Prop. 2007/08:126

Patientdatalag m.m.

Regeringen överlämnar denna proposition till riksdagen.

Stockholm den 19 mars 2008

Fredrik Reinfeldt

Göran Hägglund

(Socialdepartementet)

Propositionens huvudsakliga innehåll

Propositionen innehåller förslag till en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en ny lag, patientdatalagen. Den föreslagna regleringen innebär att patientjournallagen (1985:562) och lagen (1998:544) om vårdregister ersätts av den nya lagen. I denna lag, som ska gälla för alla vårdgivare oavsett huvudmannaskap, regleras bl.a. sådana frågor som skyldigheten att föra patientjournal, inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar genom direktåtkomst eller på annat elektroniskt sätt samt nationella och regionala kvalitetsregister. Härutöver föreslås ändringar i bl.a. sekretesslagstiftningen på hälso- och sjukvårdens område.

Författningsförslagen har delvis karaktär av ramlagstiftning, som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Den närmare regleringen i vissa generella frågor ska kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter.

Förslagen är en del av den process som pågår för att bl.a. med hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Den centrala utgångspunkten för förslagen är att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Lagändringarna föreslås träda i kraft den 1 juli 2008.

1. Förslag till riksdagsbeslut

Regeringen föreslår att riksdagen antar regeringens förslag till

1. patientdatalag,

2. lag om ändring i sekretesslagen (1980:100),

3. lag om ändring i lagen (2001:499) om omskärelse av pojkar,

4. lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

2. Lagförslag

Regeringen har följande förslag till lagtext.

2.1. Förslag till patientdatalag

Härigenom föreskrivs följande.

1 kap. Lagens tillämpningsområde m.m.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Lagens syfte

2 § Informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet.

Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

Definitioner

3 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1944:133) om kastrering, lagen (1972:119) om fastställande av könstillhörighet i vissa fall samt lagen (2006:351) om genetisk integritet m.m.

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt

Pr

uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.

op. 2007/08:126

Patientjournal En eller flera journalhandlingar som rör samma patient.

Sammanhållen journalföring Ett elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvård (privat vårdgivare).

Förhållandet till personuppgiftslagen

4 §Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelats med stöd av denna lag.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Kapitlets tillämpningsområde

1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.

Den enskildes inställning till personuppgiftsbehandling

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. och 7 kap. 2 § eller om något annat framgår av annan lag eller förordning.

3 § Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå ske, om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § eller om något annat framgår av annan lag eller förordning.

Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.

Ändamål med personuppgiftsbehandlingen

4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,

5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller

6. att framställa statistik om hälso- och sjukvården. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgiftsansvar

6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett landsting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.

I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

7 § En vårdgivare får behandla endast sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen.

Sökbegrepp

8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om

1. hälsa, eller 2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

3 kap. Skyldigheten att föra patientjournal

Inledande bestämmelse

1 § Vid vård av patienter ska det föras patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter.

I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring.

Syftet med en patientjournal

2 § Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten.

En patientjournal är även en informationskälla för – patienten, – uppföljning och utveckling av verksamheten, – tillsyn och rättsliga krav, – uppgiftsskyldighet enligt lag, samt – forskning.

Personer som är skyldiga att föra en patientjournal

3 § Skyldig att föra en patientjournal är

1. den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke,

2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara ska utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller utför sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare, och

3. den som är verksam som kurator i den allmänna hälso- och sjukvården.

Ansvar för uppgifter i en patientjournal

4 § Den som för patientjournal ansvarar för sina uppgifter i journalen.

En patientjournals innehåll

5 § En patientjournal får innehålla endast de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

6 § En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten.

Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla

1. uppgift om patientens identitet,

2. väsentliga uppgifter om bakgrunden till vården,

3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,

4. väsentliga uppgifter om vidtagna och planerade åtgärder, och

5. uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts i fråga om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.

Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

7 § Utöver vad som föreskrivs i 5 och 6 §§ får en patientjournal innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal.

8 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det antecknas i journalen.

9 § Uppgifter som ska antecknas enligt 6–8 §§ ska föras in i journalen så snart som möjligt.

10 § En journalanteckning ska, om det inte finns något synnerligt hinder, signeras av den som ansvarar för uppgiften.

11 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från 6 § andra stycket 1 när det gäller provtagning för viss sjukdom och från 10 § om signeringskrav.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om en journalhandlings innehåll och utformning.

Språket i patientjournaler

13 § De journalhandlingar som upprättas inom hälso- och sjukvården ska vara skrivna på svenska språket, vara tydligt utformade och så lätta som möjligt att förstå för patienten.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en sådan journalhandling får vara skriven på ett annat språk än svenska.

Hantering av journalhandlingar

14 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §.

Vid rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den.

15 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur journalhandlingar ska hanteras och förvaras.

Skyldighet att utfärda intyg om vården

16 § Den som enligt 3 § är skyldig att föra patientjournal ska på begäran av patienten utfärda intyg om vården.

Bevarande av journalhandlingar

17 § En journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år.

Särskilda bestämmelser om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns i 9 kap. 4 §.

18 § För journalhandlingar som utgör allmänna handlingar gäller, med de undantag som följer av 17 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.

Patientjournaler i krig m.m.

19 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet

Inre sekretess

1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Tilldelning av behörighet för elektronisk åtkomst

2 § En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat.

Kontroll av elektronisk åtkomst

3 § En vårdgivare ska se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om dokumentation och kontroll enligt första stycket.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 § Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.

Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.

Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser.

5 § En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om

1. patienten samtycker till det, eller

2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. Därefter får bara sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet

Bestämmelser i andra lagar

1 § Bestämmelser om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns i tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser som begränsar möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.

Myndighets skyldighet att lämna uppgift ur journal upprättad inom enskild hälso- och sjukvård

3 § En myndighet som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

Utlämnande genom direktåtkomst

4 § Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av någon annan sådan myndighet i samma landsting eller kommun.

Ytterligare bestämmelser om utlämnande genom direktåtkomst finns i 5 §, 6 kap. och i 7 kap. 9 §.

5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första stycket.

Utlämnande på medium för automatiserad behandling

6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

6 kap. Sammanhållen journalföring

Direktåtkomst till uppgifter hos en annan vårdgivare

1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det får andra uppgifter om patienten än dem som anges i andra stycket inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges i 4 §.

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Om en patient motsätter sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska uppgifterna genast spärras. Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.

Ospärrade uppgifter om patienten ska göras tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vårdgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.

3 § För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring enligt 2 § fjärde stycket krävs att

1. uppgifterna rör en patient som det finns en aktuell patientrelation med,

2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och

3. patienten samtycker till det. Vårdgivaren får även behandla sådana uppgifter om

1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,

2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 16 §, och

3. patienten samtycker till det. För att en vårdgivare ska få behandla sådana uppgifter som en vårdnadshavare inte har rätt att spärra enligt 2 § tredje stycket sista meningen krävs att förutsättningarna enligt första stycket 1 och 2 eller andra stycket 1 och 2 är uppfyllda.

4 § Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 2 § fjärde stycket, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.

Om det finns ospärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas enligt 3 §, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att de ospärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.

5 § En vårdgivare får inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det.

Personuppgiftsansvar vid sammanhållen journalföring

6 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Behörighetstilldelning och åtkomstkontroll

7 § Bestämmelserna i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.

Bevarande och gallring

8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 17 § att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen.

Om en journalhandling eller annan handling är tillgänglig för en myndighet bara genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra handlingen från sitt arkiv.

7 kap. Nationella och regionala kvalitetsregister

Inledande bestämmelse

1 § Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kvalitetsregistren ska mögliggöra jämförelse inom hälso- och sjukvården på nationell eller regional nivå. Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.

Den enskildes inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.

Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.

Information

3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om

1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,

2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt därefter.

Kvalitetsregisters ändamål

4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

5 § Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för ändamålen

1. framställning av statistik,

2. forskning inom hälso- och sjukvården,

3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 1 och 2 eller i 4 §, och

4. fullgörande av annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 15 kap. 5 § sekretesslagen (1980:100).

6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 4 och 5 §§.

Personuppgiftsansvar

7 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.

