringen som regeringsformen och internationella rättsakter.

Personuppgiftsbehandling inom socialtjänstens verksamheter

Vid införandet av en uppgiftsskyldighet behöver det även beaktas om det kan finnas begränsningar i särskilda registerförfattningar som uppgiftslämnarna omfattas av, som kan utgöra ett hinder för ett utlämnande. Lagen (2001:454) om behandling av personuppgifter inom socialtjänsten, SoLPuL, är den registerförfattning som särskilt reglerar behandling av personuppgifter inom socialtjänstens verksamheter och omfattar såväl kommunala myndigheter och SiS som privata utförare.

I 6 § SoLPuL regleras när behandling av personuppgifter är tillåten, och av paragrafens andra stycke följer att personuppgifter får behandlas för uppgiftsutlämnande som föreskrivs i lag eller förordning. Ett sådant lagstöd föreslås med den aktuella uppgiftsskyldigheten. Som vi beskriver ovan avser den utökade insamlingen av personuppgifter till ett socialtjänstdataregister uppgifter som redan dokumenteras i verksamheten hos beslutande nämnd och utförare. Att personuppgifter som behandlats för

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

242

dokumentation hos beslutande nämnd och utförare också får behandlas vid fullgörande av den förslagna uppgiftsskyldigheten ryms alltså inom tillåtna ändamål i SoLPuL.

Förutom den rätt att behandla personuppgifter som följer redan av bestämmelsen om uppgiftsskyldighet och 6 § SoLPuL, finns det stöd för behandlingen i förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten, SoLPuF. Att ta fram och lämna uppgifterna som omfattas av uppgiftsskyldigheten till Socialstyrelsen är enligt vår bedömning administration och har stöd i 7 § 4 SoLPuF för SiS, 12 § 10 SoLPuF för kommunala myndigheter respektive 18 § SoLPuF för privata utförare. Några ändringar eller förtydliganden i den registerförfattning som uppgiftslämnarna omfattas av krävs inte vid införandet av den föreslagna utvidgade uppgiftsskyldigheten.

11.7. Förhållandet till annan reglering om uppgiftsskyldighet

11.7.1. Bestämmelser om uppgiftsskyldighet i lagen och förordningen om den officiella statistiken

I avsnitt 6.4.2 redogör vi för vår bedömning att en ny lag om socialtjänstdataregister kommer att gälla före lagen om den officiella statistiken i de fall lagarna reglerar samma sak. Som vi har redogjort för ovan framgår vidare av förarbeten till den tidigare statistiklagen att de uppgifter som inte kan hämtas in genom statliga register eller med uppgiftsskyldighet i annan lag, men som behövs för den officiella statistiken, omfattas av uppgiftsskyldighet enligt lagen om den officiella statistiken. Den nu föreslagna bestämmelsen utgör alltså en sådan uppgiftsskyldighet i annan lag som i första hand ska tillämpas vid insamling av uppgifter till Socialstyrelsens statistikregister.

Ds 2024:13 Skyldighet att lämna uppgifter till ett socialtjänstdataregister

243

11.7.2. Bestämmelser om uppgiftsskyldighet i socialtjänstlagen och LSS

Vårt förslag:

De nuvarande bestämmelserna om

uppgiftsskyldighet i 15 a § lagen (1993:387) om stöd och service till vissa funktionshindrade och 12 kap. 5 § socialtjänstlagen (2001:453) ska upphöra att gälla och de till dessa bestämmelser anslutande förordningarna upphävas.

Skälen för vårt förslag

När uppgiftsskyldigheten till Socialstyrelsen nu föreslås regleras i det samlade regelverket för socialtjänstdataregister behöver förhållandet till nuvarande bestämmelser om uppgiftsskyldighet i socialtjänstlagen och LSS närmare behandlas.

Bestämmelsen om uppgiftsskyldighet i 12 kap. 5 § socialtjänstlagen tar sikte på angelägna statistiska ändamål, och gäller endast socialnämndernas utlämnande av individrelaterade uppgifter till Socialstyrelsen enligt vad regeringen närmare föreskriver. I förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter anges i 2 § vilka uppgifter om enskilda som omfattas av uppgiftsskyldigheten. Dessa uppgifter täcks av den föreslagna uppgiftskatalogen i förordningen om socialtjänstdataregister. I 3 § föreskrivs vidare att socialnämnderna till Socialstyrelsen även ska lämna andra personuppgifter än som avses i 2 §, när uppgifterna begärs för en särskild statistisk undersökning som syftar till att tillgodose angelägna samhällsbehov.

Såvitt vi har kunnat utröna kommer det inte att finnas något behov för Socialstyrelsen att samla in ytterligare individuppgifter från socialnämnderna för angelägna statistiska ändamål utöver den insamling till socialtjänstdataregistren som möjliggörs genom det föreslagna regelverket. Med den nya föreslagna bestämmelsen om uppgiftsskyldighet ser vi alltså inte något konkret kvarvarande tillämpningsområde för bestämmelsen i 12 kap. 5 § socialtjänstlagen och förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter. Vi föreslår därför att den bestämmelsen inte ska föras över till den nya socialtjänstlagen och att förordningen ska upphävas.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister Ds 2024:13

244

Bestämmelsen om uppgiftsskyldighet i 15 a § LSS reglerar uttryckligen kommunernas utlämnanden av personuppgifter till Socialstyrelsen för framställning av officiell statistik, där regeringen meddelar föreskrifter om vilka uppgifter som ska lämnas ut. Denna uppgiftsskyldighet infördes för att kunna säkerställa kommunvisa beräkningar utifrån utjämningsbidrag.247 Även de uppgifter som ska lämnas till Socialstyrelsen enligt förordningen om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade kan samlas in utifrån den uppgiftsskyldighet som vi föreslår. Eftersom vi föreslår att skyldigheten för kommunerna att lämna personuppgifter till Socialstyrelsen för framställning av officiell statistik ska regleras i det samlade regelverket för socialtjänstdataregister, anser vi att bestämmelsen i 15 a § LSS med tillhörande förordning bör upphävas. I kapitel 14 redogörs för föreslagna övergångsbestämmelser.

247Prop. 2002/03:151, Utjämning av vissa kostnader för stöd och service till funktionshindrade, s. 28–30.

245

12. Kommunernas tillgång till lämnade uppgifter

12.1. Inledning

En ny lag om socialtjänstdataregister har som mål att förbättra den nationella statistiken och ge en bättre bild av socialtjänsten i stort. Det övergripande syftet med ett socialtjänstdataregister är dock att utveckla och förbättra socialtjänsten. Om ett socialtjänstdataregister också kan bidra till att socialtjänsten i varje kommun ges bättre förutsättningar att arbeta förebyggande och kunskapsbaserat inom ramen för sin verksamhet bör därför en sådan möjlighet övervägas.

I detta kapitel redogör vi för resultatet av vår utredning och våra överväganden om kommunernas behov av elektronisk åtkomst till sina egna uppgifter i ett socialtjänstdataregister. Vi redovisar också vårt ställningstagande om kommunerna ska ges rätt till sådan elektronisk åtkomst i den föreslagna lagen.

12.2. Avgränsning av uppdraget

Vårt uppdrag är att analysera och ta ställning till om kommunerna ska ges elektronisk åtkomst till de uppgifter som de själva har lämnat till ett socialtjänstdataregister. Uppdraget är begränsat till om en kommun ska ges elektronisk åtkomst till de uppgifter på individnivå som den kommunen själv har rapporterat in till Socialstyrelsen. Mot bakgrund av vad som kommit fram under utredningens gång vill vi understryka att överväganden och förslag som innebär att kommunerna även ska få tillgång till andra kommuners uppgifter i ett socialtjänstdataregister ligger utanför vårt uppdrag. Detta gäller oavsett om tillgången till dessa uppgifter sker på aggregerad nivå eller på individnivå.

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

246

En utgångspunkt för uppdraget är att kommunerna ska ges

elektronisk åtkomst till sina egna uppgifter. Vad som avses med

elektronisk åtkomst är inte helt tydligt eftersom begreppet används på olika sätt i olika författningar.248 Vi har valt att tolka begreppet i betydelsen direktåtkomst, det vill säga att kommunerna i första hand ska kunna bereda sig åtkomst till uppgifter i ett socialtjänstdataregister på eget initiativ utan någon föregående prövning av Socialstyrelsen, se avsnitt 9.4.2. Detta utesluter inte att även annan form av elektroniskt utlämnande skulle kunna vara tillräcklig, under förutsättning att utlämnandet sker snabbt och billigt för kommunerna.

12.3. Grundläggande förutsättningar för elektronisk åtkomst

12.3.1. Dataskyddsförordningen

En informationsöverföring genom någon form av utlämnande av uppgifter mellan Socialstyrelsen och kommunerna utgör behandling av personuppgifter i dataskyddsförordningens mening och det krävs därför att de grundläggande förutsättningarna för behandlingen är uppfyllda, se avsnitt 4.3.2 och 4.3.3. Även om dataskyddsförordningen tillåter en medlemsstat att i den nationella rätten begränsa myndigheters möjlighet att lämna ut personuppgifter elektroniskt (jfr artikel 6.3) finns det inga bestämmelser som särskilt reglerar formen eller tekniken för utlämnande av personuppgifter. Dataskyddsförordningen ställer däremot upp krav på bland annat uppgiftsminimering (artikel 5.1 c) samt lämpliga tekniska och organisatoriska åtgärder (artiklarna 25 och 32); krav som i sig kan påverka och motivera valet av en teknisk lösning framför en annan vid ett elektroniskt utlämnande, se avsnitt 9.4.

Vid en myndighets bedömning av vilken teknisk lösning som är lämplig för ett elektroniskt utlämnande behöver en avvägning göras mellan de skäl som talar för den valda lösningen och de integritetsskäl som talar mot denna. En avvägning av detta slag

248 I patientdatalagen (2008:355) beskrivs elektronisk åtkomst uteslutande som ett sätt att få tillgång till uppgifter inom en organisation medan begreppet i lagen (2018:1212) om nationell läkemedelslista istället används som ett samlingsnamn för olika former av direktåtkomst.

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

247

behöver göras oavsett formen för det elektroniska utlämnandet men blir särskilt viktig i förhållande till de mer integritetskänsliga formerna för utlämnande, exempelvis direktåtkomst. Samma avvägning behöver också göras vid införandet av en reglering om elektronisk åtkomst. Vid avvägningen ska även de åtgärder som kan vidtas för att skydda den personliga integriteten beaktas. Detta kan till exempel vara att begränsa vilka typer av uppgifter som får lämnas ut eller för vilka ändamål.

12.3.2. Sekretess vid elektronisk åtkomst

Uppgifter om enskilds personliga och ekonomiska förhållanden i ett socialtjänstdataregister omfattas som huvudregel av absolut sekretess enligt 24 kap. 8 § OSL. Det innebär att det antingen krävs ett undantag från sekretessen eller en sekretessbrytande bestämmelse för att personuppgifter ska kunna lämnas ut, se avsnitt 7.5. Det finns inte någon sekretessbrytande bestämmelse som idag gör det möjligt för Socialstyrelsen att lämna ut personuppgifter i ett socialtjänstdataregister till kommunerna. Inte heller de undantag som finns från sekretessen möjliggör för kommunerna att få tillgång till sina egna uppgifter på individnivå för det ändamål som avses med behandlingen, se vidare under avsnitt 12.6.2. Redan bestämmelserna om sekretess ställer därmed upp hinder mot ett sådant elektroniskt utlämnande som nu är aktuellt. Innan en sekretessbrytande bestämmelse eller ett undantag från sekretessen införs måste en intresseavvägning göras mellan kommunernas behov av att få uppgifter från Socialstyrelsens socialtjänstdataregister och det intresse som den aktuella sekretessen avser att skydda.

När en sekretessreglerad uppgift lämnas från en myndighet till en annan är huvudregeln att sekretessen inte följer med uppgiften. Vid direktåtkomst finns däremot särskilda bestämmelser om överföring av sekretess som innebär att om en myndighet har direktåtkomst till uppgifter hos en annan myndighet och dessa uppgifter är sekretessreglerade, blir samma sekretess tillämplig även hos den mottagande myndigheten. Detta gäller dock under förutsättning att det inte redan finns en primär sekretess som skyddar samma intresse

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

248

hos den mottagande myndigheten.249 Om den primära sekretessen är starkare eller svagare än den sekundära sekretessen saknar betydelse.

Inom socialtjänsten gäller sekretess för uppgift om en enskilds personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till denne lider men (26 kap. 1 § OSL).250 Den primära socialtjänstsekretessen i 26 kap. 1 § OSL skulle alltså bli tillämplig istället för statistiksekretessen i 24 kap. 8 § OSL för uppgifterna vid ett elektroniskt utlämnande, oavsett formen för utlämnandet. Att notera är därmed att sekretesskyddet skulle bli svagare, om än fortfarande starkt.

12.4. Kommunernas behov av tillgång till lämnade uppgifter

12.4.1. Ett ursprungligt önskemål från Sveriges Kommuner och Regioner

Önskemålet om att kommunerna ska få elektronisk åtkomst till de egna uppgifterna kommer ursprungligen från SKR. I sitt remissyttrande till Utredningen Framtidens socialtjänsts betänkande framhåller SKR att elektronisk åtkomst till de egna uppgifterna skulle stärka kommunernas möjlighet att bedriva ett effektivt förbättringsarbete lokalt och därmed även förutsättningarna för socialtjänsten att bedriva verksamhet i överensstämmelse med vetenskap och beprövad erfarenhet samt att systematiskt följa upp sina insatser. SKR understryker att det finns en uppenbar risk att lokal data inte kommer att kunna användas effektivt av kommunerna om den omfattas av absolut sekretess hos Socialstyrelsen. I samma remissyttrande uttalar SKR att det i ett nästa steg krävs att socialtjänsten får samma möjligheter som hälso- och sjukvården att arbeta kunskapsbaserat och att socialtjänsten därför bör utrustas med samma verktyg som hälso- och sjukvården för lokalt förbättringsarbete samt regionala och nationella jämförelsetal, till exempel regionala och nationella kvalitetsregister.

249 Se 11 kap. 4 och 8 §§ OSL. 250 Med socialtjänst i sekretesshänseende jämställs verksamhet enligt LSS, se 26 kap. 1 § fjärde stycket OSL.

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

249

SKR har efter detta förtydligat att kommunernas behov av elektronisk åtkomst främst handlar om åtkomst till avidentifierad och aggregerad data som inrapporteras av alla kommuner för att kunna jämföra sin verksamhet med andra kommuner, det nationella snittet och för att kunna korsköra data. Det är inte rimligt att kommunerna ska behöva invänta långa ställtider för Socialstyrelsen att ta fram och sammanställa data, eller vänta på årsrapporter som redan hunnit bli inaktuella. Helst ska kommunerna därför ha så stor direkt åtkomst till aggregerad data i realtid som möjligt. SKR har även gett uttryck för att det finns ett visst behov hos kommunerna av att få tillgång till den rådata som de själva har rapporterat in till Socialstyrelsen. Vad det behovet grundar sig i är dock inte helt klarlagt men verkar främst bero på brister i kommunernas egna verksamhetssystem.

12.4.2. Vidare utredning av kommunernas behov

Med anledning av att SKR i sitt förtydligande har framhållit att kommunernas behov främst handlar om åtkomst till avidentifierad och aggregerad data som inrapporteras av samtliga kommuner, har vi även vänt oss direkt till ett urval av kommuner i syfte att utreda vilket behov kommunerna ser av tillgång till sina egna inrapporterade uppgifter specifikt, se närmare under avsnitt 2.2.

De svar vi har fått från kommunerna har generellt sett varit splittrade. Svaren har även varierat i detaljeringsgrad där vissa kommuner uttryckt att det finns ett behov av tillgång till egna uppgifter utan att närmare motivera den nytta som en sådan tillgång skulle innebära, medan andra mer utförligt redogjort för den nytta och de förväntningar som finns med en elektronisk åtkomst. I flera fall har dock kommunerna uttryckt att det är svårt att redogöra närmare för nyttan utan mer kunskap om hur den elektroniska åtkomsten skulle utformas. Trots den variation i svarsomfång och utförlighet som finns har de fördelar med en elektronisk åtkomst som en övervägande del av kommunerna fört fram varit relativt samstämmiga. I det följande beskriver vi de huvudsakliga inspel som vi har fått från kommunerna.

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

250

12.4.3. Sammanställning av kommunernas behov

Ett fåtal kommuner ser liten eller ingen nytta med tillgång till sina egna uppgifter

De svar vi har fått från kommunerna har inte varit entydiga på så vis att samtliga tillfrågade kommuner ser ett behov av tillgång till egna uppgifter i ett socialtjänstdataregister. Ett fåtal av de tillfrågade kommunerna ser liten nytta med tillgång till de egna uppgifterna eller ingen nytta alls. Motiveringen till detta har varit att uppgifterna redan finns tillgängliga inom kommunen för lokal uppföljning och att en tillgång till samma uppgifter i ett socialtjänstdataregister därför inte skulle ge något mervärde. Några av dessa kommuner har även uttryckt att den nytta som ett nationellt socialtjänstdataregister tillför verksamheten ligger på ett annat plan och att behovet främst handlar om kommunöverskridande aggregerad data.

Identifierad nytta med elektronisk åtkomst till de egna uppgifterna

Utöver de ovan nämnda kommunerna får det förstås som att övriga tillfrågade kommuner anser att det finns ett önskemål om att få elektronisk åtkomst till sina egna inrapporterade uppgifter. Även om motiveringen till det mervärde som en sådan tillgång skulle medföra för verksamheter inom socialtjänsten har varierat i detaljeringsgrad kan de huvudsakliga skälen till önskemålet i princip sammanfattas i tre punkter. För det första är det bra att ha uppgifterna digitalt samlade på ett ställe, något som gör informationen lättillgänglig och överblickbar. För det andra är de inrapporterade uppgifterna samstämmiga och enhetliga vilket gör dem jämförbara både internt och mellan kommuner. Slutligen innebär uppgifternas enhetlighet och den regelbundna rapporteringen att uppgifterna också är jämförbara över tid. Samtliga kommuner använder vid sin inrapportering till Socialstyrelsen samma variabler och samma sätt att ta fram uppgifter på över tid. Hos kommunerna kan de interna statistikuttagen och den data som tas fram variera och påverkas av till exempel byte av verksamhetssystem och personalomsättning. Den data som lämnas till Socialstyrelsen är dock alltid densamma.

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

251

Ytterligare en fördel som har lyfts fram av flera kommuner är den minskade administrativa börda som elektronisk åtkomst till uppgifterna hos Socialstyrelsen skulle innebära. Kommunerna skulle spara både tid och administration till skillnad från om kommunerna själva skulle behöva ta fram motsvarande uppgifter. Ett antal kommuner har i sammanhanget uttryckt att det visserligen är möjligt att ta fram uppgifterna på egen hand men att det kräver både resurser och kompetens, något som inte alla kommuner har.

Kommunernas förväntningar på en elektronisk åtkomst varierar

Kommunernas svar har i övrigt inte varit enhetliga och kommunerna har även olika förväntningar kring vad en elektronisk åtkomst till de egna rapporterade uppgifterna faktiskt skulle innebära. Vissa kommuner förväntar sig att en naturlig följd av den elektroniska åtkomsten skulle vara att de sekretessgränser som idag råder mellan olika nämnder inom samma kommun skulle brytas och att uppgifter därmed skulle gå att dela med fler. En del kommuner förutsätter vidare att en elektronisk åtkomst skulle innebära att kommunerna får tillgång till uppgifter som går långt tillbaka i tiden, även efter den tid då uppgifterna har gallrats hos kommunerna själva. Ett stort antal kommuner ser också den elektroniska åtkomsten som ett första steg mot en integrering av Socialstyrelsens system med kommunernas och därmed som ett första steg mot kvalitetsregister. Ett flertal kommuner har särskilt lyft att det även finns ett önskemål om tillgång till andra kommuners uppgifter.