Regeringen eller den myndighet som regeringen bestämmer får besluta om undantag från första stycket.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Utlämnande genom direktåtkomst

9 § En vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett nationellt eller regionalt kvalitetsregister.

Bevarande och gallring

10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Om regeringen eller den myndighet regeringen bestämt har meddelat föreskrifter enligt 7 § andra stycket, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

8 kap. Rättigheter för den enskilde

Rätt att ta del av uppgifter

1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § En journalhandling inom enskild hälso- och sjukvård ska på begäran av patienten eller av en närstående till patienten så snart som möjligt tillhandahållas honom eller henne för att läsas eller skrivas av på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

Rättelse

3 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, ska gälla även då sådan behandling av personuppgifter som avses i 1 kap. 4 § skett i strid med denna lag.

Enligt 3 kap. 14 § får dock uppgifter i en journalhandling inte utplånas eller göras oläsliga i andra fall än som avses i 4 §.

Förstörande av patientjournal

4 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Socialstyrelsen besluta att journalen helt eller delvis ska förstöras. Förutsättningarna för detta är att

1. godtagbara skäl anförs för ansökan,

2. patientjournalen eller den del av den som ansökan avser uppenbarligen inte behövs för patientens vård, och

3. det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.

Innan ansökan slutligt prövas får den som ansvarar för en journalhandling som omfattas av ansökan ges tillfälle att yttra sig.

Information

5 § En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om information enligt första stycket.

6 § Den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med behandlingen,

3. vilka kategorier av uppgifter som behandlas,

4. den uppgiftsskyldighet som kan följa av lag eller förordning,

5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

7. rätten enligt 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,

8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

9. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen,

10. rätten enligt 10 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med denna lag,

11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

12. vad som gäller i fråga om bevarande och gallring, samt 13. huruvida personuppgiftsbehandlingen är frivillig eller inte. I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

Andra rättigheter enligt denna lag

7 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

9 kap. Omhändertagande och återlämnande av patientjournal

Förutsättningar för omhändertagande

1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt denna lag eller enligt föreskrifter som meddelats i anslutning till lagen, får Socialstyrelsen besluta att patientjournalerna ska tas om hand.

Socialstyrelsen får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om

1. den som ansvarar för hanteringen av journalerna ansöker om det, och

2. det finns ett påtagligt behov av att journalerna tas om hand.

Förutsättningar för återlämnande

2 § En omhändertagen patientjournal ska återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Ansvaret för omhändertagna journaler

3 § Patientjournaler som omhändertagits enligt 1 § ska förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen ska i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna ska förvaras.

Bevarande av omhändertagna journaler

4 § Omhändertagna journalhandlingar ska bevaras minst tio år från det att de kom in till arkivmyndigheten.

Verkställighet av beslut om omhändertagande

5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.

Polismyndigheten ska lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

10 kap. Skadestånd och överklagande

Skadestånd

1 § Bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter enligt denna lag som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Överklagande

2 § Socialstyrelsens beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Socialstyrelsens beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar 15 kap. 7 § sekretesslagen (1980:100).

Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 5153 §§personuppgiftslagen (1998:204).

Övriga beslut enligt denna lag får inte överklagas.

1. Denna lag träder i kraft den 1 juli 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister ska upphöra att gälla.

2. Bestämmelserna i 7 kap. ska inte börja tillämpas förrän den 1 juli 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.

3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009.

2.2. Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 7 kap. 1 c §, 9 kap. 4 § och 14 kap. 2 §sekretesslagen (1980:100)1 ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 kap.

1 c §

2

Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.

Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.

Sekretess gäller hos en myndighet som bedriver verksamhet som avses i första stycket för uppgift om enskilds personliga förhållanden som gjorts tillgänglig av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring i patientdatalagen (2008:00) , om förutsättningar enligt 6 kap. 3 eller 4 § nämnda lag för att myndigheten ska få behandla uppgiften inte är uppfyllda. Om sådana förutsättningar föreligger eller myndigheten behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men.

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra

1 Lagen omtryckt 1992:1474. 2 Senaste lydelse 2007:1127.

personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

personliga förhållanden. Prop. 2007/08:126

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Sekretess enligt första stycket hindrar inte att en uppgift lämnas

1. från en myndighet som bedriver verksamhet som avses i första stycket i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting,

2. till en myndighet som bedriver verksamhet som avses i första stycket eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen ,

3. till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen ,

En landstingskommunal eller kommunal myndighet som bedriver verksamhet som avses i första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Vidare får utan hinder av sekretessen uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m. samt lagen (2006:496) om blodsäkerhet.

4. från en myndighet som bedriver verksamhet som avses i första stycket inom en kommun eller ett landsting till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs,

5. till en enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m. samt lagen (2006:496) om blodsäkerhet.

Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en

P uppgift lämnas ut, hindrar sekretess enligt första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

rop. 2007/08:126

Utan hinder av sekretessen enligt fjärde stycket får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

Ytterligare bestämmelser om begränsningar i sekretessen enligt första stycket, andra stycket, tredje stycket andra meningen och fjärde stycket finns i 14 kap. 2 §.

9 kap.

4 §

3

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan

3 Senaste lydelse 2007:1212.

Pr

att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:00).

op. 2007/08:126

att den som uppgiften rör eller någon honom närstående lider skada eller men.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.

14 kap.

2 §

4

Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för

1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,

2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller

3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.

Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.

Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns

Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget ska hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns

4 Senaste lydelse 2007:243.

Anmärkning: Ändringar i 14 kap. 2 § har även föreslagits i propositionerna Ny vårdform inom den psykiatriska tvångsvården (prop. 2007/08:70) och Ökade möjligheter att ingripa mot rattfylleri och sjöfylleri (prop. 2007/08:53).

synnerliga skäl. synnerliga skäl.

Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.

För uppgift som omfattas av sekretess enligt 7 kap. 1 c–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

Vad som föreskrivs i fjärde stycket gäller inte för uppgift som omfattas av sekretess enligt 7 kap. 1 c § tredje stycket första meningen. För uppgift som omfattas av sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket, 7 kap. 2–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller

3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

om inte annat följer av sjätte–åttonde styckena. Sekretess enligt 7 kap. 1 c §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

Sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

1. enligt 3, 4 eller 6 kap. brottsbalken eller

2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

Sekretess enligt 7 kap. 4 § första och tredje styckena hindrar vidare inte att uppgift, som angår misstanke om

1. överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),

2. överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller

3. icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),

till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.

Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom

socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.

Sekretess enligt 7 kap. 1 c § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Denna lag träder i kraft den 1 juli 2008.

2.3. Förslag till lag om ändring i lagen (2001:499) om omskärelse av pojkar

Härigenom föreskrivs att 2 § lagen (2001:499) om omskärelse av pojkar ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

1

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientjournallagen (1985:562).

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientdatalagen (2008:00).

Denna lag träder i kraft den 1 juli 2008.

1 Senaste lydelse 2001:499.

2.4. Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 3 kap. 7 § ska ha följande lydelse,

dels att rubriken närmast före 4 kap. 6 § ska lyda ”Vägran att lämna ut vävnadsprover m.m.”,

dels att det i lagen ska införas två nya paragrafer, 4 kap. 4 a och 6 a §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

7 §

1

Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt.

Särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen (1985:562) .

Uppgifter om information och samtycke m.m. enligt 1–6 §§ ska dokumenteras på lämpligt sätt i provgivarens patientjournal.

4 kap.

4 a §

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204) .

6 a §

Frågor om utlämnande av en journalhandling enligt 4 a § prövas av den som är ansvarig för patientjournalen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

I fråga om överklagande av Socialstyrelsens beslut enligt

1 Senaste lydelse 2002:297.

första stycket gäller i tillämpliga delar 15 kap. 7 § sekretesslagen (1980:100) .

Denna lag träder i kraft den 1 juli 2008.

3. Ärendet och dess beredning

Regeringen beslutade den 3 april 2003 att tillkalla en utredare med uppdrag att utarbeta förslag till en särskild författningsreglering av nationella kvalitetsregister inom hälso- och sjukvården (dir. 2003:42). Utredaren gavs även i uppdrag att överväga om särskild författningsreglering behövs för de regionala cancerregistren och för donations- och metadonregistren, samt för blodgivarregistret och vaccinationsregistret, som båda är under uppbyggnad. I utredarens uppdrag ingick att utarbeta ett förslag till särskild författningsreglering om utredaren fann detta nödvändigt.

Utredningen antog inledningsvis namnet Kvalitetsregisterutredningen men ändrade sedan namnet till Patientdatautredningen (S 2003:03).

Den 23 juni 2004 beslutade regeringen om tilläggsdirektiv till utredningen (dir. 2004:95). Enligt tilläggsdirektivet skulle den särskilde utredaren se över hur behandlingen av personuppgifter inom hälso- och sjukvården regleras samt lämna förslag till en väl fungerande och sammanhängande reglering av området. I uppdraget ingick att analysera förutsättningarna för och nyttan av att skapa en för samtliga vårdgivare sammanhållen journal. Utredaren skulle också utreda frågor kring den överföring och det utbyte av personuppgifter som förekommer i det internationella samarbetet beträffande uppgifter i kvalitetsregister och vid behov lämna förslag till bestämmelser om detta. I utredarens uppdrag ingick också att se över frågan om Läkemedelsverket ska få föra ett register för uppföljning av läkemedels ändamålsenlighet. Utredaren skulle överväga hur ett sådant register ska regleras. Utredaren fick vidare i uppdrag att göra en generell översyn av lagen (1996:1156) om receptregister och anpassa den till övrig lagstiftning inom området. Slutligen skulle utredaren göra en översyn av aktuella bestämmelser i lagen (1998:543) om hälsodataregister, sekretesslagen (1980:100) och andra bestämmelser på hälso- och sjukvårdens område som berörs av uppdraget, t.ex. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område samt lämna förslag till nödvändiga ändringar i dessa författningar.

Den 20 december 2005 beslutade regeringen om ytterligare tilläggsdirektiv (dir. 2005:150). Enligt dessa tilläggsdirektiv skulle den särskilde utredaren utarbeta förslag till författningsreglering av det nationella register för vaccinationer som i dag förs i projektform av Läkemedelsverket, Smittskyddsinstitutet och Socialstyrelsen. I dessa tilläggsdirektiv fastställdes även att utredningen senast den 1 oktober 2006 skulle redovisa den del av uppdraget som gäller frågan om en sammanhängande lagstiftning för all behandling av personuppgifter inom hälso- och sjukvården, frågan om en sammanhängande patientjournal, kvalitetsregisterfrågor samt sekretessfrågor med anledning av dessa uppgifter. Utredningen skulle redovisa resultatet av sitt arbete i övriga delar senast den 31 december 2006.

Utredningen lämnade i oktober 2006 delbetänkandet Patientdatalag (SOU 2006:82). I juli 2007 lämnade utredningen slutbetänkandet Patientdata och läkemedel m.m. (SOU 2007:48). Det är förslagen i delbetänkandet Patientdatalag som behandlas i denna proposition.

En sammanfattning av utredningens förslag återfinns i bilaga 1. Utredningens lagförslag finns i bilaga 2. Betänkandet har remissbehandlats. En förteckning över de remissinstanser som lämnat synpunkter återfinns i bilaga 3. En sammanställning av remissvaren finns tillgänglig i Socialdepartementet under dnr S2006/7399/HS.

Regeringens förslag om nya bestämmelser i 6 kap. 2 § patientdatalagen och 7 kap. 1 c § sekretesslagen, tillhörande författningskommentar och avsnitt 10.3 och 10.4 har remissbehandlats särskilt och det har hållits ett remissmöte. Den remitterade lagtexten samt en sammanfattning av promemorians förslag återfinns i bilaga 4. En förteckning över de remissinstanser som lämnat synpunkter återfinns i bilaga 5. En sammanställning av remissvaren finns tillgänglig i Socialdepartementet under dnr S2008/387/HS.

Beträffande förslag till ändringar i 14 kap. 2 § sekretesslagen har regeringen i propositionerna Ökade möjligheter att ingripa mot rattfylleri och sjöfylleri (prop. 2007/08:53) och Ny vårdform inom den psykiatriska tvångsvården (prop. 2007/08:70) även föreslagit ändringar. Förslaget i propositionen (prop. 2007/08:53) träder i kraft den 1 juli 2008. Förslaget i propositionen (prop. 2007/08:70) träder i kraft den 1 september 2008.

Lagrådet

Regeringen beslutade den 31 januari 2008 att inhämta Lagrådets yttrande över de lagförslag som finns i bilaga 6.

Lagrådets yttrande finns i bilaga 7. Regeringen har i allt väsentligt följt Lagrådets förslag. Dessutom har vissa redaktionella ändringar gjorts i lagtexten. Lagrådets synpunkter behandlas i avsnitten 10.4 och 17.3 samt i författningskommentaren.

4. Nya krav på informationshanteringen inom hälso- och sjukvården

4.1. Målet för hälso- och sjukvården

Regeringens mål för hälso- och sjukvården är att befolkningen ska erbjudas en behovsanpassad, tillgänglig och effektiv vård av god kvalitet.

Målet signalerar att allt förbättringsarbete inom hälso- och sjukvården sker för en tydlig målgrupp, befolkningen, där även de som ännu inte är patienter inkluderas. Befolkningen ska erbjudas ett aktivt och fritt vårdval bland en mångfald av aktörer. Vården ska vara behovsanpassad och tillgänglig, vilket innebär att det är patientens individuella behov som vården ska möta. I detta ingår också att erbjuda nya och lättillgängliga verktyg för en aktiv vårdkonsument, där information om väntetider, öppna kvalitetsjämförelser och annan vital information presenteras målgruppsanpassat. Begreppet effektiv anger nödvändigheten av att fortlöpande utvärdera och förnya arbetssätt och processer inom hälso- och sjukvården, inklusive en god informationsförsörjning med hjälp av IT. Att vården ska vara av god kvalitet markerar vikten av att systematiskt

förbättra vård och behandling genom ett ökat fokus på forskning och en effektiv kunskapsspridning.

4.2. Nya förutsättningar för vården

Hälso- och sjukvården har under senare år genomgått stora strukturförändringar och antalet driftsformer är i dag fler än för bara några år sedan. Det är också vanligt att patienter vårdas och behandlas av olika vårdgivare, inte sällan i en vårdkedja. Detta innebär att antalet yrkesutövare som direkt involveras i vården av en enskild patient har ökat.

Den nationella vårdgaranti och det fria vårdval som införts innebär samtidigt att geografiskt bunden vårdgivartillhörighet oftare kan komma att ersättas av individuellt vald tillhörighet utanför det geografiska närområdet. Den fria rörligheten av personer inom EU innebär dessutom möjligheter till gränsöverskridande vård. De ändrade förutsättningarna för hur vården bedrivs ställer nya krav på såväl information till patienterna som möjligheterna för vårdgivare att ta del av uppgifter om patienterna.

En tydlig tendens är att patienterna är mer pålästa och involverade i sin egen vård och därmed ställer högre krav på information och kommunikation med sjukvården. Den ökade Internetanvändningen innebär också att enskilda i allt större utsträckning på egen hand söker efter information om t.ex. sjukdomar, läkemedel och egenvård samt efterfrågar möjligheter att kontakta vården via Internet för att t.ex. boka tider, förnya recept eller för rådgivning.

Idén om en elektronisk sammanhållen journal för varje patient och som är gemensam för samtliga vårdgivare har också under de senaste åren blivit en vision som successivt fått en bredare uppslutning i den allmänna debatten om hälso- och sjukvården. En uttalad målsättning för mycket av det utvecklingsarbete som nu pågår på olika håll och på olika nivåer är att all dokumentation i form av patientjournalföring ska kunna ske i en och samma journal som följer patienten i kontakter med olika vårdgivare. Det långsiktiga målet är att skapa en ändamålsenlig vårddokumentation som ger tillförlitlig och användbar information för olika aktörer och som följer patienten hela livet.

4.3. IT-användning inom hälso- och sjukvården

Utvecklingen inom informationsinfrastrukturen innebär att de tekniska förutsättningarna nu finns för att skapa system som möjliggör snabb och effektiv hantering av patientinformation elektroniskt.