Vissa skillnader förekommer även mellan kommunerna beroende på kommunstorlek. Många mindre och mellanstora kommuner anser att den största nyttan med en eventuell elektronisk åtkomst är att uppgifterna finns samlade på ett ställe. Några av dessa kommuner har påtalat att de saknar resurser och personal inom kvalitetsutveckling. Att ha uppgifterna samlade på ett ställe hos Socialstyrelsen är därför en förutsättning för att dessa kommuner ska kunna ta tillvara den data som rapporteras in. Samtidigt påtalar en del kommuner att den nytta som tillgången till uppgifterna innebär är beroende av hur uppgifterna kommer att tillhandahållas eller presenteras eftersom det i många fall saknas kompetens att hantera uppgifter i ett obearbetat format. Många kommuner menar

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

252

därför att nyttan är avhängig att Socialstyrelsen sammanställer uppgifterna eller att den elektroniska åtkomsten också innefattar en tjänst som tillhandahåller verktyg för att bearbeta data till önskat underlag. Något större kommuner efterfrågar istället grunddata på individnivå som varken är filtrerad, aggregerad eller kategoriserad för att själva kunna plocka ut data efter de behov som finns i verksamheten.

12.5. Risker för den personliga integriteten

12.5.1. Ett utlämnande innebär i regel ökade risker för den personliga integriteten

Personuppgifter i ett socialtjänstdataregister är av mycket integritetskänslig karaktär och består i stora delar också av känsliga personuppgifter. Det finns därför ett särskilt starkt intresse av att skydda den personliga integriteten. Utöver att uppgiftssamlingen i sig innebär en stor risk för den personliga integriteten, kan ett utlämnande av uppgifter genom elektroniskt utlämnande innebära ytterligare risker. Genom ett utlämnande blir den krets av personer som får del av uppgifterna större och risken för att obehöriga tar del av uppgifterna eller att uppgifterna används på ett otillbörligt sätt ökar. För att det ska vara motiverat att införa någon form av elektronisk åtkomst måste därför kommunernas behov av behandling av personuppgifter väga tyngre än de registrerades intresse av skydd för den personliga integriteten. Detta förutsätter även att ändamålet inte kan uppnås genom en mindre ingripande åtgärd (jfr skäl 39 i dataskyddsförordningen).

12.5.2. Risker ur ett sekretessperspektiv

Ett utlämnande av uppgifter från Socialstyrelsen till kommunerna blir oundvikligen ett nytt utlämnande trots att det rör sig om samma uppgifter som kommunerna i ett tidigare skede har lämnat till Socialstyrelsen. Ur ett sekretesshänseende innebär det att sekretesskyddet för uppgifterna förändras beroende på om uppgifterna finns inom Socialstyrelsens särskilda

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

253

statistikverksamhet eller hos kommunerna. Både statistiksekretessen och socialtjänstsekretessen avser att skydda enskilds personliga förhållanden och därmed den enskildes integritet. Medan statistiksekretessen är absolut har socialtjänststatistiken ett omvänt skaderekvisit.

Att uppgifterna behöver omfattas av absolut sekretess inom den särskilda statistikverksamheten hänger samman med bibehållandet av kvaliteten för den statistik som tas fram och förtroendet för den vidarebehandling som sker inom ramen för Socialstyrelsens statistikverksamhet.251 Personuppgifterna i fråga kommer dock ursprungligen från socialtjänstens verksamheter. Samma uppgifter behandlas alltså redan inom ramen för socialtjänstens ärendehantering och anses där omfattas av ett fullgott sekretesskydd genom socialtjänstsekretessens omvända skaderekvisit. Under förutsättning att uppgifterna återgår i det format som de har lämnats borde därför ett utlämnande av personuppgifter från Socialstyrelsen till kommunerna i princip inte innebära några egentliga risker i fråga om det skydd för den personliga integriteten som sekretessen avser att skydda.252

Under utredningens gång har det dock framkommit att de uppgifter som rapporteras in till Socialstyrelsen i vissa fall sammanställs från fler än en kommunal nämnd. I en kommunal nämndorganisation är varje nämnd med underlydande förvaltning en myndighet i sekretesshänseende.253 Eftersom sekretess för en uppgift både gäller gentemot enskilda och andra myndigheter254innebär det att sekretess även gäller mellan olika kommunala nämnder inom samma kommun. Att det finns variationer i hur en kommun har valt att organisera sin socialtjänst innebär alltså att det också finns en risk för att sekretessbelagda uppgifter röjs mellan olika kommunala nämnder vid en elektronisk åtkomst. För att en elektronisk åtkomst för kommunerna ska kunna motiveras ur ett sekretesshänseende är det därför nödvändigt att säkerställa att något röjande av sekretessbelagda uppgifter inte kommer att kunna ske.

251 Jfr prop. 1979/80:2 del A, med förslag till sekretesslag m.m., s. 262. 252 Jfr även prop. 2007/08:126, Patientdatalag m.m., s 273 där regeringen, i fråga om undantaget från sekretess gällande dödsorsaksregistret, uttryckte att Socialstyrelsens sekretessprövning många gånger torde utmynna i bedömningen att de aktuella uppgifterna kan lämnas ut med tanke på att uppgifterna hos mottagarna skulle komma att omfattas av hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL. 253 Jfr SOU 2003:99 Del 2, Ny sekretesslag, s. 239. 254 Se 8 kap. 1 § OSL.

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

254

12.5.3. Risker ur ett dataskyddsperspektiv

Enligt principen om uppgiftsminimering ska de personuppgifter som behandlas vara adekvata, relevanta och inte för omfattande i förhållande till de ändamål för vilka de behandlas (artikel 5.1 c i dataskyddsförordningen). Av detta följer att personuppgifter inte heller får ges en vidare spridning än vad som är nödvändigt för ändamålet med behandlingen. Ett utlämnande av uppgifter från Socialstyrelsen till kommunerna innebär en vidarebehandling av de uppgifter som finns i ett socialtjänstdataregister. Eftersom det är fråga om uppgifter som kommunerna i ett tidigare skede har rapporterat in till Socialstyrelsen går det dock att ifrågasätta om det är en spridning av uppgifter i egentlig mening. Under förutsättning att uppgifterna också finns i kommunernas verksamhet är ett sådant resonemang tveksamt.

Skulle det däremot vara fråga om personuppgifter i ett socialtjänstdataregister som är unika i förhållande till de uppgifter som redan finns i kommunernas verksamhet är det däremot nödvändigtvis fråga om en spridning och därmed en betydligt högre risk för integritetsintrång. En omständighet som skulle kunna göra personuppgifter i ett socialtjänstdataregister unika i förhållande till de uppgifter som finns i kommunernas verksamhet är om en kommun får tillgång till personuppgifter i ett socialtjänstdataregister vars motsvarighet i den egna verksamheten har gallrats. Som vi har beskrivit i avsnitt 10.3.2 motiveras de gallringsbestämmelser som tillämpas inom socialtjänsten av integritetshänsyn och tanken vid utformandet av bestämmelserna var bland annat att den enskildes integritet skulle stärkas om socialtjänsten inte hade möjlighet att använda inaktuella uppgifter om den enskilde i nya ärenden.255 En elektronisk åtkomst som möjliggör att även gallrade personuppgifter återgår till kommunerna innebär därför en risk för den personliga integriteten som behöver beaktas.

Ytterligare en följd av ett utlämnande är att fler personer inom kommunernas organisation får tillgång till uppgifterna eftersom dessa uppgifter kommer att behandlas för ett annat ändamål än ärendehantering. Detta kommer givetvis att variera beroende på kommunens storlek och organisation i övrigt. Skillnaden mot den

255 Jfr Ds 2023:15, Fler verktyg i socialtjänsternas arbete för att förebygga brott och stärka skyddet

för barn, s. 243.

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

255

behandling som redan idag torde ske hos kommunerna, där uppgifter från ärendehanteringen nödvändigtvis måste ligga till grund för verksamhetens kvalitetsutveckling, bör dock inte vara betydande.

Förutsatt att de tekniska och organisatoriska åtgärderna som omgärdar det elektroniska utlämnandet i sig tillförsäkrar ett tillräckligt skydd för den personliga integriteten är riskerna ur ett dataskyddsperspektiv alltså beroende av de integritetsstärkande åtgärder som vidtas.

12.6. Några utgångspunkter för våra överväganden

12.6.1. Ändamålet med elektronisk åtkomst till uppgifter i ett socialtjänstdataregister

Vår bedömning: Det huvudsakliga ändamålet med en elektronisk

åtkomst för kommunerna till de uppgifter som lämnats till ett socialtjänstdataregister är att bidra till utvecklingen av kommunernas verksamhetsuppföljning och kvalitetssäkring. Detta ligger även i linje med utvecklingen av en mer kunskapsbaserad socialtjänst.

Skälen för vår bedömning

För att kunna göra en balanserad bedömning av kommunernas behov av tillgång till sina egna uppgifter i relation till de risker som finns för den personliga integriteten är det av särskild vikt att klargöra det ändamål som ligger till grund för kommunernas behov, det vill säga vad kommunerna avser att uppnå med tillgången till sina egna uppgifter i ett socialtjänstdataregister.

Formuleringen av vårt uppdrag, samt de svar och klargöranden som vi har fått från kommunerna och SKR, visar tydligt på att det huvudsakliga skälet till kommunernas behov av tillgång till sina egna uppgifter i ett socialtjänstdataregister är att en sådan åtkomst förutsätts underlätta och effektivisera kommunernas verksamhetsuppföljning och kvalitetssäkring. Att utveckla den lokala

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

256

uppföljningen inom socialtjänsten utgör en viktig grundsten i arbetet mot en mer kunskapsbaserad socialtjänst, se avsnitt 3.2.3. Likaså kan en effektiv användning av data vid verksamhetsuppföljning och kvalitetssäkring bidra till en verksamhet i linje med kravet på vetenskap och beprövad erfarenhet. Detta är något som i förlängningen också innebär att enskilda erbjuds bättre stöd och hjälp i sina kontakter med socialtjänsten.

Enligt vår bedömning bör alltså det huvudsakliga ändamålet till kommunernas behov av elektronisk åtkomst till sina egna uppgifter i ett socialtjänstdataregister vara att bidra till utvecklingen av kommunernas verksamhetsuppföljning och kvalitetssäkring. Detta utgör också ett allmänintresse utifrån de fördelar som en väl utvecklad uppföljning av socialtjänsten lokalt kan tillföra socialtjänsten i stort och är även i linje med utvecklingen av en mer kunskapsbaserad socialtjänst.

12.6.2. Ett socialtjänstdataregister är ett nationellt statistikregister

Vår bedömning: Det är nödvändigt att ett socialtjänstdata-

register i grunden är och förblir ett nationellt statistikregister.

Skälen för vår bedömning

Som vi konstaterat ovan är ändamålet med kommunernas tillgång till personuppgifter i ett socialtjänstdataregister att dessa uppgifter kan bidra till verksamhetsuppföljningen och kvalitetssäkringen av den egna verksamheten. Ett socialtjänstdataregister är dock i grunden ett nationellt statistikregister. Detta ska inte förstås som att uppgifterna i registren enbart får behandlas för framställning av statistik i strikt mening, men att karaktären av registren främst är av statistiskt slag med de särskilda överväganden som då krävs i fråga om till exempel kvalitet.

Socialtjänstdataregistrens särdrag av ett nationellt statistikregister är en grundläggande förutsättning för att uppgifterna i registren ska omfattas av den absoluta sekretessen i 24 kap. 8 § OSL. Garanterandet av det starka sekretesskyddet utgör en av de

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

257

viktigaste skyddsåtgärderna för att säkerställa skyddet för den personliga integriteten för de registrerade. Det är även registrens särdrag av nationella statistikregister som motiverar att uppgiftsinsamlingen sker utan den registrerades samtycke eller rätt att motsätta sig behandlingen.

Ett nationellt register inom socialtjänsten är av stort värde och intresse även för andra aktörer som har till uppgift att utvärdera och följa upp socialtjänsten eller på andra sätt undersöka socialtjänstens verksamhet. Detta återspeglas också i de undantag från sekretess som anges i 24 kap. 8 § tredje stycket OSL. Trots de bidrag till en ökad kunskap om socialtjänsten som dessa aktörer kan tillföra genom tillgång till uppgifter i ett register är det vår uppfattning att dessa intressen inte får bli styrande för personuppgiftsbehandlingen i ett socialtjänstdataregister. Enligt vår mening bör socialtjänstdataregistren byggas upp och utformas med strikt beaktande av Socialstyrelsens uppdrag och de ändamål som finns för Socialstyrelsens behandling av uppgifter.

Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister innefattar visserligen utlämnanden enligt lag och förordning. Detta utgör dock ett sekundärt ändamål, vilket bland annat innebär att uppgifter aldrig kommer att samlas in enbart i syfte att lämnas ut till andra aktörer, se avsnitt 7.5. Möjlig vidarebehandling av de uppgifter som redan finns i ett socialtjänstdataregister i syfte att öka kunskapen för och förbättra socialtjänsten bör dock främjas i den mån detta är möjligt med bibehållandet av registrets grundläggande särdrag och fullgoda skydd för den personliga integriteten.

En jämförelse kan göras med ordningen inom hälsodata där direktåtkomst inte tillåts till hälsodataregistren.256 Inom hälsodataområdet finns istället kvalitetsregister som har som särskilt ändamål att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregister har ofta byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutvecklingen i det kliniska arbetet. Till dessa register samlas personuppgifter in från flera vårdgivare till följd av ett frivilligt åtagande från vårdgivarna.257 Det är möjligt för den enskilde registrerade att motsätta sig att personuppgifter om honom eller

256 Se 8 § lagen om hälsodataregister. 257Prop. 2007/08:126, Patientdatalagen m.m., s. 176.

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

258

henne behandlas i ett kvalitetsregister. I sådana fall ska uppgifterna om personen i fråga utplånas ur registret så snart som möjligt.258Vårdgivarna har direktåtkomst till sina egna uppgifter i ett kvalitetsregister och kan använda dessa i sin lokala uppföljning.259Uppgifterna i ett kvalitetsregister omfattas dock inte av den absoluta sekretessen i 24 kap. 8 § OSL, utan av hälso- och sjukvårdssekretessen i 25 kap. 1 § OSL. Att notera är alltså att en tydlig åtskillnad görs mellan hälsodataregister å ena sidan och nationella och regionala kvalitetsregister å andra sidan, trots att ändamålen med ett hälsodataregister och ett kvalitetsregister i båda fallen kan vara kvalitetssäkring.

Ändamålet med kommunernas behov av tillgång till uppgifter i ett socialtjänstdataregister korresponderar inte med något av de undantag som idag finns från sekretess enligt 24 kap. 8 § tredje stycket OSL, se avsnitt 7.5. Kommunerna tillhör därmed inte den grupp av aktörer som typiskt sett anses ha ett behov av tillgång till uppgifter i ett socialtjänstdataregister. En del kommuner, och likaså SKR, har påtalat att kommunernas tillgång till sina egna uppgifter i ett socialtjänstdataregister bör ses som ett första steg mot kvalitetsregister. Mot bakgrund av att det finns avgörande skillnader i användning och skyddet för den personliga integriteten mellan ett kvalitetsregister och ett register som i grunden är ett nationellt statistikregister, anser vi att stor försiktighet bör iakttas med att sammanblanda dessa typer av register. Elektronisk åtkomst till uppgifter i ett socialtjänstdataregister bör därför inte betraktas som ett första steg mot kvalitetsregister, utan enbart som en eventuell möjlighet för kommunerna att ta vara på de personuppgifter som redan finns samlade för den nationella statistiken.

258Prop. 2007/08:126, Patientdatalagen m.m., s. 186. 259 Jfr 7 kap. 9 § patientdatalagen.

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

259

12.6.3. Kommunernas behov av tillgång till sina egna uppgifter utgör en del av ett större sammanhang

Vår bedömning Elektronisk åtkomst till uppgifter i ett

socialtjänstdataregister bör endast vara motiverad under en övergående period.

Ett införande av en lag om socialtjänstdataregister kommer att ställa nya krav på kommunernas informationshantering. Genom en sådan omställning kommer kommunerna att ges bättre förutsättningar att ta fram och använda sin egen data lokalt. Även andra sätt att tillgängliggöra och dela data är under utveckling. Idag saknas dock möjlighet för kommunerna att på ett snabbt och kostnadseffektivt sätt få tillgång till enhetlig data för lokal uppföljning.

Skälen för bedömningen

Utökade socialtjänstdataregister ställer nya krav på socialtjänstens informationshantering

De uppgifter som lämnas från kommunerna till Socialstyrelsen idag är inte uppgifter som lätt kan plockas ut ur kommunernas verksamhetssystem. Dessa tas fram särskilt för rapportering till Socialstyrelsen och kräver att verksamhetssystemet har anpassats för att på ett automatiserat sätt ta ut just de uppgifter som efterfrågas. Ofta krävs därefter en manuell handpåläggning för att ytterligare kvalitetssäkra uppgifterna.260Sammanställningen och inrapporteringen av uppgifterna till Socialstyrelsen sker alltså på sätt och vis vid sidan av verksamhetssystemen. Svårigheterna för kommunerna att i dagsläget ta fram likvärdiga uppgifter för lokal uppföljning och den administrativa börda som detta innebär utgör alltså en starkt bidragande faktor till kommunernas uttryckta behov av tillgång till sina egna uppgifter i ett socialtjänstdataregister. Den bilden förstärks ytterligare av att de fåtal kommuner som anser sig

260 Socialstyrelsen (2024). Kommunernas förutsättningar och behov inför införandet av en

socialtjänstdataregisterlag, s. 22.

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

260

sakna behov av elektronisk åtkomst till sina egna uppgifter motiverat detta med att uppgifterna redan finns tillgängliga.

Genomförandet av en ny lag om socialtjänstdataregister kommer att innebära en omfattande omställning för kommunernas informationshantering. En grundläggande förutsättning för att socialtjänstdata ska kunna delas, tolkas entydigt och sammanställas på det sätt som ett utökat nationellt statistikregister kräver är nämligen att informationen dokumenteras med enhetliga begrepp, termer och klassifikationer i en överenskommen struktur. Det sätt på vilket kommunerna idag dokumenterar sin information kommer därför att behöva ses över för att bättre stämma överens med den uppgiftsskyldighet som föreslås i lagen, se avsnitt 11.4.3. För att minska uppgiftslämnarbördan över tid kommer även kommunernas verksamhetssystem att behöva ses över och justeras för att säkerställa en överensstämmelse med den strukturerade dokumentation som en uppgiftsskyldighet och systematisk uppföljning kräver. Det är vår bedömning att den omställning som ett införande av den föreslagna lagen om socialtjänstdataregister kommer att kräva även bör resultera i att kommunerna får bättre kunskap och förståelse för den data som finns i den egna dokumentationen och därmed bättre förutsättningar för att använda sin egen data vid uppföljning och kvalitetsutveckling. En bättre interoperabilitet mellan Socialstyrelsens och kommunernas system bör rimligtvis även innebära att kommunerna själva, på ett lätt och automatiserat sätt, kommer att kunna plocka ut de uppgifter som rapporteras till Socialstyrelsen även för lokal uppföljning.

Eftersom den föreslagna lagen förutsätter en övergripande förändring av såväl informationshantering som verksamhetssystem bedömer vi att en elektronisk åtkomst till de egna uppgifterna i ett socialtjänstdataregister endast kommer att ge ett mervärde för kommunerna under en övergående period. Vår bedömning är dock att det trots detta kan finnas ett motiverat behov av att under denna övergående period få tillgång till sina egna uppgifter i ett socialtjänstdataregister.

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

261

Andra möjligheter att få del av uppgifter i ett socialtjänstdataregister

Arbetet med att strukturera kommunernas dokumentation för att underlätta den systematiska uppföljningen och rapporteringen till nationella register är ett arbete som på olika sätt har pågått under en längre tid. Detta arbete utgör dock endast en av flera samverkande metoder att nå det övergripande målet med en kunskapsbaserad socialtjänst. Vi anser därför att det kan finnas anledning att sätta kommunernas behov av tillgång till sina egna uppgifter i en större kontext.