Landstingens IT-chefer gör sedan flera år en egen inventering av system, utveckling och kostnader för IT-stöd. Våren 2007 presenterades en rapport som innehåller en sammanfattning av 2007 års systeminventering med fokus på användningen av IT-stöd i det direkta vårdarbetet. Av rapporten framgår att införandet av IT-stöd för vårddokumentation i princip är fullständigt genomfört inom primärvården, där täckningsgraden för elektroniska dokumentationssystem ligger på 97 procent. Sjukhusen använder datorstödd vårddokumentation till 81 procent

jämfört med 83 procent inom psykiatrin. IT-stöd för tandvårdsjournal är i det närmaste helt införd i alla landsting. De flesta landsting har eller kommer att ha samma IT-stöd för vårddokumentation för sjukhus, psykiatri och primärvård genom att en mångfald äldre journalsystem fasas ut och ofta ersätts med ett enda enhetligt system. De flesta landsting väljer också att skapa en gemensam databas med åtkomst enligt konceptet ”en patient – en journal ” inom landstinget.

En nationell IT-strategi för vård och omsorg (skr. 2005/06:139) har utarbetats i ett brett samarbete mellan sektorns nyckelaktörer. Strategin har etablerat en gemensam vision och ett gemensamt förhållningssätt till vilka principer som ska vara styrande för den fortsatta IT-utvecklingen inom vård- och omsorgssektorn. Strategin har under 2006-2007 formellt antagits genom beslut av regeringen, av styrelserna inom Sveriges Kommuner och Landsting samt genom fullmäktigebeslut i samtliga landsting och i en rad kommuner. Strategin har lagt grunden till en fördjupad samverkan på nationell nivå och är nu vägledande för alla investeringar i lokala, regionala och nationella IT-tjänster i hälso- och sjukvården.

4.4. Behovet av ett nytt regelverk

Större delen av den personuppgiftsbehandling som äger rum inom hälso- och sjukvården avser personuppgifter som primärt samlas in för att dokumenteras i en patientjournal. Hur patientjournalföringen regleras är därför av avgörande betydelse för utformningen av lagstiftningen om personuppgiftsbehandling inom hälso- och sjukvården i stort.

Genom de förslag som lämnas i denna Proposition anpassas regelverket på ett bättre sätt mot de nya möjligheter och önskemål som finns om utbyte av elektroniskt lagrad patientinformation. Genom lagförslagen stärks också patienternas inflytande över vården samtidigt som vårdgivarnas möjligheter till informationsutbyte, journalhantering och verksamhetsuppföljning förbättras.

Lättare tillgänglig patientinformation och ett smidigare utbyte av patientuppgifter ställer samtidigt ökade krav på hur informationen hanteras så att patientens integritet inte hotas. Att skydda patientens integritet är i sig viktigt men också avgörande för om patienterna ska välja att delta i ett system med en elektroniskt sammanhållen journal. Utan patienternas förtroende för säkerheten i den elektroniska informationshanteringen kommer ett sådant system inte att fungera i praktiken.

Utgångspunkten för regeringens förslag är därför att hanteringen av personuppgifter inom hälso- och sjukvården ska underlättas samtidigt som patientsäkerheten och patientens egen möjlighet till medverkan ska stärkas. Förslagen är utformade med syfte att underlätta informationsutbyte mellan vårdgivare och mellan vårdgivare och patient men alltid med skyddet för patientens integritet som första prioritet.

En annan utgångspunkt för förslagen är att regleringen inte ska föranleda onödigt administrativt arbete för hälso- och sjukvårdspersonalen. Regeringens förslag är därför utformade så att de underlättar införandet av en enhetlig struktur för elektroniskt förda journaler och förenklar möjligheten att följa upp patientens vårdhistoria.

Även om utvecklingen av elektroniska system för patientjournalföring på många håll kommit långt så finns det i dagsläget ännu inte tekniska förutsättningar för att föreskriva att alla aktörer inom vården ska delta i system för elektronisk journalföring. Dels har sjukvårdshuvudmännen kommit olika långt i utvecklingen av sina elektroniska system, dels finns en mängd mindre aktörer som fortfarande i huvudsak för journal på papper, t.ex. mindre privata kliniker. Det är vidare så att dagens system i många fall inte är utformade på ett sådant sätt att informationsutbyte kan ske effektivt och säkert.

Inte minst med tanke på skyddet för patienternas integritet vore det därför fel att föreslå en obligatorisk elektronisk journalföring. Lagstiftningsförslagen är därför i stället utformade så att de skapar förutsättningarna för att kunna införa en gemensam elektronisk journal men föreskriver inget tvång för vårdgivarna att införa en sådan journalföring.

Avslutningsvis kan framhållas att en lagreglering på området inte kan göras uttömmande. Verksamheten på hälso- och sjukvårdsområdet är för komplex för att man i lag ska kunna reglera journalföringen i detalj. Regeringens förslag är därför utformade som en ramlagstiftning. Lagreglerna måste liksom i dag kompletteras med bl.a. föreskrifter och allmänna råd om hur journaler i detalj ska föras. Det kommer också i viss mån att bli en uppgift för hälso- och sjukvårdspersonalen att utveckla en praxis på området.

5. Central lagstiftning för informationshanteringen inom hälso- och sjukvården

5.1. Inledning

Bestämmelser av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter finns i dag i ett flertal författningar. De som är av direkt betydelse för hanteringen är framför allt patientjournallagen (1985:562), lagen (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagen (1998:204). För den allmänna hälso- och sjukvården gäller vidare tryckfrihetsförordningens bestämmelser om allmänna handlingar och handlingsoffentlighet, arkivlagens (1990:782) bestämmelser om bevarande och gallring av allmänna handlingar och sekretesslagens (1980:100) bestämmelser om sekretess och tystnadsplikt. Delvis motsvarande bestämmelser om tystnadsplikt inom den enskilda hälso- och sjukvården finns i 2 kap.89 §§ lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Även hälso- och sjukvårdslagen (1982:763) och tandvårdslagen (1985:125) innehåller bestämmelser av viss betydelse för informationshanteringen. Därutöver finns bestämmelser i speciallagstiftning, förordningar och myndighetsföreskrifter som måste beaktas vid informationshanteringen på vissa områden inom hälso- och sjukvården. Lagen (1998:543) om hälsodataregister är ett exempel på sådan speciallagstiftning. Lagen om hälsodataregister innehåller bestämmelser om personregister som förs av central förvaltningsmyndighet

inom hälso- och sjukvården för ändamål av mer övergripande karaktär som inte syftar till användning för den individinriktade vården. Bestämmelser om informationshantering inom hälso- och sjukvården finns även i bl.a. smittskyddslagen (2004:168), lagen (1991:1128) om psykiatrisk tvångsvård och lagen (1991:1129) om rättspsykiatrisk vård.

5.2. Patientjournallagen

I patientjournallagen finns de grundläggande bestämmelserna om all patientjournalföring inom hälso- och sjukvården. Lagen gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är teknikneutral och gäller således oberoende av huruvida journaler förs på papper eller elektroniskt.

I 1 § anges att det vid vård av patienter inom hälso- och sjukvården ska föras patientjournal. Med vård avses i lagen även undersökning och behandling. En patientjournal är individuell och ska föras för varje enskild patient. Den får inte vara gemensam för flera patienter.

Journalen består, enligt 2 §, av de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder. Varje enskild handling benämns journalhandling.

Patientjournallagen innehåller därutöver bestämmelser om patientjournalens innehåll, utformning och hantering (3–7 §§) och vilka yrkeskategorier som är skyldiga att föra journal och på begäran av patienten utfärda intyg om vården (9 och 10 §§). Vidare finns bestämmelser om hur journalhandlingar ska bevaras (8 §), om omhändertagande och återlämnande av patientjournaler (11–14 §§) och om offentlighet och sekretess inom enskild hälso- och sjukvård (15–17 §§), ytterligare föreskrifter (18–19 §§) och patientjournaler i krig m.m. (20 §).

5.3. Vårdregisterlagen

Vårdregisterlagen reglerar automatiserad behandling av personuppgifter i vårdregister.

Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen. Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 §).