En förväntan från många kommuner är att en elektronisk åtkomst till de egna uppgifterna i ett socialtjänstdataregister skulle vara jämförbar med tillgång till en statistikdatabas för lokal uppföljning. Detta eftersom uppgifterna skulle finnas elektroniskt samlade på ett ställe på ett överblickbart och lättillgängligt sätt. Socialstyrelsen tillhandahåller redan idag allmänt tillgängliga statistikdatabaser inom socialtjänstens områden, dels för ekonomiskt bistånd, dels för äldreomsorgen. Till skillnad från elektronisk åtkomst till personuppgifter i ett socialtjänstdataregister består dessa statistikdatabaser av aggregerade uppgifter. Vår uppfattning är dock att det i många fall är just aggregerade uppgifter och möjlighet till jämförelser i realtid som särskilt efterfrågas av kommunerna. Arbetet med att tillgängliggöra data är pågående och ett fullständigt tillgängliggörande av data ligger troligen långt fram i tiden. Trots detta ser vi att det finns anledning att nämna att dessa möjligheter redan finns och ständigt utvecklas.261 Med utökade socialtjänstdataregister skulle behovet av tillgång till aggregerade uppgifter och underlag för jämförelser på sikt, åtminstone till viss del, kunna tillgodoses genom de öppna statistikdatabaserna.

Inom ramen för Socialstyrelsens registerverksamhet tillhandahåller myndigheten även en utlämnandetjänst som innebär att externa aktörer kan begära ut statistiska underlag och sammanställningar från socialtjänstdataregistren. Kommunerna har alltså redan idag möjlighet att begära ut sammanställningar och andra statistiska underlag från Socialstyrelsen. Sådana utlämnanden innebär dock långa ställtider och kostnader för kommunerna.

261 Jfr även 11 § i Statistiska centralbyråns föreskrifter och allmänna råd (SCB-FS 2023:6) om offentliggörande m.m. av officiell statistik, där det anges att den officiella statistiken ska tillgängliggöras som öppna data i maskinläsbara format.

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

262

Det kan också nämnas att det redan idag sker en enklare form av återrapportering till kommunerna i samband med kommunernas inrapportering av uppgifter till ett socialtjänstdataregister. Som en del av Socialstyrelsens bredare kvalitetskontroll ingår nämligen, för vissa register, en jämförelsekontroll. De uppgifter som kommunerna rapporterar in jämförs då med de uppgifter som rapporterats in för motsvarande period året innan. Socialstyrelsens syfte med jämförelsekontrollen är att uppmärksamma eventuella felaktigheter i inrapporteringen. Samma uppgifter kan dock användas av kommunerna för lokala analyser. Under vår utredning har det framkommit att återrapporteringen som Socialstyrelsen tillhandahåller är uppskattad och ofta också används internt inom kommunen. Återrapporteringsfilen är även tillgänglig för kommunerna under en längre tid efter inrapporteringstillfället eftersom denna ligger kvar i inrapporteringssystemet. Att notera är dock att filen endast består av radnummer och inte personnummer. För att kommunerna ska kunna identifiera enskilda individer eller korrigera uppgifterna behöver kommunerna alltså korsläsa uppgifterna med de inrapporterade uppgifterna. Trots detta har det framhållits från flera kommuner att återrapporteringsfilen bör kvarstå även vid en elektronisk åtkomst till registren och att denna är av stort värde.

12.7. En avvägning mellan behov och integritetsrisker

Vår bedömning: Kommunerna bör inte ges elektronisk åtkomst

till lämnade uppgifter i ett socialtjänstdataregister.

En reglering som på ett tillräckligt sätt säkerställer skyddet för den personliga integriteten är svårtillämpad och svarar bara i mindre utsträckning mot kommunernas behov. En sådan reglering är därför inte proportionerlig i relation till den begränsade nytta som denna ger.

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

263

Skälen för vår bedömning

Kommunerna har ett visst behov av tillgång till sina egna uppgifter i ett socialtjänstdataregister

Vårt uppdrag har sin grund i SKR:s önskemål om att den föreslagna lagen om socialtjänstdataregister ska kompletteras med en elektronisk åtkomst för kommunerna till sina egna uppgifter i ett socialtjänstdataregister. Vi anser att det genom vår utredning har klarlagts att den elektroniska åtkomst som SKR efterfrågar främst har sin grund i kommunernas behov av tillgång till avidentifierad och aggregerad data från alla kommuner. Detta behov har genomgående vidhållits av SKR, även om organisationen inte har ifrågasatt att det kan finnas andra behov hos kommunerna som motiverar tillgång till uppgifter även på individnivå. Under utredningens gång har samma önskemål, det vill säga kommunöverskridande uppgifter i aggregerad form, lyfts som särskilt prioriterat också av ett flertal kommuner. Att SKR och kommunerna lyfter dessa behov som ett primärt behov innebär att vi uppfattar kommunernas behov av tillgång till sina egna uppgifter på individnivå som till viss del sekundärt, om än fortfarande önskvärt.

Även med beaktande av att många kommuner delar SKR:s uppfattning om att det primära behovet av elektronisk åtkomst egentligen hänför sig till aggregerad data från alla kommuner, anser vi att det finns ett till övervägande del samstämmigt behov av att också få tillgång till uppgifter på individnivå. Behovet handlar framförallt om det mervärde som enhetliga och jämförbara uppgifter över tid innebär för verksamheten internt och för möjligheten till jämförelse med andra kommuner. Vår bedömning är att en elektronisk åtkomst till de egna uppgifterna i ett socialtjänstdataregister skulle kunna underlätta kommunernas verksamhetsuppföljning och kvalitetssäkring. En ökad förståelse för sin egen data och kunskap kring hur denna kan användas internt, kan i förlängningen även bidra till en verksamhet i linje med en kunskapsbaserad socialtjänst.

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

264

En bedömning av förutsättningarna för en elektronisk åtkomst vid avvägningen mellan behov och risker

Utifrån det mervärde som enhetliga och jämförbara uppgifter över tid innebär för kommunernas verksamhet internt och för möjligheten till jämförelser med andra kommuner har vi ovan bedömt att det finns ett behov för kommunerna att få tillgång till sina egna uppgifter i ett socialtjänstdataregister. Vi anser därför att det inte går att utesluta att det kan vara motiverat med elektronisk åtkomst för kommunerna till de egna uppgifterna.

Eftersom det är fråga om samma uppgifter som kommunerna i ett tidigare skede har rapporterat in till Socialstyrelsen och därmed snarare en fråga om återrapportering av uppgifter, bedömer vi att integritetsriskerna med ett elektroniskt utlämnande är begränsade såväl ur ett sekretesshänseende som dataskyddshänseende. Ett sådant ställningstagande förutsätter samtidigt att ett utlämnande av uppgifter från Socialstyrelsen till kommunerna inte innefattar unika uppgifter som inte finns i kommunernas egen verksamhet. Det förutsätter också att det inte finns en risk för att sekretessbelagda uppgifter röjs mellan kommunala nämnder inom socialtjänsten. Enbart om dessa förutsättningar kan garanteras vid en elektronisk åtkomst anser vi att kommunernas behov och det allmänintresse som detta innebär kan anses väga tyngre än det integritetsintrång som åtkomsten innebär för de registrerade. Vid denna bedömning har vi även beaktat att det pågår ett flertal utvecklingsarbeten som på olika sätt skulle kunna bidra till kommunernas verksamhetsuppföljning och kvalitetssäkring på sikt.

En bestämmelse som garanterar skyddet för den personliga integriteten är svårtillämpad och svarar bara i mindre utsträckning mot kommunernas behov

Vi har med utgångspunkt i vår bedömning ovan övervägt att föreslå en reglering om uppgiftsskyldighet från Socialstyrelsen till kommunerna med innebörden att en socialnämnd eller annan kommunal nämnd har rätt att få del av de uppgifter som den nämnden har lämnat till ett socialtjänstdataregister genom elektroniskt utlämnande. Rätten till ett elektroniskt utlämnande skulle dock begränsas till att uppgifterna behövs för ändamålen

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

265

uppföljning, utvärdering eller kvalitetssäkring och inte heller har gallrats i den egna verksamheten. En sådan reglering skulle enligt vår bedömning inte utvidga kommunernas personuppgiftsbehandling genom att möjliggöra en annan användning av uppgifterna i förhållande till om uppgifterna istället hade tagits fram internt av kommunerna. En sådan reglering skulle inte heller riskera att sekretessbelagda uppgifter röjs. Integritetsriskerna skulle därmed vara begränsade.

Även om den övervägda bestämmelsen skulle möjliggöra en grundläggande tillgång för kommunerna till sina egna uppgifter i ett socialtjänstdataregister skulle bestämmelsen innebära svårigheter vid tillämpningen både för Socialstyrelsen som utlämnande myndighet och för kommunerna som mottagande myndigheter. Socialstyrelsen saknar idag kännedom om från vilken nämnd en enskild uppgift i ett register härrör och likaså om samma uppgift har gallrats i kommunens verksamhet. Att vid ett utlämnande garantera att dessa krav är uppfyllda skulle därmed inte vara möjligt. Detta ansvar skulle istället behöva ligga på kommunerna. Men även för kommunerna skulle ett säkerställande av att uppgifterna inte har gallrats i den egna verksamheten vara svårt att genomföra i praktiken, särskilt utifrån den mängd uppgifter som troligtvis skulle begäras ut vid varje utlämnandetillfälle. Kommunernas behov av elektronisk åtkomst grundar sig i det övergripande syftet att underlätta den lokala verksamhetsuppföljningen genom lättillgänglig, enhetlig och jämförbar data. En svårtillämpad reglering riskerar istället att motverka detta syfte och därmed vara begränsad i den nytta som den avser att bidra med.

Det kan även nämnas att den övervägda bestämmelsen inte heller skulle innebära något åläggande för Socialstyrelsen att lämna ut uppgifterna genom direktåtkomst eller att på något sätt bearbeta de uppgifter som lämnats till registren innan utlämnande. Den övervägda bestämmelsen skulle alltså tillåta ett elektroniskt utlämnande generellt men i princip överlämna ansvaret för utformandet av det helt och hållet till Socialstyrelsen och kommunerna att arbeta fram tillsammans. Kommunernas förväntansbild på en elektronisk åtkomst varierar men kan i stora drag sammanfattas som att kommunerna förväntar sig tillgång till en elektronisk samling av personuppgifter som kan fylla samma syfte som en statistikdatabas. Ett flertal av kommunerna har även uttryckt

Kommunernas tillgång till lämnade uppgifter Ds 2024:13

266

att behovet av elektronisk åtkomst till de egna uppgifterna är avhängigt hur uppgifterna tillhandahålls och att det är en förutsättning att den elektroniska åtkomsten också innebär att kommunen ges verktyg för att göra sammanställningar av data eller att Socialstyrelsen sammanställer uppgifterna innan utlämnande. Genom den övervägda bestämmelsen skulle kommunerna varken garanteras att få elektronisk åtkomst till en sökbar samling av personuppgifter eller få färdiga sammanställningar av data.

Det kan därför också ifrågasättas i vilken mån bestämmelsen skulle motsvara de behov som kommunerna har gett uttryck för. Av dessa skäl anser vi att en bestämmelse av det slag som vi har övervägt inte är motiverad i relation till ändamålet.

Sammanfattningsvis bör kommunerna inte ges en rätt till elektronisk åtkomst i den föreslagna lagen

Som vi har redogjort för ovan syftar kommunernas behov av elektronisk åtkomst till sina egna uppgifter i ett socialtjänstdataregister till att underlätta och bidra till kommunernas verksamhetsuppföljning och kvalitetssäkring, vilket i förlängningen även förutsätts bidra till en mer kunskapsbaserad socialtjänst. Vid vår analys och vårt slutliga ställningstagande har det däremot inte gått att bortse ifrån att det primära behov som SKR och ett antal kommuner har gett uttryck för inte faller inom ramen för vårt uppdrag. Vid bedömningen av kommunernas behov enbart i förhållande till sina egna uppgifter i ett socialtjänstdataregister har det även framkommit att det bör vara fråga om ett tillfälligt behov i väntan på att utvecklingen av en strukturerad dokumentation och justerade verksamhetssystem har kommit på plats. Det finns även ett flertal andra sätt för tillgängliggörande av data som är under utveckling och som skulle kunna bidra till kommunernas lokala uppföljning. Trots detta har vi noggrant övervägt och analyserat det behov som kommunerna har gett uttryck för och vägt detta mot de integritetsrisker som finns. Vi har vid denna bedömning kommit fram till att det behov som finns visserligen är svagt men att integritetsriskerna även går att begränsa till en nivå som balanserar detta. En bestämmelse som på ett tillräckligt sätt begränsar tillgången till uppgifterna i ett socialtjänstdataregister skulle däremot vara både svårtillämpad och bara i liten utsträckning svara

Ds 2024:13 Kommunernas tillgång till lämnade uppgifter

267

mot det behov som kommunerna har. Av dessa skäl anser vi att det inte bör införas någon form av elektronisk åtkomst för kommunerna i den föreslagna lagen.

Det kan finnas anledning att överväga andra alternativ

För att på ett bättre sätt möta kommunernas behov kan det enligt vår bedömning finnas anledning att utreda möjligheterna för Socialstyrelsen att, utöver den nationella statistiken, få i uppdrag att regelbundet tillgängliggöra lokala eller regionala statistiska underlag som särskilt riktas mot kommunerna eller på annat sätt tillhandahålla aggregerad data för jämförelse. En sådan lösning skulle bibehålla socialtjänstdataregistrens karaktär av ett statistikregister samtidigt som kommunerna på ett enkelt sätt skulle få del av underlag som kan ligga till grund för uppföljning och utvärdering lokalt. En sådan lösning skulle även ge ett likvärdigt stöd till samtliga kommuner oavsett storlek eller resurser och därmed ge ett bredare mervärde för kommunerna. Det skulle också kunna övervägas om inte den återrapportering som redan idag sker från Socialstyrelsen vid inrapportering av uppgifter från kommunerna skulle kunna utvecklas för att tillgodose kommunernas behov av lokal data. Förutsättningarna för ett utvecklande av inrapporteringssystemet enligt ovan bör dock framförallt övervägas av Socialstyrelsen.

269

13. Samlad integritets- och proportionalitetsbedömning

13.1. Inledning

I de föregående kapitlen har vi presenterat våra förslag till utformning av ett samlat regelverk för socialtjänstdataregister. Vid flera av de enskilda förslagen har vi redogjort för våra bedömningar av integritetsaspekter och proportionalitet, se till exempel avsnitt 8.2.9 och 11.5.

I detta kapitel ges en bredare och mer samlad bedömning av det föreslagna regelverkets förenlighet med bestämmelserna om skydd för den personliga integriteten i regeringsformen, olika internationella rättsakter och dataskyddsregleringen.

13.2. Samlad integritets- och proportionalitetsbedömning

Vår bedömning: Vid en avvägning mellan behovet av den

personuppgiftsbehandling som möjliggörs genom det föreslagna regelverket om socialtjänstdataregister och rätten till skydd för den personliga integriteten utgör förslagen en proportionerlig inskränkning av skyddet för den personliga integriteten.

Förslagen är förenliga med dataskyddsförordningen och annan övergripande reglering till skydd för den personliga integriteten.

Samlad integritets- och proportionalitetsbedömning Ds 2024:13

270

Skälen för vår bedömning

Några utgångspunkter vid bedömningen av förslagens påverkan på den personliga integriteten och proportionalitet

Våra förslag innebär att Socialstyrelsen ges utökade möjligheter att samla in och behandla personuppgifter i myndighetens särskilda statistikverksamhet, både sett till antal personuppgifter och antalet registrerade. Vi har i de föregående kapitlen och i förhållande till respektive förslag beskrivit vilka personuppgifter som genom uppgiftsskyldighet föreslås få samlas in till ett socialtjänstdataregister samt för vilka ändamål och i vilket syfte personuppgifterna får behandlas. Vi har även redovisat de behov som ligger till grund för den föreslagna regleringen, och flera identifierade integritetsrisker.

Genom våra förslag kommer Socialstyrelsen att ges möjlighet att hantera, och under en längre tid bevara, omfattande mängder av personuppgifter i socialtjänstdataregistren. Det gäller såväl känsliga personuppgifter i dataskyddsförordningens mening, uppgifter som rör lagöverträdelser som andra personuppgifter av mer eller mindre integritetskänslig karaktär. Registren är personnummerbaserade, rikstäckande och omfattar stora delar av Sveriges befolkning oavsett ålder och kön. Det innebär att behandlingen omfattar personuppgifter om barn och andra särskilt skyddsvärda individer. I avsnitt 5.3.2 har vi redogjort för vår bedömning att den behandling som möjliggörs genom det föreslagna regelverket därmed innebär ett betydande intrång i den enskildes personliga integritet. Det är därför viktigt att det görs en noggrann bedömning av hur förslagen förhåller sig till de regelverk som syftar till att värna om den personliga integriteten. Skyddet för den personliga integriteten har kontinuerligt beaktats under arbetets gång och har i allra högsta grad påverkat våra överväganden i förhållande till varje enskilt förslag.

Vissa faktorer har i tidigare lagstiftningssammanhang ansetts särskilt viktiga att ta hänsyn till när det gäller att bedöma integritetskänsligheten vid behandling av personuppgifter. Det gäller arten av personuppgifter som samlas in och registreras, varför detta görs, hur och av vem uppgifterna används samt mängden av uppgifter som samlas på ett och samma ställe eller som på något annat sätt är tillgängliga för bearbetningar och sammanställningar.

Ds 2024:13 Samlad integritets- och proportionalitetsbedömning

271

Även rådande samhällsvärderingar påverkar vad som kan uppfattas som ett integritetsintrång och kan därmed ha viss påverkan på vilken reglering och begränsning av behandlingen av personuppgifter som är nödvändig för att skydda den personliga integriteten.262 I det följande ges en samlad bedömning avseende integritets- och proportionalitetsaspekter av våra förslag.

Begränsningar i skyddet för den personliga integriteten får göras

Respekten för individens självbestämmande och integritet är grundläggande i en demokrati. Som vi har redogjort för i kapitel 4 finns regler till skydd mot intrång i den personliga integriteten i bland annat regeringsformen, olika internationella rättsakter, dataskyddsförordningen och sekretesslagstiftningen. Den enskilde är alltså skyddad mot betydande intrång i den personliga integriteten och har en rätt till respekt för sitt privatliv. Den enskildes personuppgifter ska skyddas. I de fall en myndighet vill behandla personuppgifter måste den beakta dessa rättigheter.

Rätten till skydd för den personliga integriteten enligt regeringsformen är inte absolut utan kan inskränkas genom lag, se avsnitt 5.3.2. Begränsningar får endast göras för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle och får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den, och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar (2 kap. 21 § RF). Enligt artikel 8.2 i Europakonventionen får rätten till skydd för privatlivet inte inskränkas annat än med stöd av lag och om det i ett demokratiskt samhälle är nödvändigt med hänsyn till den nationella säkerheten, den allmänna säkerheten, landets ekonomiska välstånd eller till förebyggande av oordning eller brott eller skydd för hälsa eller moral eller för andra personers fri- och rättigheter. Även i EU:s rättighetsstadga är utgångspunkten att en inskränkning endast får göras i lag och måste vara förenlig med det väsentliga innehållet i de rättigheter och friheter som erkänns i stadgan. Begränsningar får med beaktande av proportionalitetsprincipen endast göras om de är nödvändiga och faktiskt svarar mot

262 Se bland annat prop. 2005/06:173, Översyn av personuppgiftslagen, s. 15 och prop. 2022/23:34, Utbetalningsmyndigheten, s. 162.

Samlad integritets- och proportionalitetsbedömning Ds 2024:13

272

mål av allmänt samhällsintresse som erkänns av unionen eller behovet av skydd för andra människors rättigheter och friheter (artikel 52.1).

Även dataskyddsförordningen förutsätter att proportionalitetsbedömningar görs vid behandling av personuppgifter. Den rättsliga grunden som avser rättslig förpliktelse och uppgift av allmänt intresse ska vara proportionerlig mot det legitima mål som eftersträvas (artikel 6.3 andra stycket). Behandling av känsliga personuppgifter enligt artikel 9.2 g och j är endast tillåten om behandlingen bland annat står i proportion till det eftersträvade syftet. Rätten till skydd för den personliga integriteten måste vidare enligt skälen i dataskyddsförordningen förstås utifrån sin uppgift i samhället och vägas mot andra grundläggande rättigheter utifrån proportionalitetsprincipen (skäl 4).

Ovanstående villkor innebär bland annat att det vid en begränsning i skyddet för den personliga integriteten ska göras en proportionalitetsbedömning där integritetsriskerna med personuppgiftsbehandlingen vägs mot fördelarna med behandlingen. I detta ingår att bedöma om behandlingen av personuppgifterna är nödvändig utifrån det avsedda ändamålet med behandlingen och om det finns alternativ som är mindre integritetskänsliga.

För att det ska vara motiverat att införa utökade möjligheter att samla in och behandla personuppgifter i ett socialtjänstdataregister på det sätt som vi föreslår är alltså en förutsättning att det finns ett konkret och påtagligt behov av behandlingen och att ändamålet inte kan uppnås genom mindre ingripande åtgärder. Den nytta som den utökade personuppgiftsbehandlingen innebär måste med andra ord stå i proportion till integritetsskyddsintresset för de personer som berörs av den ökade spridning av personuppgifter som en utökad behandling medför.

För att en proportionalitetsbedömning ska kunna göras behöver riskerna för intrång i den personliga integriteten kartläggas närmare. Genom att det införs integritetsstärkande åtgärder kan behovet av behandling balanseras mot intresset av integritetsskydd.

Ds 2024:13 Samlad integritets- och proportionalitetsbedömning

273

Identifierade integritetsrisker vid en utökad behandling av personuppgifter i ett socialtjänstdataregister

Den föreslagna lagen om socialtjänstdataregister kommer att innebära att Socialstyrelsen får möjlighet att behandla både en större mängd uppgifter per individ och att fler personer kommer att registreras i ett socialtjänstdataregister. Det innebär i sig en integritetsrisk, eftersom en omfattande behandling av personuppgifter generellt sett är förenad med större integritetsrisker än mer begränsad behandling. Personuppgifterna kommer att samlas in på ett sådant sätt att informationen enkelt kan sammanställas och systematiseras, vilket innebär en möjlig kartläggning av individer. Uppgiftssamlingen i sig innebär därför en särskild integritetsrisk.

Spridningen av uppgifterna till ett nationellt register innebär också en ökad risk för att personuppgifter behandlas otillbörligt, till exempel genom att uppgifter kan komma i orätta händer eller röjas i strid med gällande sekretessbestämmelser. Vid en obehörig befattning med uppgifterna är riskerna särskilt stora mot bakgrund av att stora mängder uppgifter är samlade hos en och samma aktör.

Vid en förlorad kontroll över uppgifterna, exempelvis vid en personuppgiftsincident eller otillbörlig åtkomst, skulle uppgifterna kunna komma i utomståendes händer och användas för negativ särbehandling, övervakning, kartläggning av enskildas personliga förhållanden eller för att utsätta de registrerade för fara eller kränkningar. Oavsett om en otillbörlig spridning av personuppgifterna medför att den enskilde kommer till skada eller blir behandlad på ett negativt sätt, kan den enskilde komma att uppleva ett lidande av att integritetskänslig information blivit känd för andra i omgivningen utanför den enskildes privata krets eller socialtjänstens verksamhet.

Även det förhållandevis omfattande uppgiftslämnandet från Socialstyrelsen till andra samhälleliga aktörer, se närmare avsnitt 7.5, innebär en risk för att utomstående på ett otillbörligt sätt skaffar sig åtkomst till uppgifterna. Också i denna del av verksamheten finns alltså en risk för obehörig extern åtkomst. Eftersom socialtjänstdataregistren utgör ett nationellt ansvar finns även en risk för att registren skulle kunna används på ett otillbörligt sätt av en ickedemokratisk makthavare eller på annat sätt leda till oönskade konsekvenser för de registrerade.

Samlad integritets- och proportionalitetsbedömning Ds 2024:13

274

Utöver de risker som finns med själva spridningen av personuppgifterna innebär även personuppgifternas särskilt integritetskänsliga karaktär utökade integritetsrisker. Detta gäller i synnerhet den föreslagna tillåtna behandlingen av känsliga personuppgifter. Uppgifter i ett socialtjänstdataregister omfattar personer som i något avseende har behov av samhällets stöd och som därmed skiljer ut dem från den övriga befolkningen. Risken för otillbörlig användning och spridning av sådana uppgifter utanför den enskildes förtroendekrets kan därför uppfattas som särskilt känslig. Vid förlorad kontroll över uppgifterna skulle exempelvis hälsouppgifter kunna vidareförmedlas till någon som använder dem för att selektera bort personer med vissa hälsotillstånd i anställningsprocesser eller liknande.

Också behandling av sådana personuppgifter som inte är känsliga i dataskyddsförordningens mening kan vara förenad med integritetsrisker. Behandling av exempelvis personnummer och andra personuppgifter som direkt kan hänföras till den registrerade kan utgöra en integritetsrisk eftersom det möjliggör samkörning av uppgifter som finns i olika källor och behandling för andra ändamål än de ursprungligen avsedda. En samling av flera personuppgifter som är av mindre känslig karaktär kan tillsammans skapa en integritetskänslig sammanställning om en person som kan ligga till grund för utökad kartläggning. Det är av denna anledning som samkörning ofta betraktas som en särskilt integritetskänslig form av personuppgiftsbehandling. Eftersom våra förslag möjliggör en omfattande behandling av personuppgifter som även kommer att inbegripa samkörning finns alltså risken för sådana integritetskänsliga sammanställningar.

I ett socialtjänstdataregister kommer det även att finnas personuppgifter om flera grupper med behov av särskilt skydd. För att ge ett exempel förtjänar barns personuppgifter ett särskilt skydd, eftersom barn kan vara mindre medvetna om berörda risker, följder och skyddsåtgärder samt om sina rättigheter när det gäller behandling av personuppgifter (skäl 38 i dataskyddsförordningen). Även personer med vissa kognitiva funktionsnedsättningar kan vara mindre medvetna om sådana faktorer. Vidare kan äldre personer vara sårbara registrerade, vilket innebär att det kan vara svårt för dem att

Ds 2024:13 Samlad integritets- och proportionalitetsbedömning

275

på ett enkelt sätt utöva sina rättigheter.263 Det finns också särskilt stora integritetsrisker vid personuppgiftsbehandling som rör personer med skyddade personuppgifter och personer som i övrigt är utsatta för våld eller förtryck.

När den enskilde uppsöker socialtjänsten för att få hjälp eller stöd, eller blir föremål för utredning genom anmälan med eventuella tvångsåtgärder, kan det vara svårt för den enskilde att förutse eller förstå att dennes personuppgifter i framtiden kan komma att behandlas av Socialstyrelsen i statistik- och analyssammanhang. Behandling av personuppgifter för andra ändamål än ursprungsändamålet innebär därmed i sig en integritetsrisk, eftersom det innebär att det är svårt för den registrerade att ha full kontroll över sina personuppgifter. Detta gäller särskilt som den enskilde inte heller kan motsätta sig behandlingen. Vi har tidigare redogjort för vår bedömning att Socialstyrelsen är undantagen från skyldigheten att lämna information till den registrerade enligt dataskyddsförordningen, se avsnitt 6.6.3. En ytterligare omständighet i detta sammanhang är att enskilda kanske inte heller känner till vad som finns dokumenterat om dem i personakter hos kommunerna och utförare i annan regi. Detta kan göra det svårt för den enskilde att även vid information om Socialstyrelsens insamling bedöma vilka närmare uppgifter som myndigheten kommer att kunna ta del av.

Utöver detta finns det en risk för att en individ upplever ett obligatoriskt insamlande av uppgifter från socialtjänstens verksamheter till ett socialtjänstdataregister som en kränkning av integriteten, något som i sin tur skulle kunna innebära att enskilda avhåller sig från att kontakta socialtjänsten. Uppgiftsinsamlingen kan anses innebära att det förs in ett nytt moment i relationen mellan parterna, som inte handlar om anledningen till att den enskilde söker samhällets stöd eller hjälp. Bara vetskapen om att finnas i ett register kan skapa olust hos en enskild, oaktat om denne befarar att registrets uppgifter kommer ut eller att andra negativa konsekvenser kan uppstå. Vetskapen om att uppgifter samlas in till ett nationellt register skulle också kunna riskera att påverka behandlingsalliansen vid tillhandahållandet av olika vårdinsatser, i synnerhet om sådana sker med tvång.

263 Jfr Artikel 29-gruppen för skydd av personuppgifter (2017). Riktlinjer om

konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679, s. 11–12.

Samlad integritets- och proportionalitetsbedömning Ds 2024:13

276

Föreslagna integritetsstärkande åtgärder för att motverka integritetsriskerna med behandlingen

För att motverka de integritetsrisker som presenteras ovan föreslår vi ett samlat regelverk med såväl generella bestämmelser i integritetshöjande syfte som bestämmelser om särskilda skydds- och säkerhetsåtgärder. Eftersom det idag saknas ett samlat regelverk om socialtjänstdataregister kan redan denna omständighet anses innebära en integritetshöjande åtgärd. En särskild reglering bidrar nämligen till att Socialstyrelsen ges ett tydligt rättsligt stöd och rättsliga ramar för sin personuppgiftsbehandling samtidigt som den ökar transparensen gentemot de registrerade och allmänheten.

De i lagen föreslagna ändamålen för behandling av personuppgifter utgör en grundläggande begränsning av all behandling i ett socialtjänstdataregister, se kapitel 7. Genom att det i lag fastställs för vilka ändamål myndigheten får behandla personuppgifter bestäms en yttersta ram för behandlingen, som endast kan ändras genom lag. Visserligen är de tillåtna ändamålen förhållandevis brett formulerade, vilket ställer högre krav på såväl regleringen i övrigt som på Socialstyrelsen själv att uppfylla de krav som finns i dataskyddsförordningen. Vi har bedömt att det inte är möjligt att fastställa mer konkreta ändamål, givet myndighetens breda uppdrag som statistik- och kunskapsmyndighet. En mer detaljerad ändamålsbestämmelse skulle snarare riskera att bli svåröverskådlig och skapa hinder för myndigheten att utföra sitt uppdrag på ett ändamålsenligt sätt. Det kan även tilläggas att ändamålsbestämmelserna ska läsas tillsammans med lagen i dess helhet och särskilt bestämmelsen om ett socialtjänstdataregisters syfte. På detta sätt tydliggörs ramarna för behandlingen ytterligare genom att de breda ändamålsformuleringarna sätts i en kontext. Regleringen i lag medför samtidigt att ändringar på lägre författningsnivå, såsom en eventuell ändring av myndighetens instruktion, inte skulle kunna utöka myndighetens utrymme att behandla personuppgifter i ett socialtjänstdataregister, som skulle kunna få direkta effekter mot en enskild.

Att i den föreslagna lagen särskilt reglera vilka personuppgifter som får finnas i ett socialtjänstdataregister samt de yttre ramarna för dessa säkerställer också att endast de uppgifter som behövs behandlas i socialtjänstdataregistren. Förutom att en sådan reglering

Ds 2024:13 Samlad integritets- och proportionalitetsbedömning

277

begränsar den tillåtna personuppgiftsbehandlingen förutsätter också regleringen ett noggrant övervägande av nödvändigheten och proportionaliteten av varje enskild personuppgift som föreslås få behandlas. En utökning av de personuppgifter som får behandlas förutsätter likaså att en sådan avvägning sker av riksdag eller regering. Denna reglering av innehållet bedöms därmed tillsammans med föreslagna ändamålsbestämmelser och syftesbestämmelsen minska integritetsriskerna, se avsnitt 8.2.

Känsliga personuppgifter och uppgifter om lagöverträdelser föreslås som utgångspunkt få behandlas om det är nödvändigt för ändamålet. Däremot får sökningar enligt vårt förslag inte utföras i syfte att få fram ett urval av personer grundat på andra känsliga personuppgifter än uppgifter om hälsa, se avsnitt 9.2. Sökbegränsningen begränsar möjligheten att analysera och sortera känsliga personuppgifter, vilket minskar risken för obefogad behandling av sådana uppgifter.

Förslaget om begränsad tillgång till personuppgifterna säkerställer ett aktivt arbete med så kallad behörighetsstyrning, se avsnitt 9.3. Det bör endast vara ett begränsat antal medarbetare som har ett behov av att ta del av de personuppgifter som finns i socialtjänstdataregistren. Det bör i många fall även vara tillräckligt för dem som arbetar med att exempelvis ta fram statistiskt underlag för analys att ta del av personuppgifter som inte är direkt hänförliga till den registrerade. Kravet på att regelbundet kontrollera och följa upp åtkomsten till personuppgifter bidrar till att missbruk av behörigheter, intrång och andra säkerhetsrisker kan förebyggas och upptäckas i ett tidigt skede, vilket minskar risken för att personuppgifter används på ett sätt som de inte var avsedda för vid insamlingen. Risken minskar också för att personuppgiftsincidenter i övrigt inträffar. Det kan även framhållas att Socialstyrelsen har en lång erfarenhet av registerhållning och redan idag har tydliga rutiner där all åtkomst av personuppgifter sker inom det skalskydd som avgränsas fysiskt, tekniskt och med behörighetsstyrning.

Även den föreslagna regleringen om elektroniskt utlämnande bör betraktas som en integritetshöjande åtgärd eftersom en sådan bestämmelse tydliggör och säkerställer att det alltid görs en lämplighetsavvägning innan personuppgifter lämnas ut elektroniskt. Vikten av en sådan avvägning blir särskilt relevant i förhållande till

Samlad integritets- och proportionalitetsbedömning Ds 2024:13

278

de mer integritetskänsliga formerna av elektroniskt utlämnande, se avsnitt 9.4.3.

För att motverka risken för att enskilda på grund av obehag av att finnas med i ett register drar sig för att söka hjälp hos socialtjänsten, är det viktigt med tydlig information om såväl ändamålet och syftet med att uppgifterna behandlas som att säkerheten i behandlingen är rigorös, tillgången kontrollerad och sekretessen mycket stark. Den föreslagna informationsplikten bidrar enligt vår bedömning till att trygga den enskilde och säkerställa dennes rättigheter och intressen.

Även att insamling endast sker i förhållande till insatser som är föremål för dokumentationskrav i socialtjänstens verksamheter utgör en begränsning som medför att den enskildes möjlighet att få vård och annan hjälp under anonymitet inte påverkas av den föreslagna insamlingen. Den föreslagna insamlingen medför alltså inte att en enskild blir mer utredd eller att fler uppgifter om den enskilde registreras än vad som sker hos kommunerna och utförarna i annan regi.

Den allmänna dataskydds- och sekretessregleringen bidrar till ett starkt skydd för personuppgifterna

Utöver de skyddsåtgärder och övriga bestämmelser i integritetshöjande syfte som föreslås i det aktuella regelverket, ger de krav som följer av den allmänna dataskyddsregleringen ett gott skydd för personuppgifterna. Krav på inbyggt dataskydd och dataskydd som standard samt krav på att vidta lämpliga tekniska och organisatoriska skyddsåtgärder för att säkerställa en lämplig säkerhetsnivå följer direkt av dataskyddsförordningen (artiklarna 25 och 32), se även avsnitt 9.3. Det ankommer alltså på Socialstyrelsen att säkerställa skyddet för de uppgifter som myndigheten kommer att behandla.

Sekretessregleringen utgör också en betydelsefull skyddsåtgärd i syfte att minska spridningsrisken för personuppgifterna. Som beskrivs i tidigare kapitel är sekretessen för de personuppgifter som behandlas i ett socialtjänstdataregister som huvudregel absolut, det vill säga att uppgifterna inte får lämnas ut överhuvudtaget. Den absoluta sekretessen hör samman med bland annat förtroendet för den vidarebehandling som sker hos Socialstyrelsen. Det kan tilläggas att sekretessen även gäller gentemot verksamhetsgrenar inom Socialstyrelsen utanför den särskilda statistikverksamheten, vilket

Ds 2024:13 Samlad integritets- och proportionalitetsbedömning

279

ytterligare begränsar personuppgifternas spridning. Undantagen från den absoluta statistiksekretessen omfattas av ett omvänt skaderekvisit och motsvarar därmed socialtjänstsekretessens skyddsnivå.264 Sekretessen är alltså starkare än hos de aktörer som genom den föreslagna uppgiftsskyldigheten ska lämna uppgifter till ett socialtjänstdataregister, se avsnitt 11.5.

Behov och nytta av personuppgiftsbehandlingen

Vi har i tidigare kapitel redogjort för vår bedömning att det är ett angeläget samhällsintresse att förbättra Socialstyrelsens möjligheter att framställa nationell statistik och underlag för analys inom socialtjänsten, eftersom myndighetens arbete ska bidra till att skapa förutsättningar för en kunskapsbaserad socialtjänst. Socialtjänsten har en central roll i välfärden och ska främja förutsättningarna för goda levnadsförhållanden, svara för omsorg och service, upplysningar, råd, stöd och vård, ekonomisk hjälp och annat bistånd till familjer och enskilda som behöver det. Det handlar om stöd och insatser för de mest utsatta i samhället. En kunskapsbaserad socialtjänst förutsätter bästa tillgängliga kunskap för att bland annat fånga upp ojämlikheter i insatserna, utveckla metoder för att möta sociala och ekonomiska samhällsförändringar samt identifiera och på bästa sätt värna barn och unga i utsatthet. Kunskap i form av nationell statistik och analys bidrar till att utveckla och förbättra kvaliteten i insatserna inom socialtjänsten.

Som vi tidigare har redogjort för tillmötesgår den mängdbaserade statistik som rapporteras av kommunerna till Socialstyrelsen idag inte socialtjänstens behov av kunskap för att kunna stärka kvaliteten när det gäller förebyggande stöd och insatser inom socialtjänsten. Särskilt påtagliga är bristerna inom missbruks- och beroendevården samt individ- och familjeomsorgen. Det är därför angeläget att möjliggöra en utökad insamling av individuppgifter till Socialstyrelsens socialtjänstdataregister för att myndigheten ska kunna framställa nödvändig statistik och underlag av det slag som ger myndigheten bättre förutsättningar att kunna analysera och följa socialtjänstens områden i sin helhet. En utökad individbaserad statistik möjliggör fler analysmöjligheter, och en insamling baserad

264 Se 24 kap. 8 § OSL.

Samlad integritets- och proportionalitetsbedömning Ds 2024:13

280

på uppgiftsskyldighet säkerställer även en högre kvalitet på de uppgifter som samlas in. Bättre förutsättningar för analys både för Socialstyrelsen och andra samhälleliga aktörer bidrar i sin tur till bättre kunskap om socialtjänstens verksamhet. En bättre kunskap om socialtjänstens verksamhet och de insatser som beviljas syftar i förlängningen till att komma den enskilde till gagn genom en socialtjänst som kan tillhandahålla sådant skydd, stöd, vård och omsorg som är effektiv utifrån varje enskild individs särskilda behov. Detta arbete bedöms alltså vara till nytta såväl för samhället i stort som för de personer som tar del av insatser inom socialtjänsten, såsom barn och unga, personer med funktionsnedsättning och personer som har ett missbruk eller beroende.

Vi har i kapitel 8 närmare redovisat våra bedömningar och förslag i fråga om vilka personuppgifter som ska få behandlas i ett socialtjänstdataregister samt skälen till att uppgiften bör kunna finnas i ett socialtjänstdataregister. Vi har gett exempel på hur dessa uppgifter genom nationell statistik och vid framställning av underlag för analys kan ge värdefull kunskap om bland annat insatser och metoder. Vi har bland annat framhållit värdet av att personbundna uppgifter om orsak till en insats får behandlas av Socialstyrelsen för att kunna utföra kvalificerade analyser av vilka insatser som är framgångsrika för att tillgodose ett visst behov. Vid en insamling av både uppgifter om orsak till en insats och skäl för att en insats nekas skulle Socialstyrelsen kunna uppmärksamma och belysa förekomsten av ojämlika förhållanden.

Ett barn eller en ung person som får insatser från socialtjänsten har exempelvis ofta flera olika insatser under sin uppväxt. Möjligheten att följa barn och vuxna genom hela omsorgskedjan och i förlängningen få kunskap om vad som är effektiva insatser utifrån olika behov är grundläggande för att kunna följa upp och få mer kunskap om de insatser som ges. En utökad nationell statistik kommer att kunna bidra till en större kunskap om vilka åtgärder som ska prioriteras eftersom det kommer att finnas större möjligheter att genom statistiken på sikt analysera utfallet av de aktuella insatserna. Socialtjänsten behöver veta att deras insatser gör nytta och hur metoder kan vidareutvecklas.