Enligt 1 § vårdregisterlagen får den som bedriver vård utföra automatiserad behandling av personuppgifter i vårdregister. Med vård avses vård enligt hälso- och sjukvårdslagen, tandvårdslagen, lagen om psykiatrisk tvångsvård och lagen om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen. Enligt förarbetena till vårdregisterlagen avses denna hänvisning till uppräknade lagar skapa tydlighet i fråga om vilken vårdverksamhet som omfattas av vårdregisterlagens tillämpningsområde. All elektronisk patientjournalföring – oavsett om den grundar sig på patientjournallagen eller annan författning – regleras av vårdregisterlagen (prop. 1997/98:108 s. 68 f.).

Vad som utgör ett vårdregister bestäms i hög grad av vårdregisterlagens ändamålsreglering i kombination med en bestämmelse om vad ett vårdregister får innehålla. Personuppgifter i ett vårdregister får enligt lagen behandlas för dokumentation av vården av patienter eller för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall. Behandling av personuppgifter får även utföras för den ekonomiadministration som föranleds av vård i enskilda fall (3 §). Endast sådana personuppgifter som behövs för dessa primära ändamål får finnas i ett vårdregister. Vårdregisterlagen reglerar, liksom personuppgiftslagen, bara behandling av uppgifter om levande personer.

Personuppgifter som härrör från det individinriktade vårdarbetet och som har registrerats i ett vårdregister får emellertid även behandlas för framställning av statistik, uppföljning, utvärdering, kvalitetssäkring och administration på verksamhetsområdet och uppgiftsutlämnande som föreskrivs i lag eller förordning (4 §). Dessa ändamål kan sägas vara sekundära. Personuppgiftsbehandling som sker särskilt för något eller flera av dessa sekundära ändamål omfattas dock inte av vårdregisterlagens tillämpningsområde. Personuppgiftsbehandling i register eller liknande elektroniska uppgiftssamlingar som inrättats för andra ändamål än vårdregisterlagens primära ändamål – t.ex. kvalitetsregister eller elektroniska system för avvikelserapportering – regleras således bara av personuppgiftslagen.

Ett vårdregister får endast innehålla de uppgifter som enligt lag eller annan författning ska ingå i en patientjournal eller andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall (5 §).

Uppgifter om en patient som behövs för vård av denne samt uppgifter som behövs för den ekonomiadministration som föranleds av den aktuella vården får hämtas till ett vårdregister från andra vårdregister genom samkörning. Dessutom får patientens läkemedelsförteckning samt uppgifter om patientens folkbokföringsadress hämtas till registret genom samkörning (6 §).

Personuppgifter som avses i 13 § eller 21 §personuppgiftslagen får inte användas som sökbegrepp i ett vårdregister. Inte heller får uppgifter om att någon fått ekonomisk hjälp eller vård inom socialtjänsten eller varit föremål för åtgärd enligt utlänningslagen (2005:716) användas som sökbegrepp (7 §). Trots detta förbud är det tillåtet att som sökbegrepp använda uppgifter om sjukdom och hälsotillstånd samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen om psykiatrisk tvångsvård eller lagen om rättspsykiatrisk vård.

Direktåtkomst till uppgifter i ett vårdregister får endast den ha som behöver tillgång till uppgifterna för att kunna utföra sitt arbete. Uppgifterna ska behövas för något av de ändamål för vilka ett vårdregister får användas. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande (8 §).

Personuppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling, om de ska användas för ändamål för vilka vårdregister får föras. Detsamma gäller om uppgifterna ska användas för de ändamål som anges i 3 och 4 §§ eller för forskningsändamål (9 §).

I vårdregisterlagen finns därutöver bestämmelser om vilken information om personuppgiftsbehandlingen som måste lämnas till en registrerad (11 §).

När det gäller patientjournalhandlingar som ingår i ett vårdregister finns hänvisningar till bestämmelser i patientjournallagen om bevarande och gallring, om begränsningar i fråga om utlämnande av personuppgifter och om begränsningar i skyldigheten att vidta rättelse m.m. Hänvisningar finns också till sekretesslagen och till lagen om yrkesverksamhet på hälso- och sjukvårdens område. I fråga om rättelse och skadestånd finns hänvisningar till personuppgiftslagen.

5.4. Personuppgiftslagen

Den 24 oktober 1995 antogs Europaparlamentets och rådets direktiv 95/46/EG om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 23.11.1995 s. 31, Celex 31995L0046), (dataskyddsdirektivet).

Med anledning av att dataskyddsdirektivet skulle antas, tillsattes i juni 1995 Datalagskommittén. Kommitténs uppgift vara att göra en total revision av datalagen (1973:289) och utreda på vilket sätt direktivet skulle införlivas i svensk rätt. Uppdraget redovisades i betänkandet Integritet – Offentlighet – Informationsteknik (SOU 1997:39).

Personuppgiftslagen, som i stora delar trädde i kraft den 24 oktober 1998, bygger i allt väsentligt på det förslag som lades fram i Datalagskommitténs betänkande.

Lagen tillämpas på helt eller delvis automatiserad behandling av personuppgifter och dessutom på manuell behandling av personuppgifter, om uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier (5 §). Personuppgiftslagen har ett vidsträckt tillämpningsområde och reglerar i princip all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet (se 3 §). Även bild- och ljuduppgifter som kan hänföras till en person kan omfattas. Personuppgiftslagens bestämmelser kan även vara tillämpliga vid hantering av t.ex. kodade uppgifter eller pseudonymer.

Genom en rad bestämmelser begränsas emellertid tillämpningsområdet för lagen. Personuppgiftslagen omfattar tex. inte uppgifter om juridiska personer eller uppgifter om avlidna fysiska personer.

Sedan den 1 januari 2007 har bl.a. en bestämmelse införts som i de flesta fall innebär lättnader för behandling av personuppgifter i löpande text, ljud och bild. Enligt bestämmelsen undantas behandling av personuppgifter som inte ingår i eller är avsedda att ingå i en samling av personuppgifter som har strukturerats för att påtagligt underlätta sökning efter eller sammanställning av personuppgifter (s.k. ostrukturerat material) från de flesta av personuppgiftslagens hanteringsregler. För sådant material gäller i stället att behandling inte får utföras, om den innebär en kränkning av den registrerades personliga integritet (5 a §). Detta betyder att den som behandlar personuppgifter t.ex. i löpande text i ordbehandlingsprogram, i e-post eller på Internet samt i enstaka ljud-

eller bild upptagningar normalt sett inte behöver beakta flera av lagens bestämmelser (se prop. 2005/2006:173 s. 58).

Lagen omfattar inte heller sådan behandling som en fysisk person utför som ett led i en verksamhet av rent privat natur (6 §). Av förtydligande skäl anges också att lagen inte ska tillämpas i den utsträckning det skulle strida mot bestämmelserna om tryck- och yttrandefrihet i tryckfrihetsförordningen eller yttrandefrihetsgrundlagen, att tillämpa lagens regler (7 § första stycket). Motsvarande gäller när en tillämpning av personuppgiftslagen skulle strida mot en myndighets skyldighet att lämna ut personuppgifter enligt 2 kap. tryckfrihetsförordningen (8 § första stycket). Därutöver finns det ytterligare några undantag i personuppgiftslagens tillämpningsområde (se 7 § andra stycket, 8 § andra stycket, 8 a §). Personuppgiftslagens tillämpningsområde kan dessutom inskränkas genom särreglering i annan lag eller förordning, exempelvis registerlagstiftningen (se 2 §). Lagen innehåller endast generella regler och det förutsattes vid dess tillkomst att behov av undantag och preciseringar för mer speciella områden skulle tillgodoses genom särskild registerlagstiftning. Sådan särreglering får dock givetvis inte stå i strid med dataskyddsdirektivet eller Europarådets dataskyddskonvention.

Personuppgiftsansvarig är enligt lagen den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter (3 §). I personuppgiftslagen åläggs den personuppgiftsansvarige att upprätthålla vissa grundläggande krav på behandlingen av personuppgifter (9 §). Personuppgifter ska behandlas bara om det är lagligt och behandlingen ska alltid ske på ett korrekt sätt och i enlighet med god sed.