Ds 2024:13 Samlad integritets- och proportionalitetsbedömning

281

Vid en avvägning mellan behov och risker bedöms den utökade personuppgiftsbehandlingen vara nödvändig och proportionerlig

Det nu föreslagna regelverket möjliggör för Socialstyrelsen att utan samtycke samla in, behandla och även lämna ut uppgifter om enskilda som rör deras personliga förhållanden. Särskilt mot bakgrund av den stora omfattningen av personuppgifter som får behandlas i ett socialtjänstdataregister innebär förslagen som ovan nämnts ett intrång i den personliga integriteten. Intrånget i den personliga integriteten måste samtidigt vägas mot behovet av att behandla uppgifterna i det avsedda syftet.

Den reglering av Socialstyrelsens personuppgiftsbehandling i ett socialtjänstdataregister som föreslås syftar till att balansera myndighetens behov av att utföra sitt samhällsviktiga uppdrag på ett ändamålsenligt sätt och att ge ett starkt skydd för enskildas personliga integritet. Även om vi föreslår reglering i lag och förordning som syftar till att uppnå en rimlig balans mellan behov av utökade socialtjänstdataregister och de effekter på den personliga integriteten som förslagen kan komma att få, kommer det att kvarstå vissa risker för integritetsintrång.

Som vi har beskrivit ovan och i tidigare kapitel motiveras dock behandlingen i ett socialtjänstdataregister av tydliga behov och förväntad nytta för såväl samhället i stort som för enskilda som får insatser från socialtjänsten, ett behov som under en längre tid har lyfts från olika håll. Behandlingen av personuppgifter i ett socialtjänstdataregister syftar alltså till att tillgodose ändamål som enligt vår uppfattning är godtagbara i ett demokratiskt samhälle, och därför kan rättfärdiga en inskränkning av skyddet för den personliga integriteten i bland annat regeringsformen. Det har även framkommit att det inte är möjligt att uppnå syftet med våra förslag med mindre integritetskänsliga alternativ. Vi bedömer därför att det är nödvändigt att Socialstyrelsen ges en utökad möjlighet att samla in och behandla personuppgifter för att kunna utveckla den nationella statistiken och olika kunskapsunderlag, för syftet att stärka och förbättra socialtjänsten. Vår uppfattning är att nyttan med detta står i rimlig proportion till det intrång som uppstår i de enskildas integritet. Den planerade behandlingen av personuppgifter går därför inte utöver vad som är nödvändigt med hänsyn till de syften som ligger till grund för förslagen.

Samlad integritets- och proportionalitetsbedömning Ds 2024:13

282

Behandlingen av uppgifterna hos Socialstyrelsen kommer vidare att omfattas av såväl generella bestämmelser i integritetshöjande syfte som bestämmelser om särskilda skydds- och säkerhetsåtgärder. Sekretesskyddet för uppgifterna hos Socialstyrelsen är som ovan nämnts också mycket starkt. Genom de skyddsbestämmelser som vi föreslår samt det dataskyddsrättsliga regelverket i övrigt och befintlig sekretesslagstiftning säkerställs ett hållbart och enligt vår bedömning tillräckligt tillfredsställande integritetsskydd.

Vi bedömer alltså sammantaget att det föreslagna regelverket innebär en godtagbar avvägning mellan intresset av att uppgifterna samlas in och behandlas av Socialstyrelsen och intresset av att skydda den enskildes personliga integritet. Allmänintresset av att stärka den nationella statistiken och säkerställa ett kunskapsunderlag med hög kvalitet ägnat att utveckla och förbättra socialtjänsten, står i rimlig proportion till det intrång i den personliga integriteten som en utökad obligatorisk insamling av uppgifter i socialtjänstdataregistren innebär. Intrånget bedöms alltså vara motiverat och proportionerligt i förhållande till Socialstyrelsens behov att behandla personuppgifter för de föreslagna ändamålen och inom de övriga ramar som anges i den föreslagna lagen.

Sammanfattande bedömning

Vi har ovan redovisat våra överväganden i fråga om förslagens risker för den personliga integriteten, integritetsstärkande åtgärder, behovet av den föreslagna regleringen och proportionalitet. Vi har även redogjort för förslagens förenlighet med dataskyddsförordningen samt de begränsningar i annan reglering till skydd för enskildas personliga integritet som våra förslag innebär.

Vår slutsats är att den personuppgiftsbehandling som möjliggörs av det föreslagna regelverket utgör en proportionerlig inskränkning av det skydd för den personliga integriteten som finns i regeringsformen, Europakonventionen samt EU:s rättighetsstadga. Förslagen bedöms även vara förenliga med kraven på proportionalitet enligt dataskyddsförordningen.

Ds 2024:13 Samlad integritets- och proportionalitetsbedömning

283

Konsekvensbedömning avseende dataskydd

Socialstyrelsen ska, när det är nödvändigt, göra en konsekvensbedömning avseende dataskyddet och en framställan om så kallad förhandssamråd till Integritetsskyddsmyndigheten (artiklarna 35 och 36 i dataskyddsförordningen). De överväganden som vi redovisar här är inte avsedda att utgöra en sådan bedömning som ersätter kravet på en konsekvensbedömning avseende dataskydd enligt dataskyddsförordningen. En konsekvensbedömning görs bäst av Socialstyrelsen eftersom det ytterst är upp till myndigheten att besluta om de närmare förutsättningarna för behandlingen, till exempel vilken teknik och vilka säkerhetslösningar som ska användas.

285

14. Ikraftträdande- och övergångsbestämmelser

Vårt förslag: Den föreslagna lagen med tillhörande förordning

och övriga författningsförslag ska träda i kraft den 1 januari 2026.

Bestämmelserna om uppgiftsskyldighet i 17 § i den föreslagna lagen samt 6 och 7 §§ i den föreslagna förordningen ska dock tillämpas först från och med den 1 januari 2027.

Samtidigt som de nya författningarna träder i kraft ska de nuvarande bestämmelserna om uppgiftsskyldighet i 15 a § lagen (1993:387) om stöd och service till vissa funktionshindrade och 12 kap. 5 § socialtjänstlagen (2001:453) upphöra att gälla samt förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen (2004:16) om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade att upphävas. De upphävda bestämmelserna och förordningarna om uppgiftsskyldighet ska dock fortfarande gälla till och med den 31 december 2026.

Vår bedömning: För övriga förslag bedöms det inte finnas ett

behov av övergångsbestämmelser.

Skälen för vårt förslag och vår bedömning

Ikraftträdande

De förslag som vi lämnar innebär att Socialstyrelsens register inom socialtjänstområdet får en helt ny och särskild författningsreglering. De innebär även att insamlingen till registren, och struktureringen

Ikraftträdande- och övergångsbestämmelser Ds 2024:13

286

av dessa, kommer att genomgå en utveckling. Det nya regelverket för socialtjänstdataregister bör träda i kraft så snart som möjligt i anslutning till en ny socialtjänstlag. Med hänsyn till den tid som behövs för remissförfarande, fortsatt beredning inom Regeringskansliet och behandling i riksdagen bör den av oss föreslagna regleringen dock kunna träda i kraft som tidigast den 1 januari 2026. De föreslagna ändringarna i förordningen om den officiella statistiken och förordningen med instruktion för Socialstyrelsen bör träda i kraft samtidigt som det nya regelverket.

Det nya regelverket kommer att reglera en uppgiftsskyldighet till Socialstyrelsen som täcker den insamling som idag sker med stöd av särskilda bestämmelser om uppgiftsskyldighet i annan författning. Samtidigt som den nya regleringen träder i kraft bör därför bestämmelserna om uppgiftsskyldighet i 15 a § lagen om stöd och service till vissa funktionshindrade, LSS, och 12 kap. 5 § socialtjänstlagen att upphöra att gälla samt förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade att upphävas.

Övergångsbestämmelser angående uppgiftsskyldigheten till Socialstyrelsen

Det behövs en omställningstid för den utökade insamlingen till socialtjänstdataregistren, både för Socialstyrelsen att meddela närmare föreskrifter och för de utlämnande aktörerna att bland annat anpassa system och införa nya rutiner för dokumentation.

Förberedande arbete inför en sådan omställning förutsätts påbörjas både hos Socialstyrelsen och de uppgiftsskyldiga aktörerna redan innan ikraftträdandet av den föreslagna lagen för att möjliggöra en ökad inrapportering till socialtjänstdataregistren. Mot bakgrund av omställningsarbetets omfattning föreslår vi att bestämmelserna om uppgiftsskyldighet i den föreslagna lagen och förordningen ska tillämpas först från och med den 1 januari 2027. Vi anser att det är viktigt med förutsebarhet för både kommuner och andra uppgiftsskyldiga aktörer, varför vi valt att föreslå ett bestämt datum. Fram till dess ska upphävda bestämmelser om uppgiftsskyldighet i socialtjänstlagen och LSS med tillhörande förordningar

Ds 2024:13 Ikraftträdande- och övergångsbestämmelser

287

och utfärdade föreskrifter att tillämpas. Detta för att undvika ett glapp i den befintliga inrapporteringen.

För Statens institutionsstyrelse, SiS, sker inrapporteringen till Socialstyrelsen fortsatt utifrån de generella föreskrifterna om uppgiftsskyldighet i förordningen om den officiella statistiken fram till dess att särskilda föreskrifter meddelats av Socialstyrelsen med stöd av det nya regelverket för socialtjänstdataregister.

Det saknas i övrigt behov av övergångsbestämmelser

Socialstyrelsens befintliga register med redan insamlade uppgifter från verksamheter inom socialtjänsten är både till sin karaktär och innehåll sådana socialtjänstdataregister som omfattas av det föreslagna regelverket. Den nya regleringen ska alltså tillämpas av Socialstyrelsen vid myndighetens behandling av redan insamlade uppgifter i befintliga socialtjänstdataregister. Vi anser att det saknas behov av övergångsbestämmelser i detta avseende.

Utöver våra förslag till övergångsbestämmelser för bestämmelserna om uppgiftsskyldighet föreslår vi därför inte några ytterligare övergångsbestämmelser.

289

15. Konsekvenser

15.1. Inledning

I detta kapitel redogör vi för de konsekvenser som följer av vårt författningsförslag. Det handlar bland annat om ekonomiska konsekvenser, samhällsekonomiska effekter och konsekvenser för den kommunala självstyrelsen.

Utöver de delar som ska ingå i en konsekvensanalys enligt kommittéförordningen (1998:1474) beskriver vi särskilt vad den utökade uppgiftsskyldigheten kan innebära för den som bedriver verksamhet inom socialtjänsten. Vi redogör också för konsekvenserna för barn och barns rättigheter samt återkopplar till konsekvenserna vi identifierat för den personliga integriteten.

15.2. Övergripande konsekvenser

Socialstyrelsen har hittills behandlat personuppgifter med stöd av den allmänna dataskyddsregleringen och regelverket om den officiella statistiken. Vårt förslag till ny lag om socialtjänstdataregister innebär därför ett efterfrågat och tydligare rättsligt stöd för Socialstyrelsens personuppgiftsbehandling i ett socialtjänstdataregister specifikt. Förslagen ger även myndigheten bättre förutsättningar att utföra sitt uppdrag på ett effektivt och ändamålsenligt sätt samtidigt som skyddsåtgärder och andra integritetshöjande åtgärder värnar den personliga integriteten.

Den i promemorian föreslagna författningen utökar Socialstyrelsens möjligheter att framställa statistik genom att fler personuppgifter tillåts samlas in med stöd av uppgiftsskyldighet. Förslagen tydliggör också att myndigheten får behandla uppgifter i ett socialtjänstdataregister för andra ändamål än framställning av statistik i strikt mening och bedöms därför bidra till att skapa

Konsekvenser Ds 2024:13

290

förutsättningar för en mer kunskapsbaserad socialtjänst och även i övrigt bidra till det övergripande syftet att utveckla och förbättra socialtjänsten. Utan de möjligheter som den föreslagna författningen ger kommer den nationella statistiken inom socialtjänsten även fortsättningsvis att vara bristande och endast ge begränsad nytta för socialtjänsten.

De förslag vi lämnar berör Socialstyrelsen i egenskap av personuppgiftsansvarig myndighet och kan komma att innebära vissa utökade krav på myndigheten. Förslagen berör även kommunerna och andra aktörer som bedriver verksamhet inom socialtjänsten eftersom dessa aktörer föreslås omfattas av ett utökat och obligatoriskt uppgiftslämnande till Socialstyrelsen. Även de enskilda vars personuppgifter samlas in och behandlas i ett socialtjänstdataregister berörs. För dessa innebär förslagen dock också en ökad transparens i fråga om syftet med och ändamålen för behandlingen av personuppgifter och ger därför samtidigt bättre kännedom och kontroll över personuppgifterna som behandlas.

Förslagen är inte utformade på ett sätt som förändrar Socialstyrelsens organisation, tekniska system eller i övrigt ålägger myndigheten nya arbetssätt. Ett fullt möjliggörande av den personuppgiftsbehandling som förslagen tillåter kan samtidigt komma att kräva vissa anpassningar och merarbete. En större omställning kommer att krävas av kommunerna, och till viss del av andra aktörer som bedriver verksamhet inom socialtjänsten. Våra förslag kommer därför att medföra en ökad arbetsbörda och nödvändiga anpassningar för kommuner samt statliga och privata utförare, vilket kommer att leda till ökade kostnader på kort sikt. Vi bedömer dock att de ökade kostnaderna endast är aktuella under en övergångsperiod och att en nödvändig omställning i ett längre perspektiv kommer att leda till såväl administrativa som ekonomiska vinster.

15.3. Särskilt om samhällsekonomiska effekter

Våra förslag avser att stärka den nationella statistiken inom socialtjänsten genom att ge Socialstyrelsen utökade möjligheter att samla in och behandla personuppgifter i ett socialtjänstdataregister. Kunskap om insatsers resultat, möjligheter och risker kan genom

Ds 2024:13 Konsekvenser

291

den nationella statistiken och annat underlag för analys synliggöras och därmed ligga till grund för socialtjänstens övergripande beslut om insatser. Det leder dels till att mer effektiva insatser kan erbjudas på sikt, vilket höjer kvaliteten i insatserna generellt, dels till att tveksamma eller direkt skadliga insatser kan utmönstras, vilket leder till minskade skillnader i kvalitet. En bättre kunskap om socialtjänstens verksamhet syftar i förlängningen till att komma den enskilde till gagn genom en socialtjänst som kan tillhandahålla det stöd och den hjälp som är effektiv utifrån varje enskild individs särskilda behov. En sådan socialtjänst kommer sannolikt att bidra till att fler personer tar sig ur sin utsatthet eller sitt utanförskap, vilket kommer att vara till nytta och leda till ekonomiska vinster för samhället i stort.

Den ökade arbetsbörda som anpassningar av verksamhetssystem, framtagande av föreskrifter och rutiner kommer att innebära vid ett införande av en ny lag om socialtjänstdataregister kommer att vara relativt omfattande, se vidare nedan. Samtidigt kan vissa effektivitetsvinster förväntas dels som en direkt följd av omställningen till en mer strukturerad dokumentation hos kommunerna och den som bedriver verksamhet inom socialtjänsten, dels som en följd av att en mer effektiv och pricksäker socialtjänst kan erbjudas enskilda på sikt. Vår sammantagna bedömning är därför att våra förslag i ett längre perspektiv kommer att leda till positiva samhällsekonomiska effekter och även bidra till de samhällsekonomiska vinster som förväntas följa av en ny socialtjänstlag generellt.265

15.4. Ekonomiska konsekvenser

15.4.1. Socialstyrelsen

Förslaget till en ny lag om socialtjänstdataregister innebär inte att Socialstyrelsen får några nya eller ändrade uppgifter utan är framförallt tänkt att förbättra och tydliggöra den personuppgiftsbehandling som behöver ske i ett socialtjänstdataregister. Förslagen innebär inte heller ett åläggande för

265 Se SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 958–967.

Konsekvenser Ds 2024:13

292

Socialstyrelsen att arbeta på ett visst sätt och ställer inte i övrigt några krav på myndigheten att införa eller utveckla nya it-system. Trots detta kan de krav och möjligheter som en ny lagstiftning generellt innebär för Socialstyrelsen inledningsvis leda till vissa tekniska och organisatoriska anpassningar. Om Socialstyrelsen vill möjliggöra personuppgiftsbehandling i samma utsträckning som förslagen tillåter, är det inte heller uteslutet att vissa större anpassningar och visst merarbete kommer att behövas.

Socialstyrelsen tillämpar redan idag behörighetsstyrning för åtkomst till personuppgifter i ett socialtjänstdataregister. Registren ligger även i en särskilt säker miljö som är avskild från annan verksamhet inom Socialstyrelsen genom fysiskt skalskydd. De tekniska anpassningar som kommer att krävas för att uppfylla våra förslag om till exempel behörighetsstyrning bör därför vara begränsade. De föreslagna ändamålen för behandling av personuppgifter i ett socialtjänstdataregister skulle även kunna innebära vissa organisatoriska anpassningsbehov för att säkerställa att sekretesskyddet för uppgifter i ett socialtjänstdataregister förblir opåverkat. Även dessa bedöms dock som begränsade. Vår bedömning är därför att nödvändiga tekniska och organisatoriska anpassningar generellt är begränsade och ryms inom befintliga anslag.

Initialt skulle det även kunna komma att krävas viss utbildning för de medarbetare vid myndigheten som ska tillämpa de nya reglerna. Nya styrdokument kommer också behöva tas fram och implementeras. Eventuella kostnader för utbildning och styrande dokument får dock anses ingå i myndighetens ordinarie uppgifter och bedöms därför rymmas inom befintliga anslag.

Ett särskilt stort arbete för Socialstyrelsen kommer dock vara att, utifrån den utökade insamlingen av personuppgifter, noggrant överväga och ta fram kategorier och variabler som säkerställer tillräcklig kvalitet för ett nationellt statistikregister. Dessa behöver sedan tas in i föreskrifter för att uppgifterna ska omfattas av uppgiftsskyldighet. Arbetet med att skapa och tillhandahålla enhetliga begrepp, termer och klassifikationer samt att ta fram föreskrifter ingår visserligen i myndighetens ordinarie uppgifter. De kostnader som detta arbete förväntas leda till bedöms dock gå utöver vad som ryms inom befintliga anslag. Socialstyrelsen har uppskattat att myndighetens ökade kostnader för att ta fram föreskrifter om

Ds 2024:13 Konsekvenser

293

uppgiftsskyldighet kommer att vara cirka tre miljoner kronor. Andra anpassningar och åtgärder som följer av ett införande av den föreslagna lagen om socialtjänstdataregister, exempelvis externa utbildningsinsatser i förhållande till kommuner och andra aktörer inom socialtjänsten, bedömer myndigheten ryms inom befintliga ekonomiska ramar och anslag. De förväntade ökade kostnaderna för Socialstyrelsen bör kunna finansieras genom ett ökat anslag till Socialstyrelsen. Medel till detta bör kunna fördelas från de medel som årligen är avsatta för ändamålet socialtjänstdataregister enligt budgetpropositionen för 2024.266

15.4.2. Kommuner

Samtliga kommuner berörs av våra förslag genom den föreslagna utökade uppgiftsskyldigheten. En utökad uppgiftsskyldighet innebär per automatik en utökad uppgiftslämnarbörda och kräver även att kommunerna har rätt förutsättningar att uppfylla sin skyldighet att lämna uppgifter, bland annat vad gäller registrering och inrapportering av uppgifter.

Socialstyrelsen har i april 2024 redovisat sitt uppdrag där myndigheten analyserat kommunernas förutsättningar och behov inför införandet av en socialtjänstdataregisterlag.267 Socialstyrelsens bedömning är att kommunernas utmaningar med en ny nationell insamling till socialtjänstdataregistren är många och att det finns ett tydligt behov av både utvecklad dokumentation och bättre systemstöd hos flertalet kommuner. Socialstyrelsen har i sin rapport därför bedömt att kommunerna kommer att få ökade kostnader i och med en utökad uppgiftsskyldighet. Det har varit svårt för kommunerna att uppskatta kostnader, arbetstid och behov av utbildningsinsatser, något som har resulterat i att Socialstyrelsen bedömt att det inte är möjligt att på ett ändamålsenligt sätt redovisa specifika kostnader för alla delar. Utifrån de räkneexempel som myndigheten tagit fram uppskattas kommunernas kostnader till följd av den utökade uppgiftsskyldigheten till cirka 418 miljoner kronor. Kostnaden består till övervägande del av ökade kostnader

266Prop. 2023/24:1, Budgetpropositionen för 2024 – Utgiftsområde 9, s. 174. 267 Socialstyrelsen (2024). Kommunernas förutsättningar och behov inför införandet av en

socialtjänstdataregisterlag.