Personuppgifter får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte behandlas för något ändamål som är oförenligt med det ändamål för vilket de samlades in (finalitetsprincipen). En behandling för historiska, statistiska eller vetenskapliga ändamål ska dock inte anses som oförenlig med de ändamål för vilka uppgifterna samlades in.

Alla rimliga åtgärder ska vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen.

Personuppgifter får inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ursprungliga ändamålen med behandlingen, om det inte behövs för historiska, statistiska eller vetenskapliga ändamål. Myndigheternas arkivering och bevarande av allmänna handlingar hindras dock inte av lagen.

Personuppgifter som behandlas för historiska, statistiska eller vetenskapliga ändamål får enligt huvudregeln användas för att vidta åtgärder i fråga om den registrerade, bara om den registrerade har lämnat sitt samtycke eller det finns synnerliga skäl med hänsyn till den registrerades vitala intressen. Denna begränsning gäller dock inte för en myndighets användning av personuppgifter i allmänna handlingar.

I personuppgiftslagen anges vidare vissa förutsättningar för när en behandling av personuppgifter över huvud taget är tillåten (10 §). Minst en av dessa förutsättningar måste föreligga för att en behandling ska vara tillåten enligt lagen. Den inledande av de alternativa förutsättningarna är att den registrerade har lämnat samtycke till behandlingen. För att ett

giltigt samtycke ska anses föreligga krävs att den registrerade, efter att ha fått information om behandlingen av personuppgifter, genom en frivillig, särskild och otvetydig viljeförklaring godtar att den personuppgiftsansvarige vidtar de åtgärder vari behandlingen av information om honom eller henne består (3 §). Föreligger inget samtycke kan en behandling dock vara tillåten, om den är nödvändig för ett antal i bestämmelsen uppräknade syften. Exempelvis kan en behandling vara tillåten om den är nödvändig för att vitala intressen för den registrerade ska kunna skyddas eller för att ett ändamål som rör ett berättigat intresse hos den personuppgiftsansvarige eller hos en sådan tredje man till vilken personuppgifterna lämnas ut ska kunna tillgodoses, om detta intresse väger tyngre än den registrerades intresse av skydd mot kränkning av den personliga integriteten.

För vissa slag av uppgifter gäller enligt personuppgiftslagen särskilda restriktioner. Huvudregeln i lagen innebär att det är förbjudet att behandla uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa eller sexualliv (13 §). Dessa olika slag av uppgifter kallas med en samlingsbeteckning känsliga personuppgifter.

Det finns emellertid en rad undantag från förbudet mot behandling av känsliga personuppgifter angivna direkt i personuppgiftslagen. Exempelvis får känsliga uppgifter behandlas om sådana uppgifter enligt lagen behandlas med den registrerades uttryckliga samtycke eller när denne offentliggjort uppgifterna på ett tydligt sätt. Känsliga personuppgifter får exempelvis även behandlas för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård eller om uppgifterna omfattas av sjukvårdssekretess (se 15–19 §§).

Regeringen eller den myndighet som regeringen bestämmer får, om det behövs med hänsyn till ett viktigt allmänt intresse, medge ytterligare undantag från förbudet att behandla känsliga uppgifter (20 §).

Det är enligt personuppgiftslagen förbjudet för andra än myndigheter att behandla personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden (21 §). Regeringen eller den myndighet som regeringen bestämmer (Datainspektionen) får dock meddela föreskrifter eller beslut i enskilda fall om undantag från förbudet.

Uppgifter om personnummer och samordningsnummer får enligt 22 § personuppgiftslagen behandlas bara om den registrerade samtycker till det eller när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl.

Personuppgiftslagen innehåller även bestämmelser om skyldighet att lämna information, vad informationen ska omfatta och om undantag från informationsskyldigheten (23 §–27 §§). Bestämmelserna om informationsskyldighet gäller exempelvis inte om sekretess eller tystnadsplikt för uppgifterna är föreskriven i förhållande till den registrerade.

Personuppgiftslagen innehåller vidare bestämmelser om rättelse och omprövning (28–29 §§) och om säkerheten vid behandling och personuppgifter (30–32 §§).

Det är enligt 33 § som huvudregel förbjudet att föra över personuppgifter till tredje land som inte har en adekvat nivå för skyddet av personuppgifterna. Däremot får personuppgifterna fritt föras inom EU och EES. Från förbudet att överföra personuppgifterna till tredje-land finns en rad undantag som anges i 34 §. Ett undantag är att det är tillåtet att föra över personuppgifter för användning i en stat som anslutit sig till Europarådets konvention om skydd för enskilda vid automatisk databehandling av personuppgifter (Convention for the protection of individuals with regard to automatic processing of personal data, European treaty Series no. 108). Har den registrerade samtyckt får personuppgifterna också föras över till tredje-land trots att landet saknar adekvat nivå för skyddet av personuppgifter. Dessutom får överföring ske om den är nödvändig för vissa i paragrafen angivna ändamål, exempelvis för att ett avtal mellan den registrerade och den personuppgiftsansvarige ska kunna fullgöras. Regeringen får meddela föreskrifter bl.a. om undantag från förbudet för överföring till vissa stater. Regeringen eller den myndighet som regeringen bestämmer får också meddela föreskrifter eller beslut i enskilda fall om undantag från förbudet, om det behövs med hänsyn till ett viktigt allmänt intresse (35 §).

Behandling av personuppgifter som är helt eller delvis automatiserad omfattas enligt 36 § personuppgiftslagen av anmälningsskyldighet. Den personuppgiftsansvarige ska göra en skriftlig anmälan till tillsynsmyndigheten innan en sådan behandling eller serie av sådana behandlingar med samma eller liknande ändamål genomförs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från anmälningsskyldigheten för sådana typer av behandlingar som sannolikt inte kommer att leda till otillbörligt intrång i den personliga integriteten. Sådana föreskrifter finns bl.a. i 4 § personuppgiftsförordningen (1998:1191) när det gäller behandling av personuppgifter i löpande text och i sådant ostrukturerat material som avses i 5 a § personuppgiftslagen. Datainspektionen har också meddelat ytterligare föreskrifter om undantag från anmälningsskyldigheten som t.ex. avser fall då den registrerade har samtyckt till behandlingen och när det gäller personuppgifter som får behandlas på hälso- och sjukvårdens område med stöd av 18 § personuppgiftslagen (4–5 §§ DIFS 2001:1). Anmälningsskyldighet för behandlingar föreligger inte heller om den personuppgiftsansvarige tillsätter ett personuppgiftsombud som anmälts till tillsynsmyndigheten (37 §).

I Sverige har Datainspektionen tilldelats uppgiften att vara tillsynsmyndighet enligt personuppgiftslagen (2 § personuppgiftsförordningen). Med rollen som tillsynsmyndighet följer vissa befogenheter, såsom rätt att få tillgång till behandlade personuppgifter och tillträde till lokaler med anknytning till behandlingen (43 §). Datainspektionen kan också vid vite förbjuda fortsatt behandling av personuppgifter samt ansöka hos länsrätt om att personuppgifter som har behandlats på ett olagligt sätt ska utplånas (44–47 §§).

Den personuppgiftsansvarige ska enligt 48 § ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Ersättningsskyldigheten kan dock i den utsträckning det är skäligt jämkas om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Den som uppsåtligen eller av grov oaktsamhet gör sig skyldig till vissa förfaranden kan enligt personuppgiftslagen dömas till böter eller fängelse (49 §). I lagen finns därutöver bestämmelser om bemyndiganden (50 §) och om överklagande (52–53 §§).

5.5. Hälso- och sjukvårdslagen och tandvårdslagen

Hälso- och sjukvårdslagen har karaktären av en ramlag som huvudsakligen innehåller mål och riktlinjer för hälso- och sjukvården.

Med hälso- och sjukvård avses enligt lagen åtgärder för att medicinskt förebygga, utreda och behandla sjukdomar och skador (1 §). Begreppet hälso- och sjukvård omfattar sålunda dels de sjukdomsförebyggande åtgärderna, dels den egentliga sjukvården.