Konsekvenser Ds 2024:13

294

för omställningen av kommunernas dokumentation, men också av kostnader för utveckling av verksamhetssystem och utbildning.

Socialstyrelsens beräkning kan behöva ses över utifrån vårt förslag till lag om socialtjänstdataregister. Vi kan bland annat konstatera att den i promemorian föreslagna uppgiftsskyldigheten är mer begränsad än tidigare förslag som lämnats av Utredningen Framtidens socialtjänst. Kostnaderna skulle därför troligtvis bli något lägre för kommunerna. Det kan även tilläggas att kommunerna idag lämnar betydande uppgifter i form av mängddata till Socialstyrelsen på frivillig grund. Den tid som summeringen och sammanställningen av dessa uppgifter kräver skulle vid en omställning till en utökad uppgiftsskyldighet frisättas, eftersom uppgifterna då skulle omfattas av uppgiftsskyldigheten i fråga. Det är enligt vår bedömning också rimligt att vissa delar av kostnaderna bör rymmas inom kommunernas befintliga ekonomiska ramar och innefattas i arbetet med den löpande utvecklingen av informationshantering och digitalisering generellt. Det är även vår bedömning att arbetsbördan och de ökade kostnaderna på sikt bör kunna minska och att det därför är fråga om en tillfällig omställningskostnad. Samtidigt kan det nämnas att Socialstyrelsen lyft att det är osäkert hur arbetsbördan för kommunerna kommer att påverkas på lång sikt. På grund av den stora osäkerhet som finns kring vilka kostnader våra förslag kommer att leda till för kommunerna får vi överlämna till regeringen att besluta om resurser och finansiering.

15.4.3. Privata utförare

Den föreslagna uppgiftsskyldigheten kommer att gälla för ett stort antal enskilda verksamheter som genomför insatser inom socialtjänsten och enligt LSS på uppdrag av kommunerna. Huvuddelen av de privata utförarna är företag, men det är även fråga om bland annat föreningar och stiftelser.

Dessa privata utförare ska oavsett storlek kunna lämna uppgifter till Socialstyrelsen. Hur detta påverkar utförarna beror helt på vilket utgångsläge en utförare har. Förutsättningarna för de privata utförarna att kunna rapportera uppgifter till Socialstyrelsens socialtjänstdataregister beror bland annat på vilket verksamhetssystem som används i dagsläget och vilken teknisk erfarenhet som

Ds 2024:13 Konsekvenser

295

finns bland personalen. Det är därför svårt att säkert säga hur det kommer att påverka små respektive stora privata utförare. Det är dock troligt att våra förslag medför ett omställningsarbete som initialt kommer att vara förenat med en kostnad för att få system och rutiner på plats. Sannolikt är att ett omställningsarbete kan komma att bli mer kännbart för små än för stora verksamheter, vilket initialt skulle kunna påverka små företags konkurrensförmåga i förhållande till stora företag. Det får dock anses som en självklarhet att alla privata utförare som självständigt ansvarar för att dokumentera sina insatser ska omfattas av uppgiftsskyldigheten och att åtskillnad inte kan göras utifrån utförarens storlek.

Vårdföretagarna har bland annat lyft vikten av att det tydliggörs vad som ska rapporteras och om det ska ske direkt till Socialstyrelsen eller till den uppdragsgivande kommunen. Branschorganisationen har här betonat att dubbelarbete bör undvikas och att en teknikneutral väg bör väljas. Även Svenska Vård har bland annat framhållit att det från de privata utförarnas sida är av stor betydelse att uppgiftslämnandet organiseras och struktureras på ett administrativt enkelt sätt. Branschorganisationen har också uttryckt att det från de privata aktörernas perspektiv finns skäl att säkerställa att det blir uppdragsgivaren som ansvarar för uppgiftslämnandet till ett socialtjänstdataregister.

Som vi tidigare har redogjort för hindrar den föreslagna uppgiftsskyldigheten inte att kommunala nämnder ingår överenskommelser med privata utförare om att nämnderna ska ansvara för uppgiftslämnandet till Socialstyrelsen, när det bedöms finnas förutsättningar för detta. Det är i sammanhanget också värt att upprepa att det inte är några nya uppgifter som ska dokumenteras i akterna, utan att det endast handlar om hur uppgifter om exempelvis insats och aktivitet ska registreras för att de ska kunna rapporteras till Socialstyrelsen. Att utförare med offentlig finansiering ska lämna vissa uppgifter till Socialstyrelsen bedöms vidare inte hindra eller göra det mindre attraktivt att utöva eller begränsa den fria rörligheten av tjänster. Kostnaderna för omställningsarbetet är svåra att uppskatta, men bör kunna hanteras inom ramen för kommunernas upphandling av tjänster. Kostnaderna kommer på detta vis endast indirekt att belasta de privata utförarna.

Konsekvenserna för de privata utförarna får sammanfattningsvis anses acceptabla för att uppnå syftet med förslaget.

Konsekvenser Ds 2024:13

296

15.4.4. Andra statliga myndigheter

Våra förslag innebär även en utökad uppgiftsskyldighet för Statens institutionsstyrelse, SiS, vad gäller myndighetens missbruksvård, och en helt ny uppgiftsskyldighet i förhållande till ungdomsvården. En utökad insamling utifrån de uppgiftskategorier som föreslås torde innebära ett visst initialt omställningsarbete för att få igång insamlingen och överföringen. De utökade kostnaderna som detta kan medföra bör enligt vår mening kunna hanteras inom myndighetens befintliga ekonomiska ramar.

Socialstyrelsen inhämtar idag även vissa uppgifter från SCB:s register över totalbefolkningen. Eftersom våra förslag ger Socialstyrelsen möjlighet att samla in personuppgifter om ett större antal individer, kommer uppgiftsinsamlingen från SCB att utökas. Vi bedömer dock att detta inte kommer att medföra några ytterligare kostnader för myndigheten.

15.5. Konsekvenser för den personliga integriteten

Våra förslag innebär att Socialstyrelsen ges utökade möjligheter att samla in och behandla stora mängder personuppgifter, även när det skulle kunna innebära ett betydande intrång i den personliga integriteten. Förslagen medför, i förhållande till den personuppgiftsbehandling som Socialstyrelsen idag utför i befintliga socialtjänstdataregister, ett bättre skydd för den personliga integriteten än vad som nu gäller. Även för sådan utökad behandling som möjliggörs genom våra förslag bedöms ett gott skydd för den personliga integriteten uppnås genom det föreslagna regelverket samt befintlig reglering om dataskydd och sekretess.

Vi bedömer att det föreslagna regelverket innebär en godtagbar avvägning mellan intresset av att uppgifterna samlas in och behandlas av Socialstyrelsen och intresset av att skydda den enskildes personliga integritet. I kapitel 13 har vi redogjort för vår samlade integritets- och proportionalitetsbedömning.

Ds 2024:13 Konsekvenser

297

15.6. Konsekvenser för det kommunala självstyret

Den kommunala självstyrelsen regleras bland annat i 14 kap. RF och innebär att det ska finnas en självständig och, inom vissa ramar, fri bestämmanderätt för kommunerna. Enligt 14 kap. 3 § RF bör en inskränkning i den kommunala självstyrelsen prövas mot proportionalitetsprincipen, vilket innebär att en inskränkning inte bör gå utöver vad som är nödvändigt med hänsyn till de ändamål som föranlett inskränkningen. Bestämmelsen innebär att en regelmässig prövning av de kommunala självstyrelseintressena ska göras under lagstiftningsprocessen.

Våra förslag innebär att kommuner åläggs en skyldighet att lämna uppgifter till Socialstyrelsen i större utsträckning än idag. Uppgifterna som samlas in till ett nationellt socialtjänstdataregister måste vara enhetligt definierade på en tillräckligt detaljerad nivå för att informationen i uppgifterna ska vara meningsfull att använda och möjlig att systematiskt hämtas in från dokumentationen i socialtjänstens verksamheter.

Vi bedömer att våra förslag om en utökad uppgiftsskyldighet för kommunerna innebär en inskränkning i den kommunala självstyrelsen då avsikten är att styra socialtjänstens sätt att arbeta. Denna inskränkning måste vägas mot förslagens syfte, det vill säga att stärka den nationella statistiken och säkerställa ett kunskapsunderlag med hög kvalitet ägnat att utveckla och förbättra socialtjänsten. Genom uppgiftsskyldigheten kan kommuninvånare alltså i förlängningen garanteras en högre och mer likvärdig kvalitet i socialtjänstens insatser oavsett problematik. Likvärdiga, effektiva och säkra insatser stärker också legitimiteten och människors förtroende för socialtjänsten och dess verksamhet. Det bedöms vidare vara nödvändigt med en reglering i lag för att uppnå syftet med uppgiftsskyldigheten.

Vi anser sammantaget att den inskränkning i den kommunala självstyrelsen som förslaget innebär är proportionerlig i förhållande till ändamålet med regleringen.

15.7. Konsekvenser för barn

Barns fri- och rättigheter skyddas bland annat genom FN:s konvention om barnets rättigheter (barnkonventionen), som också

Konsekvenser Ds 2024:13

298

gäller som lag i Sverige.268 Barnkonventionen är inriktad på individen, det enskilda barnet, och de materiella artiklarna handlar om barnets rätt att få sina grundläggande rättigheter och behov tillgodosedda. Det rör sig om medborgerliga och politiska rättigheter men även sociala, ekonomiska och kulturella rättigheter. Barnkonventionen innehåller fyra grundprinciper som ska vara vägledande för hur helheten i barnkonventionen ska tolkas: barnets rätt till icke-diskriminering och lika värde och rättigheter (artikel 2), barnets bästa (artikel 3), rätten till liv, överlevnad och utveckling (artikel 6) och barnets rätt att uttrycka sina åsikter och få dem beaktade (artikel 12). Principen om barnets bästa är konventionens grundpelare och innebär att en prövning av vad som är bäst för barnet ska göras vid alla åtgärder som rör barn.

Barn anses vara särskilt sårbara och i behov av stöd och skydd. Det gäller bland annat skydd mot fysiskt och psykiskt våld, skada eller övergrepp, vanvård eller försumlig behandling (jfr artikel 19). Av detta följer att staten har en skyldighet att vidta effektiva åtgärder för att skydda barn. Sådana åtgärder kan rikta sig direkt mot barnet eller vara i form av stöd till föräldrar. Även de barn som redan står under statens beskydd genom exempelvis ett omhändertagande har rätt till bland annat regelbunden översyn av den behandling som barnet får (jfr artikel 25). För att staten ska uppfylla sina åtaganden enligt barnkonventionen krävs alltså att de åtgärder och insatser inom socialtjänsten som rör barn grundar sig på kunskap om vad som utgör effektiva åtgärder i varje enskild situation, det vill säga vad som är bäst för barnet.

FN:s barnrättskommitté har uttryckt att en nödvändig del för genomförandet av barnkonventionen är att samla in tillräcklig och tillförlitlig data om barn, för att göra det möjligt att upptäcka ojämlikheter i förverkligandet av rättigheterna, och att insamlingen måste samordnas inom statens hela jurisdiktion så att man använder indikatorer som kan tillämpas nationellt.269

Våra förslag syftar till att med hjälp av en utökad nationell statistik och analys bidra till att utveckla och förbättra socialtjänstens verksamhet inom bland annat den sociala barn- och ungdomsvården. Förslagen syftar alltså till att på sikt medföra att

268 Se lagen (2018:1197) om Förenta nationernas konvention om barnets rättigheter. 269 Se FN:s barnrättskommitté. Allmän kommentar nr 5 (2003). Allmänna åtgärder för

genomförandet av konventionen om barnets rättigheter (artikel 4, 42 och 44.6), punkt 48.

Ds 2024:13 Konsekvenser

299

barn i högre utsträckning kan erbjudas skydd, stöd, vård och omsorg som är väl avvägd utifrån deras situation och därmed även med större sannolikhet kan leda till ett gott resultat för varje enskilt barn. Utöver att en förbättrad nationell statistik och analys i förlängningen kan bidra till mer välavvägda insatser beroende på barnets situation förväntas även förutsättningarna öka för mer likvärdiga bedömningar oavsett var i landet och av vem bedömningen görs. Med ett bättre synliggörande av de insatser som erbjuds barn kan även barnets delaktighet och möjlighet att påverka den egna vården bli större. Våra förslag bedöms därmed påverka barns rättigheter på ett positivt sätt och samtidigt bidra till uppföljningen av hur barnkonventionen tillgodoses genom säkerställandet av att rätt åtgärder vidtas.

Av artikel 16 i barnkonventionen följer barnets rätt till skydd för privatliv och personlig integritet. Som vi tidigare har redogjort för anges också i dataskyddsförordningen att barns personuppgifter förtjänar ett särskilt skydd, eftersom barn bland annat kan vara mindre medvetna om sina rättigheter när det gäller behandling av personuppgifter. Våra förslag möjliggör för Socialstyrelsen att samla in och behandla omfattande mängder integritetskänsliga personuppgifter om barn och unga. Som framgår av kapitel 13 måste en avvägning göras mellan olika intressen och syftet med behandlingen av personuppgifter vägas mot integritetsriskerna. Vi har gjort bedömningen att de integritetsrisker som våra förslag medför är proportionerliga i förhållande till det eftersträvade syftet och att förslagen är förenliga med gällande dataskyddslagstiftning. Det ingrepp som förslagen medför i den personliga integriteten för barn kommer därmed inte att vara godtyckligt och hanteringen av uppgifterna kommer att vara föremål för reglering i lag. Vi bedömer därför att förslagen är förenliga med barnkonventionens krav på rätt till respekt för privatlivet.

15.8. Övriga konsekvenser

Våra förslag har som övergripande syfte att bidra till ökad kunskap inom socialtjänsten. Förslagens kunskapshöjande aspekt påverkar flera av de områden som särskilt lyfts i 15 § kommittéförordningen.

Konsekvenser Ds 2024:13

300

Brottsligheten och det brottsförebyggande arbetet förväntas inte påverkas på ett negativt sätt av förslagen. Däremot ger förslagen bättre förutsättningar för uppföljning och analys av socialtjänstens insatser och resultat, vilket i förlängningen sannolikt kommer att vara positivt för en minskad brottslighet generellt. Personer som har ett missbruk eller beroende löper högre risk för att lagföras för brott. Forskning har även visat att barn som är långvarigt placerade utanför hemmet eller som har haft insatsen kontaktperson eller kontaktfamilj, är kraftigt överrepresenterade i brottsstatistiken som unga vuxna.270 En effektivare missbruks- och beroendevård och ett effektivare stöd till utsatta barn och unga skulle därmed kunna bidra till en minskning av brottslighet och ett förbättrat brottsförebyggande arbete.

Författningsförslaget är vidare könsneutralt utformat och förväntas inte få några negativa konsekvenser för jämställdheten mellan kvinnor och män. Förslagen bedöms inte heller få några negativa konsekvenser för möjligheten att nå de integrationspolitiska målen. Med förslagen får Socialstyrelsen och andra samhälleliga aktörer tvärtom goda möjligheter att genomföra analyser på jämställdhets- och integrationsområdet. Med hjälp av fler studier och bättre nationell uppföljning kommer det till exempel att vara möjligt att få resultat som visar om en insats eller aktivitet är lämplig för män respektive kvinnor. Det kommer också att synliggöra om män eller kvinnor missgynnas på något sätt. Våra förslag kommer därför kunna bidra till att kvinnor och män får lika effektiva och säkra insatser av socialtjänsten. Eftersom våra förslag inte omfattar personer som saknar personnummer eller samordningsnummer kommer den nationella uppföljningen och synliggörandet av de personer som saknar dessa identifikationsnummer, till exempel många asylsökande och nyanlända, att vara något bristande. Trots detta bedömer vi att det kunskapsunderlag som kommer att kunna tas fram baserat på de uppgifter som finns i ett socialtjänstdataregister även kommer att komma dessa personer till gagn. Förslagen bör därför innebära positiva konsekvenser för både integrationen och jämställdheten mellan kvinnor och män.

Våra förslag kommer även att innebära positiva konsekvenser för den offentliga servicen i olika delar av landet. Förutom att en förbättrad nationell statistik kan leda till mer effektiva insatser

270SOU 2020:47, Hållbar socialtjänst – En ny socialtjänstlag, s. 1006.

Ds 2024:13 Konsekvenser

301

kommer även övriga delar av verksamheten inom socialtjänsten att synliggöras, exempelvis utredning och prövning. Med förbättrad nationell statistik inom socialtjänsten kan kommuninvånarna därför komma att få en högre och mer likvärdig kvalitet i socialtjänstens utredningar, prövningar och insatser oavsett bostadsort. Den offentliga servicen i olika delar av landet kan därmed bli mer likvärdig. Vi har inte funnit att våra förslag har några konsekvenser för sysselsättningen i olika delar av landet.

Vi har i utformningen av våra förslag tagit hänsyn till regeringsformen, Europakonventionen, Sveriges internationella åtaganden samt de åtaganden som följer av Sveriges anslutning till Europeiska unionen.

303

16. Författningskommentar

Förslaget till lag om socialtjänstdataregister

Allmänt om socialtjänstdataregister

1 § Med ett socialtjänstdataregister enligt denna lag avses en rikstäckande samling av personuppgifter om socialtjänst hos Socialstyrelsen.

I paragrafen anges vad som kännetecknar ett socialtjänstdataregister. Övervägandena finns i avsnitt 6.2.2.

Det grundläggande kännetecknet för ett socialtjänstdataregister är att det är ett personregister som rör socialtjänst. Ett socialtjänstdataregister är även rikstäckande på så sätt att det innehåller uppgifter som samlas in på nationell nivå av Socialstyrelsen från de aktörer som bedriver verksamhet inom socialtjänsten. Ett socialtjänstdataregister hanteras inom ramen för myndighetens särskilda statistikverksamhet.

Bestämmelsen anger en yttre ram för vad som utgör ett socialtjänstdataregister och ger därmed vägledning för hur övriga bestämmelser i lagen ska tolkas samtidigt som den lägger grunden för ett nytt regelverk om socialtjänstdataregister. Det finns ingen avsikt att med bestämmelsen skapa en legaldefinition.

2 § Syftet med ett socialtjänstdataregister är att bidra till ökad kunskap för att utveckla och förbättra socialtjänsten.

I paragrafen anges det övergripande syftet med ett socialtjänstdataregister. Övervägandena finns i avsnitt 6.2.3.

Bestämmelsen tydliggör att det övergripande syftet med ett socialtjänstdataregister är att bidra till ökad kunskap för att utveckla och förbättra socialtjänsten. Bestämmelsen är inte en traditionell

Författningskommentarer Ds 2024:13

304

syftesbestämmelse som anger syftet med den föreslagna lagen i sig. Bestämmelsen ska istället läsas tillsammans med 1 § och ger på detta sätt vägledning om hur övriga bestämmelser i regelverket ska tolkas.

Ord och uttryck i lagen

3 § I lagen avses med EU:s dataskyddsförordning Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Med socialtjänst avses detsamma som i socialtjänstlagen (0000:000) och verksamhet enligt lagen (1993:387) om stöd och service till vissa funktionshindrade.

I paragrafen anges vad som i lagen avses med EU:s dataskyddsförordning och begreppet socialtjänst. Övervägandena finns i avsnitt 6.3.2.

I första stycket anges att med EU:s dataskyddsförordning avses i lagen Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Av andra stycket framgår att med socialtjänst avses i lagen detsamma som definitionen av socialtjänst i den lydelse som införs i den nya socialtjänstlagen samt, till skillnad från socialtjänstlagen, även verksamhet enligt lagen om stöd och service till vissa funktionshindrade.