Med begreppet hälso- och sjukvård innefattas åtgärder med anledning av ett tillstånd som exempelvis kroppsfel och barnsbörd även om det inte uttryckligen nämns i 1 § hälso- och sjukvårdslagen. Detsamma gäller åtgärder i samband med abort och sterilisering (se prop. 1981/82:97 s. 110 f., Hälso- och sjukvårdslag m.m.). Undantag finns emellertid för tillstånd som regleras genom lagen (1944:133) om kastrering, lagen (2006:351) om genetisk integritet m.m. och lagen (1988:711) om befruktning utanför kroppen där inte alltid alla följder av en viss åtgärd inryms i begreppet hälso- och sjukvård. I lagen anges vidare att till hälso- och sjukvården hör även sjuktransporter samt att ta hand om avlidna.

I fråga om tandvård finns bestämmelser i bl.a. tandvårdslagen. Med tandvård avses enligt lagen åtgärder för att förebygga, utreda och behandla sjukdomar och skador i munhålan.

Hälso- och sjukvård och tandvård ska enligt hälso- och sjukvårdslagen och tandvårdslagen bedrivas så att kraven på en god vård uppfylls. Detta innebär att hälso- och sjukvård och tandvård särskilt ska vara av god kvalitet med god hygienisk standard och tillgodose patientens behov av trygghet i vården och behandlingen, vara lätt tillgänglig, bygga på respekt för patientens självbestämmande och integritet, främja goda kontakter mellan patienten och hälso- och sjukvårdspersonalen. Vården och behandlingen ska så långt det är möjligt utformas och genomföras i samråd med patienten (2 a § hälso- och sjukvårdslagen och 3 § tandvårdslagen).

Enligt hälso- och sjukvårdslagen ska vården tillgodose patientens behov av kontinuitet och säkerhet i vården och att olika insatser för patienten ska samordnas på ett ändamålsenligt sätt. Patienten ska enligt hälso- och sjukvårdslagen ges individuellt anpassad information om sitt hälsotillstånd och om de metoder för undersökning, vård och behandling som finns. Om informationen inte kan lämnas till patienten, ska den i stället lämnas till en närstående till patienten (2 b § hälso- och sjukvårdslagen). Även i tandvårdslagen föreskrivs att patienten ska upplysas om sitt tandhälsotillstånd och om de behandlingsmetoder som står till buds (3 § tredje stycket tandvårdslagen).

Hälso- och sjukvårdslagen innehåller vidare bestämmelser om bl.a. landstingets och kommunens ansvar och ledning för hälso- och sjukvård och tandvårdslagen om bl.a. landstingets ansvar och ledning för tand-

vård. Lagarna innehåller även bestämmelser om kvalitetssäkring (31 § hälso- och sjukvårdslagen och 16 § tandvårdslagen).

5.6. Sekretesslagen

Sekretess inom den allmänna hälso- och sjukvården

Enligt 2 kap. 1 § tryckfrihetsförordningen är huvudregeln att varje svensk medborgare ska ha rätt att ta del av allmänna handlingar till främjande av ett fritt meningsutbyte och en allsidig upplysning. Rätten att ta del av allmänna handlingar får enligt 2 kap. 2 § tryckfrihetsförordningen begränsas endast om det är påkallat utifrån vissa i paragrafens första stycke angivna hänsyn. Bestämmelser som begränsar rätten att ta del av allmänna handlingar finns huvudsakligen i sekretesslagen. Sekretesslagen innehåller bl.a. bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar.

Vårddokumentation hos offentliga vårdgivare och hos sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen utgör allmänna handlingar. Således är det uppgifter inom den allmänna hälso- och sjukvården som omfattas av sekretesslagens bestämmelser.

Sekretess gäller i förhållande till såväl enskilda (fysiska eller juridiska personer) som andra myndigheter. Uppgifter som skyddas av sekretess, t.ex. uppgifter i patientjournaler, får inte lämnas från en myndighet till en enskild eller annan myndighet utan stöd i sekretesslagen. Enligt 1 kap. 3 § första och andra styckena gäller sekretesslagen därutöver i vissa fall inom en myndighet. Enligt bestämmelsen gäller sekretess mellan olika verksamhetsgrenar inom samma myndighet, när verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra.

Sekretessprövningar

I 2 kap. 14 § tryckfrihetsförordningen föreskrivs att det är den myndighet som förvarar en allmän handling som ska pröva om den kan lämnas ut. Den principen gäller inte bara när det rör sig om en begäran om utlämnande av allmän handling med stöd av handlingsoffentligheten utan gäller så fort en sekretessgräns ska korsas. Det är således alltid den utlämnande myndigheten som måste göra en prövning enligt sekretesslagen om det finns något hinder mot att lämna ut t.ex. en journalhandling som man förvarar till en privat vårdgivare, en annan hälso- och sjukvårdsmyndighet eller en självständig verksamhetsgren inom den egna myndigheten.

Sekretesslagen hindrar i och för sig inte att uppgifter som omfattas av sekretess lämnas ut rutinmässigt till någon som har rätt att, t.ex. på grund av en sekretessbrytande bestämmelse, ta del av uppgifterna. Men det krävs alltid att den utlämnande myndigheten gör en sekretessprövning innan uppgiften förs in i den del av en informationssamling som är tillgänglig för någon utanför myndigheten.

Hälso- och sjukvårdssekretess

Enligt 7 kap. 1 c § första stycket gäller sekretess inom hälso- och sjukvården och i annan medicinsk verksamhet för uppgift om enskilds hälsotillstånd och andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon honom närstående lider men. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit och presumtionen är alltså för sekretess.

I 7 kap. 1 c § sista stycket första meningen finns ett undantag från den annars gällande presumtionen för sekretess. Där föreskrivs att en myndighet inom ett landsting eller en kommun som bedriver hälso- och sjukvård får lämna uppgifter till en annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet med tillämpning av ett s.k. rakt skaderekvisit. Presumtionen är här för att uppgiften får lämnas ut. Sekretess gäller endast om det kan antas att den enskilde eller dennes närstående lider men om uppgiften röjs.

Sekretessen enligt 1 c § gäller också i förhållande till den vård- och behandlingsbehövande själv i fråga om uppgift om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne (7 kap. 3 §).

Sekretess gäller inom hälso- och sjukvården och i annan medicinsk verksamhet samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs (7 kap. 6 §).

Begränsningar i sekretessen

I sekretesslagen finns särskilda undantagsbestämmelser som innebär att en uppgift får lämnas ut trots att sekretess gäller för uppgiften. Exempelvis framgår av 1 kap. 5 § sekretesslagen att sekretess inte hindrar att en uppgift lämnas ut, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Av förarbetena framgår att bestämmelsen ska tillämpas restriktivt (se prop. 1979/80:2 Del A s. 465).

I 7 kap. 1 c § sista stycket sista meningen sekretesslagen finns en undantagsbestämmelse som enbart omfattar hälso- och sjukvårdssekretessen. Det gäller utlämnande till enskild enligt vissa angivna lagar som har det gemensamt att lättnaden i sekretessen motiverats av hänsyn till den mottagande personens starka och berättigade intresse av att få del av informationen.

I 14 kap. 1 § sekretesslagen föreskrivs att sekretess inte hindrar att en uppgift lämnas till regeringen eller riksdagen. Sekretess hindrar inte heller att uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. På hälso- och sjukvårdens område finns bestämmelser om sekretessbrytande uppgiftsskyldighet i många författningar. Exempel på detta är smittskyddslagen vari behandlande läkare m.fl. ålagts en anmälningsplikt till smittskyddsläkare av vissa sjukdomar. Som andra exempel på uppgiftsskyldighet på hälso- och sjukvårdens

område kan nämnas bestämmelserna i 2 kap. 11 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område som föreskriver en skyldighet att på begäran lämna ut uppgifter till domstol, åklagare m.fl. myndigheter om huruvida någon vistas på en sjukvårdsinrättning samt skyldigheten att lämna ut uppgifter som behövs av olika myndigheter för vissa särskilda ändamål. Ett annat exempel är 14 kap. 1 § socialtjänstlagen (2001:453) vari föreskrivs en skyldighet att anmäla förhållanden som kan innebära att en socialnämnd behöver ingripa till ett barns skydd.