Lagens tillämpningsområde

4 § Denna lag gäller vid behandling av personuppgifter i ett socialtjänstdataregister.

Paragrafen anger lagens tillämpningsområde. Övervägandena finns i avsnitt 6.3.1.

I paragrafen anges att lagen gäller vid behandling av personuppgifter i ett socialtjänstdataregister. Definitioner av begreppen

Ds 2024:13 Författningskommentarer

305

personuppgifter och behandling av sådana finns i artikel 4.1 och 4.2 i dataskyddsförordningen. Bestämmelsen tydliggör att lagen endast är tillämplig vid Socialstyrelsens personuppgiftsbehandling i ett socialtjänstdataregister. Lagen är alltså inte tillämplig i någon annan del av Socialstyrelsens verksamhet.

5 § Lagen gäller även vid behandling av uppgifter om avlidna.

I paragrafen anges vad som gäller vid behandling av uppgifter om avlidna personer. Övervägandena finns i avsnitt 6.3.3.

I paragrafen slås fast att lagen ska gälla för behandling av uppgifter om avlidna personer. Genom paragrafen utvidgas därmed lagens tillämpningsområde till att i tillämpliga delar även omfatta behandling av uppgifter som enligt dataskyddsförordningen inte utgör personuppgifter. Att lagen gäller i tillämpliga delar innebär att bestämmelserna om exempelvis tillåtet innehåll i ett socialtjänstdataregister, ändamål för behandling samt sökbegränsningar ska tillämpas även för uppgifter om avlidna.

Förhållandet till annan reglering

6 § Denna lag kompletterar EU:s dataskyddsförordning.

I paragrafen anges lagens förhållande till dataskyddsförordningen. Övervägandena finns i avsnitt 6.4.1.

Bestämmelsen upplyser om att lagens bestämmelser kompletterar den reglering som finns i dataskyddsförordningen. Det innebär att lagen inte kan tillämpas fristående, utan endast tillsammans med dataskyddsförordningen. Hänvisningen till dataskyddsförordningen avser dataskyddsförordningen i dess vid varje tidpunkt gällande lydelse.

7 § Vid behandling av personuppgifter enligt denna lag gäller lagen (2018:218) med kompletterande bestämmelser till

EU:s

dataskyddsförordning, här benämnd dataskyddslagen, och föreskrifter som har meddelats i anslutning till den lagen, om inte annat följer av denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Författningskommentarer Ds 2024:13

306

I paragrafen anges lagens förhållande till dataskyddslagen. Övervägandena finns i avsnitt 6.4.1.

Dataskyddslagen innehåller generella bestämmelser som kompletterar dataskyddsförordningen. Bestämmelsen tydliggör att dataskyddslagen är subsidiär i förhållande till denna lag. Det innebär att dataskyddslagens bestämmelser endast gäller om inte annat föreskrivs i denna lag eller föreskrifter som har meddelats i anslutning till lagen.

Personuppgiftsansvar

8 § Socialstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt denna lag.

Paragrafen anger att Socialstyrelsen är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför enligt lagen. Övervägandena finns i avsnitt 6.5.

Utpekandet av myndigheten som personuppgiftsansvarig görs i enlighet med artikel 4.7 i dataskyddsförordningen, där även definitionen av personuppgiftsansvarig finns.

Ändamål

9 § Personuppgifter får behandlas i ett socialtjänstdataregister om det är nödvändigt för att

1. framställa statistik,

2. framställa underlag för uppföljning och utvärdering,

3. utföra epidemiologiska studier, och

4. bedriva forskning.

I paragrafen anges för vilka primära ändamål Socialstyrelsen får behandla personuppgifter i ett socialtjänstdataregister. Övervägandena finns i avsnitt 7.4.

Ändamålen återspeglar Socialstyrelsens behov av att behandla personuppgifter i ett socialtjänstdataregister för att utföra sitt instruktionsenliga uppdrag. De primära ändamålen ger tillsammans med den sekundära ändamålsbestämmelsen i 10 § och bestämmelsen om finalitetsprincipen i 11 § en ram för vilken personuppgiftsbehandling som är tillåten. Ändamålsbestämmelsen ska även ses

Ds 2024:13 Författningskommentarer

307

tillsammans med bestämmelsen om syftet med ett socialtjänstdataregister i 2 §.

Av första stycket framgår att en grundläggande förutsättning för att behandla personuppgifter i socialtjänstdataregister är att det är nödvändigt för något av de uppräknade ändamålen. Kravet på nödvändighet ska inte tolkas som ett krav på att det ska vara omöjligt att utföra en viss uppgift utan att utföra en viss behandlingsåtgärd. I kravet på nödvändighet ligger dock att personuppgifter inte får behandlas om syftet med behandlingen kan uppnås lika bra med andra medel, till exempel genom att uppgifterna anonymiseras.

Enligt första punkten får Socialstyrelsen behandla personuppgifter i ett socialtjänstdataregister för att framställa statistik. Ett socialtjänstdataregister är ett statistikregister som hanteras inom ramen för myndighetens särskilda statistikverksamhet. Det ligger därför i sakens natur att det huvudsakliga ändamålet för myndighetens behandling av uppgifter i ett socialtjänstdataregister är att framställa såväl officiell statistik som annan statistik.

Av andra punkten framgår att Socialstyrelsen även får behandla registeruppgifter för att framställa underlag för uppföljning och utvärdering. Ett sådant underlag kan ha olika former och behöver inte vara beständigt till sin form. Med uppföljning avses exempelvis att på nationell nivå mäta och beskriva behov, verksamheter och resursåtgång inom socialtjänsten. Uppföljning syftar bland annat till att ge en överblick av utvecklingen inom socialtjänsten och att fungera som signal för avvikelser som bör beaktas. Utvärdering avser bland annat analys och värdering av kvalitet, effektivitet och resultat i socialtjänsten i förhållande till exempelvis verksamhetens mål.

Enligt tredje punkten får myndigheten också behandla uppgifter i ett socialtjänstdataregister för att utföra epidemiologiska studier. Epidemiologi är vetenskapen om hälsoförhållanden i befolkningen och de faktorer som påverkar eller bidrar till olika typer av ohälsa. Det kan exempelvis handla om studier där Socialstyrelsen utifrån hela populationen följer situationen för olika grupper som får insatser av socialtjänsten för att analysera trender och samband.

Slutligen framgår av fjärde punkten att personuppgifter i ett socialtjänstdataregister får behandlas för att bedriva forskning. Här avses den forskning som Socialstyrelsen bedriver, som kan ske på eget initiativ utifrån identifierad angelägenhetsgrad och kunskapsbehov samt på uppdrag av regeringen.

Författningskommentarer Ds 2024:13

308

10 § Personuppgifter som behandlas enligt 9 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning.

Paragrafen är en så kallad sekundär ändamålsbestämmelse om möjligheten att behandla personuppgifter för ändamål utöver de som anges i den primära ändamålsbestämmelsen i 9 §. Övervägandena finns i avsnitt 7.5.

Bestämmelsen innebär att myndigheten får behandla personuppgifter för att fullgöra uppgiftslämnande i överensstämmelse med lag eller förordning. Tillåtligheten förutsätter att uppgifterna redan är föremål för behandling enligt 9 § och att de alltså inte får samlas in med det enda egentliga syftet att lämnas vidare till någon annan.

11 § Personuppgifter som behandlas enligt 9 § får också behandlas för andra ändamål, under förutsättning att uppgifterna inte behandlas på ett sätt som är oförenligt med de ändamål som uppgifterna samlades in för.

Paragrafen innehåller en bestämmelse om den så kallade finalitetsprincipen i dataskyddsförordningen. Övervägandena finns i avsnitt 7.6.

Bestämmelsen tydliggör att finalitetsprincipen i artikel 5.1 b i dataskyddsförordningen gäller vid behandling av personuppgifter enligt lagen. Utvidgad behandling av personuppgifter enligt denna paragraf förutsätter att uppgifterna har samlats in för något av de primära ändamål som anges i 9 §. Bestämmelsen är utformad i nära anslutning till artikel 5.1 b och bör tolkas på samma sätt. Det innebär bland annat att de omständigheter som anges i artikel 6.4 i förordningen ska beaktas vid bedömningen av om behandlingen är förenlig med finalitetsprincipen. Bestämmelsen innebär bland annat att det kan vara tillåtet att samköra uppgifter från olika socialtjänstdataregister med uppgifter från andra slag av register under förutsättning att ändamålet med en sådan behandling inte är oförenligt med de ändamål som anges i 9 §.

Ds 2024:13 Författningskommentarer

309

Elektroniskt utlämnande av personuppgifter

12 § Personuppgifter får lämnas ut elektroniskt om det inte är olämpligt.

Paragrafen reglerar förutsättningarna för elektroniskt utlämnande av personuppgifter. Övervägandena finns i avsnitt 9.4.3.

Av bestämmelsen framgår att elektroniskt utlämnande är tillåtet om det inte är olämpligt. Bedömningen av om utlämnandet är olämpligt ska ske med beaktande av bestämmelser om sekretess, vad syftet med utlämnandet är, vem mottagaren är, vilka uppgifter det rör sig om samt om nödvändiga säkerhetsåtgärder är vidtagna. Med elektroniskt utlämnande avses såväl utlämnande genom direktåtkomst som annat elektroniskt utlämnande. Ett utlämnande av personuppgifter i ett socialtjänstdataregister genom direktåtkomst bör som regel anses vara olämpligt.

Innehållet i ett socialtjänstdataregister

13 § Endast personuppgifter som behövs för de ändamål som anges i 9 § får behandlas i ett socialtjänstdataregister.

I ett socialtjänstdataregister får det finnas

1. uppgift om en person som utreds för, har prövats för eller får en insats inom socialtjänsten

2. uppgift om den utredning, prövning eller insats inom socialtjänsten som en person får, och

3. annan uppgift av administrativ karaktär av betydelse för den utredning, prövning eller insats inom socialtjänsten som en person får.

Om det är nödvändigt får i ett socialtjänstdataregister också finnas uppgift om ställföreträdare för eller närstående till en person som utreds för, har prövats för eller får en insats inom socialtjänsten.

Regeringen kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om vilka personuppgifter som får finnas i ett socialtjänstdataregister.

I paragrafen regleras innehållet i ett socialtjänstdataregister. Övervägandena finns i avsnitt 8.2.6.

Av första stycket framgår att endast personuppgifter som behövs för de ändamål som anges i lagen ska få behandlas i ett socialtjänstdataregister. Bestämmelsen ska ses tillsammans med

Författningskommentarer Ds 2024:13

310

bestämmelsen om tillåtna ändamål i 9 §, som i sin tur ska tolkas i ljuset av syftesbestämmelsen i 2 §.

Andra stycket specificerar den yttre ramen för de personuppgifter

som kan behandlas i ett socialtjänstdataregister genom att reglera de övergripande uppgiftskategorier som får finnas i registren.

Enligt första punkten får det i ett socialtjänstdataregister finnas uppgift om en person som utreds för, har prövats för eller får en insats inom socialtjänsten. Med denna kategori avses grundläggande uppgifter om den enskilde, såsom identifikationsuppgifter, bakgrundsuppgifter och demografiska uppgifter. Det kan till exempel vara uppgift om personnummer eller samordningsnummer, kön, födelseår, folkbokföringsort och födelseort. En förutsättning för att registrering ska få ske är dock att en person utreds för en behovsprövad insats, har prövats för en sådan insats (oavsett om beslutet är positivt eller negativt) eller faktiskt får en insats inom socialtjänsten (oavsett om denna är behovsprövad eller inte).

Enligt andra punkten får det i ett socialtjänstdataregister också finnas uppgift om den utredning, prövning och insats inom socialtjänsten som en person får. Kategorin bör tolkas brett eftersom det är svårt att på förhand avgöra vilka omständigheter kring en utredning, prövning eller insats som kan vara relevanta att samla in till ett socialtjänstdataregister.

Med uppgift om utredning avses all den verksamhet som syftar till att göra det möjligt för socialnämnden eller annan kommunal nämnd att fatta beslut i ett ärende. Att en utredning inom socialtjänsten inleds innebär att socialtjänsten öppnar ett ärende och samtidigt planerar vilka utredningsåtgärder som krävs för att ta fram ett underlag för bedömning. Detta ska inte sammanblandas med en förhandsbedömning som ibland görs för att avgöra om en utredning överhuvudtaget ska inledas. Uppgift om utredning kan till exempel innefatta uppgift om varför en utredning har inletts och vilka utredningsåtgärder som har vidtagits. De uppgifter som avses med denna kategori bör dock inte gå utöver de uppgifter som finns dokumenterade hos kommunerna.

Med prövning avses den prövning som beslutande nämnd genomför och som i de flesta fall resulterar i ett beslut om att en insats beviljas eller avslås. Att uppgiftskategorin inkluderar personer som har prövats för en insats innebär att uppgifter om personer som till exempel har fått avslag på sin ansökan om en insats och även

Ds 2024:13 Författningskommentarer

311

beslut som av olika skäl inte har verkställts, får behandlas i ett register. Med uppgift om prövning avses alltså uppgift om det beslut som den utredning som företagits har resulterat i samt den närmare motiveringen till beslutet. Samtliga möjliga utgångar för prövningen bör kunna omfattas av kategorin.

Vad som avses med begreppet insats enligt lagen följer av den begreppsanvändning som föreslås i den nya socialtjänstlagen. Begreppet är även centralt inom verksamhet enligt LSS där insats används genomgående i lagen för att beskriva de stöd- och serviceåtgärder som beslutas av kommunen. Att en person får en insats inom socialtjänsten innebär att socialnämnden eller annan kommunal nämnd har beslutat om en insats, till exempel efter individuell behovsprövning eller genom ett generellt beslut att tillhandahålla en viss insats utan behovsprövning. Exempel på vilka uppgifter som kan ingå i uppgiftskategorin är, förutom vilken insats som har beviljats, orsaken till att en person får en insats och varför en insats har avslutats. Även aktiviteter inom ramen för en insats bör kunna omfattas, liksom de närmare detaljerna kring insatsen. Detta kan till exempel vara vilken personkrets enligt LSS som en person tillhör, den enskildes behov av stöd från socialtjänsten eller den beviljade omfattningen av en insats. En viktig utgångspunkt är dock att endast de uppgifter om en insats som dokumenteras kan samlas in och behandlas i ett socialtjänstdataregister.

Enligt tredje punkten får även annan uppgift av administrativ karaktär – av betydelse för den utredning, prövning eller insats inom socialtjänsten som en person får – finnas i ett socialtjänstdataregister.

Med uppgift av administrativ karaktär avses rent administrativa förhållanden. Det kan exempelvis vara datum för beslut, tidpunkt för händelse, vilket lagrum ett beslut om insats grundar sig på och vilken kommun eller annan enhet som ansvarar för en insats.

Enligt tredje stycket får det i ett socialtjänstdataregister, om det är nödvändigt, också finnas uppgift om ställföreträdare för eller närstående till en person som utreds för, har prövats för eller får en insats inom socialtjänsten. Uppgift om närstående kan avse information om vårdnadshavare vid insatser till barn och unga eller information om anhöriga, såsom syskon eller föräldrar, till personer som får insatser till följd av bland annat missbruk eller funktionsnedsättning. Uppgift om ställföreträdare gäller till

Författningskommentarer Ds 2024:13

312

exempel uppgift om god man, förvaltare eller särskilt förordnad vårdnadshavare.

I fjärde stycket finns en upplysning om att regeringen får meddela föreskrifter om vilka personuppgifter som ska få finnas i ett socialtjänstdataregister. Bestämmelsen förutsätter även en närmare precisering i förordning.

14 § Personuppgifter som avses i artikel 9.1 (känsliga personuppgifter) och artikel 10 (fällande domar i brottmål och lagöverträdelser som innefattar brott) i EU:s dataskyddsförordning får behandlas, om det är nödvändigt med hänsyn till ändamålet med behandlingen.

Paragrafen reglerar möjligheten till behandling av känsliga personuppgifter och uppgifter som rör lagöverträdelser. Övervägandena finns i avsnitt 8.3.3 och 8.4.2.

Bestämmelsen innebär ett undantag från förbudet mot behandling av känsliga personuppgifter som finns i artikel 9.1 i dataskyddsförordningen. För Socialstyrelsens behandling av personuppgifter i ett socialtjänstdataregister finns stöd för detta i undantagen för behandling som är nödvändig av hänsyn till ett viktigt allmänt intresse enligt artikel 9.2 g, behandling som är nödvändig av skäl som hör samman med social omsorg enligt artikel 9.2 h och behandling som är nödvändig för forskningsändamål eller statistiska ändamål enligt artikel 9.2 j. Undantagen kan i viss utsträckning vara överlappande och en personuppgiftsbehandling kan därför ha stöd i fler än ett undantag. Bestämmelsen ersätter de generella bestämmelserna i 3 kap. 3, 5 och 7 §§ dataskyddslagen om behandling av känsliga personuppgifter för ett viktigt allmänt intresse, social omsorg och statistik, vilka annars gäller där sektorspecifik reglering saknas.

Bestämmelsen förtydligar även tillåtligheten av behandling av personuppgifter som avses i artikel 10 i dataskyddsförordningen, det vill säga personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott.

Såväl känsliga personuppgifter som personuppgifter om fällande domar i brottmål och lagöverträdelser som innefattar brott, får endast behandlas om det är nödvändigt med hänsyn till ändamålet med behandlingen. Det innebär att behandlingen måste kunna motiveras i varje enskilt fall. Hänvisningen till

Ds 2024:13 Författningskommentarer

313

dataskyddsförordningen avser förordningen i den vid varje tidpunkt gällande lydelsen.

Sökbegränsningar

15 § Det är förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter.

Förbudet omfattar inte sökningar i syfte att få fram ett urval av personer grundat på uppgifter om hälsa.

Paragrafen reglerar sökbegränsningar avseende känsliga personuppgifter. Övervägandena finns i avsnitt 9.2.

Enligt första stycket är det förbjudet att utföra sökningar i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Bestämmelsen utgår från syftet med en sökning. Definitionen av känsliga personuppgifter finns i 14 §, som hänvisar till artikel 9.1 i dataskyddsförordningen. Bestämmelsen innebär att Socialstyrelsen inte får utföra sökningar i syfte att få fram ett urval av personer som till exempel har ett visst etniskt ursprung eller en viss sexuell läggning. Sökbegränsningen omfattar alla tekniska åtgärder som innebär att uppgifter används för att strukturera eller systematisera information i syfte att få fram ett urval av personer grundat på känsliga personuppgifter. Om syftet med en sökning inte är att få fram ett urval av personer grundat på känsliga personuppgifter är den tillåten, även om känsliga personuppgifter används vid sökningen. Det är dock inte tillåtet att utföra sökningar som innebär att personer kartläggs på grundval av känsliga personuppgifter.

I andra stycket anges att förbudet inte omfattar sökningar i syfte att få fram ett urval av personer grundat på personuppgifter om hälsa. Uppgifter om hälsa definieras i artikel 4.15 i dataskyddsförordningen.

Tillgången till personuppgifter

16 § Tillgången till personuppgifter i ett socialtjänstdataregister ska begränsas till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter.

Åtkomsten till personuppgifter ska kontrolleras och följas upp regelbundet.

Författningskommentarer Ds 2024:13

314

Paragrafen reglerar den interna tillgången till personuppgifter i ett socialtjänstdataregister hos Socialstyrelsen. Övervägandena finns i avsnitt 9.3.

Första stycket innebär att Socialstyrelsen ska begränsa tillgången

till personuppgifter i ett socialtjänstdataregister till vad var och en behöver för att kunna fullgöra sina arbetsuppgifter. Sådana arbetsuppgifter kan exempelvis finnas inom ramen för statistikframställning eller analysarbete i syfte att följa upp och utvärdera socialtjänsten. Det kan också handla om att lämna ut uppgifter till forskningsprojekt eller att färdigställa och lämna ut statistikbeställningar. Uttrycket var och en inkluderar såväl tillsvidareanställd personal som personer med tidsbegränsade anställningar eller uppdrag vid Socialstyrelsen. Myndigheten ska alltså aktivt ta ställning till vilket informationsbehov ett tjänsteåliggande eller uppdrag medför och tilldela den behörighet som behövs utifrån det. Socialstyrelsen har ett ansvar för att vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter inte sprids utanför den krets av personer som behöver ha åtkomst till dessa för att kunna utföra sina arbetsuppgifter.

Enligt andra stycket ska Socialstyrelsen kontrollera och följa upp åtkomsten till personuppgifter regelbundet. Bestämmelsen innebär att myndigheten ska kunna upptäcka och åtgärda obehörig åtkomst. Kontroller ska genomföras systematiskt och återkommande och inte bara när Socialstyrelsen av någon orsak har fått anledning att misstänka att obehörig åtkomst har förekommit. Kontroll kan till exempel ske genom uppföljning av loggar. Det är upp till myndigheten att närmare bestämma formerna för kontrollen.

Skyldighet att lämna uppgifter till ett socialtjänstdataregister

17 § Den som bedriver verksamhet inom socialtjänsten ska till

Socialstyrelsen lämna de uppgifter som denne förfogar över och som behövs i ett socialtjänstdataregister.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om hur uppgiftsskyldigheten ska fullgöras.

Ds 2024:13 Författningskommentarer

315

Paragrafen reglerar en skyldighet att lämna uppgifter till ett socialtjänstdataregister. Övervägandena finns i avsnitt 11.4.2.

Av första stycket framgår att den som bedriver verksamhet inom socialtjänsten till Socialstyrelsen ska lämna de uppgifter som denne förfogar över och som behövs i ett socialtjänstdataregister. Vad som avses med socialtjänst definieras i 3 § och inkluderar även verksamhet enligt LSS. Bestämmelsen ska läsas tillsammans med bestämmelserna om ändamål och innehåll i 9 och 13 §§, och kan alltså endast avse sådana uppgifter som är tillåtna att behandla i ett socialtjänstdataregister. Uppgiftsskyldighet gäller för sådana uppgifter som dokumenteras i verksamheten och oavsett om verksamheten bedrivs i offentlig eller enskild regi.

I andra stycket finns en upplysning om att regeringen eller den myndighet som regeringen bestämmer kan meddela närmare föreskrifter om hur uppgiftsskyldigheten ska fullgöras. En förutsättning för att uppgiftsskyldighet ska gälla för en uppgift är att detta följer av föreskrifter som har meddelats av Socialstyrelsen.

Ikraftträdande- och övergångsbestämmelser

1. Denna förordning träder i kraft den 1 januari 2026.

2. Bestämmelsen i 17 § tillämpas först den 1 januari 2027.

3. De upphävda bestämmelserna om uppgiftsskyldighet i 15 a § lagen (1993:387) om stöd och service till vissa funktionshindrade och 12 kap. 5 § socialtjänstlagen (2001:453) gäller fortfarande till och med den 31 december 2026.

Av första punkten framgår att lagen träder i kraft den 1 januari 2026.

Enligt andra punkten ska dock bestämmelsen i 17 § tillämpas först den 1 januari 2027.

Av tredje punkten framgår att de upphävda bestämmelserna om uppgiftsskyldighet i 15 a § lagen om stöd och service till vissa funktionshindrade och 12 kap. 5 § socialtjänstlagen fortfarande gäller till och med den 31 december 2026.

Övervägandena finns i kapitel 14.

Protokoll

§ 353

1 bilaga

2023-06-22 S2019/04276 S2023/02135 (delvis)

Socialdepartementet

Utredningsuppdrag

Regeringskansliet uppdrar åt Peder Liljeqvist att biträda Socialdepartementet med att utreda bättre förutsättningar för att utveckla en kunskapsbaserad socialtjänst, enligt bilagan.

Utredaren ska till sin hjälp ha en arbetsgrupp.

Uppdraget gäller fr.o.m. den 22 juni 2023 t.o.m. den 1 juli 2024.

Kostnaderna för uppdraget ska belasta utgiftsområde 1 Rikets styrelse, anslaget 4:1 Regeringskansliet m.m., anslagsposten 1 Till Regeringskansliets disposition, budgetramen 6 Socialdepartementet.

Beslutet har fattats av socialtjänstministern.

Utdrag till

Statsrådsberedningen/Gransk Finansdepartementet/BA, OFA ESA, OFA K Justitiedepartementet/L6, DÅ Socialdepartementet/SL Regeringskansliets förvaltningsavdelning Socialutskottet Integritetsskyddsmyndigheten Socialstyrelsen Statistiska centralbyrån Sveriges Kommuner och Regioner utredaren

Bilaga till regeringskanslibeslut 2023-06-22 § 353

Socialdepartementet

Enheten för socialtjänst och funktionshinderspolitik

Bättre förutsättningar för att utveckla en kunskapsbaserad socialtjänst

Sammanfattning

För att skapa långsiktiga och stabila förutsättningar för den fortsatta utvecklingen av en kunskapsbaserad socialtjänst är det viktigt att stärka och utveckla statistiken inom socialtjänsten på nationell nivå. En utredare får därför i uppdrag att lämna förslag till en ny reglering av socialtjänstdataregister. Utgångspunkten ska vara det förslag om socialtjänstdataregister som utredningen Framtidens socialtjänst (S 2017:03) lämnar i betänkandet Hållbar socialtjänst – En ny socialtjänstlag (SOU 2020:47).

Utredaren ska bl.a.

  • analysera utformningen av ändamålsregleringen,
  • analysera och ta ställning till vilka personuppgifter som ska få behandlas,
  • analysera regleringen av uppgiftsskyldigheten,
  • analysera och ta ställning till om kommunerna ska ges tillgång till de

uppgifter som de har lämnat genom elektronisk åtkomst,

  • föreslå ett samlat regelverk för socialtjänstdataregister som är förenligt

med bestämmelserna om skydd för den personliga integriteten i regeringsformen liksom dataskyddsregleringen och i samband därmed göra en integritetsanalys,

  • särskilt ta ställning till vilka delar av regelverket som behöver placeras i

lag eller förordning,

  • analysera hur förslagen förhåller sig till regelverken om offentlighet och

Uppdraget ska redovisas senast den 1 juli 2024.

Statistik som avser socialtjänsten behöver förbättras

Utredningen Framtidens socialtjänst (S 2017:03 lämnade i augusti 2020 slutbetänkandet Hållbar socialtjänst – En ny socialtjänstlag (SOU 2020:47). I betänkandet föreslås bl.a. att verksamheten inom socialtjänsten ska bedrivas i överensstämmelse med vetenskap och beprövad erfarenhet. För att utveckla en kunskapsbaserad socialtjänst är kommunerna i behov av nationellt stöd. Socialstyrelsen framställer för närvarande såväl officiell statistik som annan statistik på nationell nivå, ofta i samverkan med Sveriges Kommuner och Regioner (SKR), till stöd för beslutfattare och professioner. I betänkandet görs bedömningen att den nationella statistiken för socialtjänsten brister i många hänseenden. Även Socialstyrelsen har i ett flertal rapporter och skrivelser till regeringen framfört att statistik som avser socialtjänst behöver förbättras, se t.ex. framställning avseende ändring av förordningen (1981:1370) om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen (2001:100) om den officiella statistiken (S2019/04276). I syfte att skapa långsiktiga och stabila förutsättningar för den fortsatta utvecklingen av en kunskapsbaserad socialtjänst föreslår utredningen Framtidens socialtjänst att den nationella statistiken inom socialtjänsten ska stärkas och Socialstyrelsens möjligheter att behandla personuppgifter för nationell statistik utökas. Det bedöms vid sidan av utveckling av nuvarande mängdstatistik finnas behov av individbaserad statistik för att kunna följa upp inte bara vilka insatser som beviljats, utan även bl.a. insatsernas resultat. Utredningen Framtidens socialtjänst föreslår mot denna bakgrund en ny socialtjänstdataregisterlag hos Socialstyrelsen. Betänkandet har remissbehandlats och bereds inom Regeringskansliet.

Vid Socialstyrelsens behandling av personuppgifter för framställning av nationell statistik för socialtjänst tillämpas Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), härefter EU:s dataskyddsförordning och relevant kompletterande nationell reglering, t.ex. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning och lagen (2001:99) om den officiella statistiken och förordningen om den officiella statistiken.

Förslaget om en socialtjänstdataregisterlag innebär att fler personuppgifter, såväl känsliga personuppgifter som andra personuppgifter som kan vara av mer eller mindre integritetskänslig karaktär, kommer att få behandlas av Socialstyrelsen. Detta rör främst personuppgifter om barn, unga, personer med missbruk eller beroende samt uppgifter om vårdnadshavare. För att stärka skyddet för den personliga integriteten och för att förbättra förutsättningarna för att framställa statistik är det angeläget att regleringen av de ändamål för vilka dessa uppgifter får behandlas såsom framställning av statistik och Socialstyrelsens behandling av personuppgifter är tydlig. Det finns skäl utifrån vad som bl.a. framkommit av remissvar på förslaget från Utredningen Framtidens socialtjänst att göra en fördjupad analys av vissa delar av utredningens förslag och föreslå en samlad reglering av socialtjänstdataregister.

Uppdraget att analysera utformningen av ändamålsregleringen

Utredningen Framtidens socialtjänst föreslår att Socialstyrelsen, som är en statistikansvarig myndighet, ska få utökad möjlighet att behandla personuppgifter för framställning av statistik. De personuppgifter som behandlas för ändamålet statistik ska myndigheten även få behandla för uppföljning och utvärdering, forskning inom socialtjänsten och sådan verksamhet som bedrivs med stöd av lagen (1993:387) om stöd och service till vissa funktionshindrade, förkortad LSS, och utlämnande till den som ska använda uppgifterna för de ändamål som anges ovan.

I en registerförfattning anger ändamålsregleringen den yttersta ramen inom vilken personuppgifter får behandlas. Det är därför av central betydelse att regleringen är tydlig och ändamålsenlig. Det behöver finnas proportionalitet mellan skyddet av enskildas personliga integritet och t.ex. intresset av att ha tillgång till underlag för nationell statistik. Det finns skäl att göra en fördjupad analys av utformningen av ändamålsregleringen utifrån det förslag som Utredningen Framtidens socialtjänst har lämnat, bl.a. uppdelningen i primära och sekundära ändamål och avgränsningen av ändamålen. Det kan också finnas skäl att se över om Socialstyrelsen inom ramen för den nu aktuella regleringen bör få behandla personuppgifter för epidemiologiska undersökningar.

  • analysera utformningen av ändamålsregleringen och ta ställning till om

Socialstyrelsen även ska få behandla personuppgifter för epidemiologiska undersökningar.

Uppdraget att analysera vilka personuppgifter som ska få behandlas

Det förslag som lämnas i betänkandet Hållbar socialtjänst – En ny socialtjänstlag skulle innebära en väsentlig utökning av Socialstyrelsens personuppgiftsbehandling. Det gäller bl.a. personnummerbaserade uppgifter om orsak eller behov, uppgift om anmälan, ansökan eller information på annat sätt och uppgift om resultat av insats. Socialstyrelsen skulle också få behandla betydligt fler känsliga personuppgifter.

Det finns skäl att fördjupa analysen av vilka personuppgifter som ska få behandlas. Inledningsvis behöver den närmare utformningen av de personuppgifter som utredningen föreslår tydliggöras. Det behöver vara tydligt för de registrerade och för kommunerna vilka uppgifter som ska ingå i socialtjänstdataregister hos Socialstyrelsen.

Det kan även finnas behov av att behandla ytterligare personuppgifter, t.ex. orsak till kontakt med socialtjänsten. Riksdagen har tillkännagett för regeringen det som utskottet anför om statistik (bet. 2021/22:JuU26 p. 48, rskr. 2021/22:293). Utskottet konstaterar att det vore värdefullt om Socialstyrelsen skulle föra statistik om orsakerna som ligger till grund för anmälningar till socialtjänsten eller till att barn omhändertas (s. 78).

För varje personuppgift som ska få behandlas behöver behovet övervägas i förhållande till de angivna ändamålen samt vägas mot intrånget i den enskildes personliga integritet.

Utredaren ska därför

  • analysera och tydliggöra utformningen av de personuppgifter som

utredningen Framtidens socialtjänst föreslår ska få behandlas,

  • analysera behovet av att ytterligare personuppgifter ska få behandlas,

och

  • ta ställning till vilka personuppgifter som ska få behandlas och för varje

Uppdraget att analysera regleringen av uppgiftsskyldigheten

Grunden för att kunna ta fram statistik inom socialtjänsten på nationell nivå är att utförare av socialtjänst, främst socialnämnderna, lämnar uppgifter. Utredningen Framtidens socialtjänst föreslår därför en skyldighet för den som bedriver verksamhet inom socialtjänsten eller enligt LSS att lämna uppgifter till Socialstyrelsen för vissa angivna ändamål. Skyldigheten ska, till skillnad från nuvarande ordning, gälla oavsett om verksamheten bedrivs i offentlig eller enskild regi.

Socialnämnderna lämnar redan i nuläget vissa uppgifter till Socialstyrelsen för framställning av nationell statistik med stöd av 12 kap. 5 § socialtjänstlagen (2001:453), förkortad SoL, respektive 15 a § LSS. De närmare föreskrifterna finns i förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen (2004:16) om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade. Även förslaget i betänkandet till en ny socialtjänstlag innehåller en bestämmelse om uppgiftsskyldighet (15 kap. 2 §). Av betänkandet framgår att utredningen anser att denna generella skyldighet för socialnämnderna att lämna uppgifter för nationell statistik till Socialstyrelsen, inte hindrar en mer specifik uppgiftsskyldighet i en registerförfattning samt att en uppgiftsskyldighet mot privata utförare bör regleras i lag. Utredningen föreslår vidare att förordningen om skyldighet för socialnämnderna att lämna statistiska uppgifter och förordningen om utlämnande av uppgifter som avser stöd och service till vissa funktionshindrade ska upphävas och ersättas av den föreslagna socialtjänstdataregisterlagen.

Det finns skäl att göra en fördjupad analys av regleringen av uppgiftsskyldigheten, bl.a. hur de olika bestämmelserna om uppgiftsskyldighet förhåller sig till varandra, konsekvenserna av att de båda förordningarna upphör att gälla och behovet av övergångsbestämmelser. Även förhållandet till bestämmelserna om uppgiftsskyldighet i lagen om den officiella statistiken och förordningen om den officiella statistiken behöver klargöras.

Utredaren ska därför

  • analysera regleringen av uppgiftsskyldigheten, klargöra förhållandet

Uppdraget att analysera kommunernas tillgång till lämnade uppgifter

Utredningen Framtidens Socialtjänst föreslår att endast den som är personuppgiftsansvarig ska få ha elektronisk åtkomst till uppgifter i ett socialtjänstdataregister.

Det övergripande syftet med förslaget till en ny socialtjänstdataregisterlag är att skapa goda förutsättningar för en kunskapsbaserad socialtjänst genom att utveckla statistiken inom socialtjänsten på nationell nivå. För att socialtjänsten ska kunna arbeta kunskapsbaserat och förebyggande behöver verksamheterna få rätt förutsättningar och på ett säkert, enkelt och kostnadseffektivt sätt ha tillgång till den statistik och det underlag som Socialstyrelsen framställer och särskilt de uppgifter som har lämnats. Det finns därför skäl att överväga om kommunerna ska ha tillgång till de uppgifter som de har lämnat genom elektronisk åtkomst.

Utredaren ska därför

  • analysera och ta ställning till om kommunerna ska ges tillgång till de

uppgifter som de har lämnat genom elektronisk åtkomst.

Uppdraget att ta fram en samlad reglering av socialtjänstdataregister

En ny socialtjänstdataregisterlag aktualiserar frågor om bl.a. dataskydd och offentlighet och sekretess.

Av 2 kap. 6 § andra stycket regeringsformen följer att var och en gentemot det allmänna är skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Det skydd för den personliga integriteten som finns i grundlagsbestämmelsen är inte absolut, utan kan under vissa förutsättningar begränsas med hänsyn till andra motstående intressen. En sådan begränsning får enligt 2 kap. 20 § regeringsformen endast ske genom lag. Enligt 2 kap. 21 § regeringsformen ska en begränsning vara nödvändig för att tillgodose ändamål som är godtagbara i ett demokratiskt samhälle. En begränsning får aldrig gå utöver vad som är nödvändigt med hänsyn till det ändamål som har föranlett den och inte heller sträcka sig så långt att den utgör ett hot mot den fria åsiktsbildningen såsom en av folkstyrelsens grundvalar. Vidare får en begränsning inte göras enbart på grund av politisk, religiös, kulturell eller annan sådan åskådning.

I EU:s dataskyddsförordning finns den grundläggande regleringen om behandling av personuppgifter, men ett visst utrymme för kompletterande nationell reglering ges. I vissa fall kan det krävas att det införs kompletterande nationell reglering för att personuppgiftsbehandlingen ska ha ett rättsligt stöd. Sådan nationell reglering måste dock vara förenlig med dataskyddsförordningen. För att kunna bedöma om förslaget är förenligt med dataskyddsregleringen samt behovet av kompletterande nationell reglering finns bl.a. behov av att närmare analysera och kartlägga vilken personuppgiftsbehandling som aktualiseras, vilka integritetsrisker den medför samt redovisa vilka bedömningar som görs i fråga om skyddsåtgärder och om uppgifternas bevarande.

De förslag som lämnas behöver även vara utformade på ett sådant sätt att uppgifter kan lämnas trots sekretess och ha ett adekvat sekretesskydd hos Socialstyrelsen genom att säkerställa att uppgifterna omfattas av s.k. statistiksekretess enligt 24 kap. 8 § offentlighets- och sekretesslagen (2009:400), förkortad OSL.

Uppgifterna i socialtjänstdataregister hos Socialstyrelsen kommer att ingå i sådan särskild verksamhet hos en myndighet som avser framställning av statistik för uppgift som avser en enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde, s.k. statistiksekretess i 24 kap. 8 § OSL. Uppgifterna omfattas av absolut sekretess och i analysen och ställningstagandet behöver därför ingå hur kommunernas tillgång till uppgifterna ska förhålla sig till statistiksekretessen.

Utredaren ska mot denna bakgrund

  • föreslå ett samlat regelverk för socialtjänstdataregister som är förenligt

med bestämmelserna om skydd för den personliga integriteten i regeringsformen liksom dataskyddsregleringen och i samband därmed göra en integritetsanalys,

  • särskilt ta ställning till vilka delar av regelverket som behöver placeras i

lag eller förordning,

  • analysera hur förslagen förhåller sig till regelverken om offentlighet och

sekretess, och

Konsekvensbeskrivningar

Utredaren ska utöver vad som följer av kommittéförordningen (1998:1474) särskilt beskriva omfattningen av den utökade personuppgiftsbehandlingen och redovisa konsekvenserna av denna. Utredaren ska även särskilt redovisa vad den utökade uppgiftsskyldigheten kan innebära för den som bedriver verksamhet inom socialtjänsten eller enligt LSS, oavsett om verksamheten bedrivs i offentlig eller enskild regi.

Utredaren ska bedöma förslagens förenlighet med Sveriges åtaganden om mänskliga rättigheter inbegripet barnets rättigheter. Konsekvenserna för barn ska belysas utifrån Förenta nationernas konvention om barnets rättigheter (barnkonventionen), som gäller som lag.

Utredaren ska analysera, beskriva och, när det är möjligt, kvantifiera de samhällsekonomiska effekterna av förslagen. Om något av förslagen påverkar den kommunala självstyrelsen ska, utöver förslagets konsekvenser, de särskilda avvägningar som har gjorts enligt 14 kap. 3 § regeringsformen redovisas.

Kontakter och redovisning av uppdraget

Utredaren ska samverka med Socialstyrelsen som ska bistå utredningen. Utredaren ska vidare, i den utsträckning det behövs, samråda med Integritetsskyddsmyndigheten, Statistiska centralbyrån, SKR, företrädare för kommuner och privata utförare som bedriver verksamhet inom socialtjänsten eller enligt LSS. Utredaren ska även samråda med utredningen om bättre förutsättningar för uppföljning av hälso- och sjukvården (S 2023:02), som ser över regelverket för hälsodataregister.

Utredaren ska hålla sig informerad om beredningen av betänkandet Hållbar socialtjänst – En ny socialtjänstlag samt annat relevant arbete som pågår inom Regeringskansliet och utredningsväsendet.

Uppdraget ska redovisas senast den 1 juli 2024.