I 14 kap. 2 § sekretesslagen finns särskilda bestämmelser om undantag från sekretess för uppgifter som mottagande myndighet behöver för vissa ändamål. Enligt paragrafens femte och sjätte stycken kan uppgifter som omfattas av sekretess enligt 7 kap. 1 c § och som angår misstankar om vissa brott under vissa förutsättningar lämnas till polis- eller åklagarmyndighet. Enligt nionde stycket hindrar hälso- och sjukvårdssekretess inte att uppgift om en underårig eller om någon som fortgående missbrukar alkohol m.fl. berusningsmedel eller närstående till denne lämnas till annan myndighet inom hälso- och sjukvården eller socialtjänsten, om det behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om uppgift om en gravid kvinna eller hennes närstående, om det behövs för en nödvändig insats till skydd för det väntade barnet.

På de flesta andra områden men bl.a. inte inom området för hälso- och sjukvårdssekretessen gäller dessutom den s.k. generalklausulen i 14 kap. 3 § sekretesslagen. Den innebär att en sekretessbelagd uppgift får lämnas från en myndighet till en annan efter en intresseavvägning, nämligen om det är uppenbart att intresset av att uppgiften lämnas ut har företräde framför det intresse som sekretessen ska skydda. Skälet till att myndigheter inom hälso- och sjukvården inte får lämna ut uppgifter till andra myndigheter efter en intresseavvägning är att vården bygger på att den enskilde ska känna förtroende för dem som har hand om vården.

Hälso- och sjukvårdssekretessen gäller, med ett undantag, inte i förhållande till den enskilde själv, (se 7 kap. 3 § som nämns ovan och 14 kap. 4 § sekretesslagen). Det kan också nämnas att det i patientjournaler m.m. kan finnas uppgifter om patientens hälsotillstånd eller andra personliga förhållanden som lämnats i anmälan eller annan utsaga från annan person än patienten. Även sådana uppgifter kan enligt 7 kap. 6 § sekretesslagen omfattas av sekretess i förhållande till patienten. Det är alltså bara i speciella undantagsfall som journalhandlingar eller annan vårddokumentation inte kan lämnas ut till patienten själv.

Den enskilde kan också efterge sekretessen helt eller delvis (14 kap. 4 § sekretesslagen). Något krav på att en eftergift, dvs. ett samtycke, ska vara skriftligt eller på något annat sätt uttryckligt finns inte. Även tyst, s.k. presumerat, samtycke kan godtas.

Tystnadsplikt inom den privata hälso- och sjukvården

Enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område får den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälso-

tillstånd eller andra personliga förhållanden. Som obehörigt röjande anses dock inte att någon fullgör uppgiftsskyldighet som följer av lag eller förordning.

Vid tolkningen av obehörighetsrekvisitet har det ansetts naturligt att söka ledning i skaderekvisitet som finns i sekretesslagens bestämmelser. Ståndpunkten är att den enskilde ska åtnjuta samma skydd för sin personliga integritet vare sig han eller hon behandlas av en offentlig eller privat vårdgivare.

Offentlighets- och sekretesskommittén (OSEK)

Offentlighets- och sekretesskommittén (OSEK) har i sitt huvudbetänkande Ny sekretesslag (SOU 2003:99) lämnat förslag till en ny sekretesslag. Flera av kommitténs förslag har betydelse för uppgiftsutbytet inom hälso- och sjukvården eller mellan hälso- och sjukvården och andra verksamheter. OSEK:s förslag bereds för närvarande inom Regeringskansliet.

6. En ny lag

6.1. En mer samlad reglering

Regeringens förslag: Bestämmelserna i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister sammanförs i en ny lag, patientdatalagen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: De flesta remissinstanser som har yttrat sig över utredningens förslag tillstyrker att bestämmelserna sammanförs i en ny lag. Några remissinstanser har emellertid synpunkter på benämningen av den nya lagen. Försäkringskassan anser att en annan och mera neutral benämning på lagen bör prövas, exempelvis Lag om informationshantering inom hälso- och sjukvården, m.m. Socialstyrelsen föreslår att lagen benämns lag om patientjournaler och informationshantering i hälso- och sjukvården m.m. Socialstyrelsen anser att titeln ”patientdatalag” känns föråldrad (jämför”datalagen”, numera ersatt av personuppgiftslagen [1998:204]). Lagens titel bör i stället ge uttryck för en verksamhetsfokusering. Uppsala kommun framhåller att namnet på den nya lagen kan ifrågasättas med hänsyn till dess tillämpningsområde, eftersom det för tankarna till datorer och IT. Ett mer pedagogiskt namn vore kanske patientuppgiftslagen. Detta namn kan jämföras med namnet på den nyss nämnda personuppgiftslagen. Landstinget Jämtland konstaterar att det bör övervägas om namnet på den nya lagen ”Patientdatalag” är det optimala. Ordet ”data” är i och för sig synonymt med uppgift men kan också användas för det medium som behandlar data och så har det också använts historiskt. Ordet förknippas också med dataregister och samkörning vilket kan leda tanken fel i den begreppsapparat som gäller sedan personuppgiftslagens tillkomst där man

använder sig av begrepp som uppgifter och behandling av uppgifter. Landstinget anser därför lagen bör få en annan benämning t.ex. ”Patientuppgiftslag”.

Skälen för regeringens förslag: Bestämmelser av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter finns i dag i ett flertal författningar, se avsnitt 5. I likhet med vad utredningen och remissinstanserna har anfört anser regeringen att tillämpningen av lagstiftningen avsevärt skulle underlättas och bli mer enhetlig med en mer sammanhållen reglering än den nuvarande. En samlad reglering vinner i tydlighet, konsekvens och överblickbarhet. Detta är nog så viktiga komponenter för enskilda patienters integritetsskydd.

Som tidigare nämnts är det framför allt bestämmelserna i patientjournallagen, vårdregisterlagen, personuppgiftslagen och sekretesslagen (1980:100) som är av betydelse för hälso- och sjukvårdssektorns hantering av personuppgifter om patienter. För att uppnå en mer sammanhållen lagstiftning anser därför regeringen att det i första hand är bestämmelserna i de två förstnämnda lagarna som ska föras samman i en ny lag. Vårdregisterlagen är en registerförfattning och reglerar vilken personuppgiftsbehandling som får utföras. Patientjournallagen är däremot inte någon registerförfattning, utan innehåller regler om vad som måste göras i fråga om patientjournaler. En annan skillnad är att vårdregisterlagens bestämmelser avser behandling av personuppgifter, medan patientjournallagens bestämmelser avser såväl informationshantering som bedrivande av verksamheten.

Om patientjournallagen och vårdregisterlagen sammanförs innebär det att den nya lagen kommer att innehålla bestämmelser som reglerar såväl verksamheten som behandling av personuppgifter. Andra alternativ skulle vara att behålla de verksamhetsstyrande reglerna i patientjournallagen eller att föra över dem till någon annan författning, t.ex. hälso- och sjukvårdslagen (1982:763) eller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Regelverket kring hanteringen av personuppgifter skulle då emellertid vara fortsatt splittrat och tillämpningen av lagstiftningen skulle inte underlättas på det sätt som eftersträvas.

Regeringen föreslår därför att bestämmelserna i patientjournallagen och vårdregisterlagen sammanförs i en ny lag. Denna ska ges namnet patientdatalagen. Flera av remissinstanserna har som redovisats haft synpunkter på benämningen av den nya lagen och ansett att namnet bör vara mera neutralt och verksamhetsorienterat. Patientdatalagen har dock redan blivit ett välkänt och inarbetat namn som används av landstingen i det förberedelsearbete som pågår för införandet av lagen. Mot bakgrund av detta finner regeringen inte skäl att ändra namnet på den nya lagen.

För att den nya lagen ska bli överblickbar anser regeringen att den bör delas in i flera kapitel. I ett inledande kapitel ska lagens tillämpningsområde, vissa begrepp, m.m. beskrivas. Ett kapitel ska innehålla grundläggande bestämmelser om behandling av personuppgifter. Ett annat kapitel ska innehålla bestämmelser om skyldigheten att föra patientjournal. Den föreslagna lagen ska även innehålla särskilda kapitel med bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar, nationella och regionala kvalitetsregister samt rättigheter för den enskilde.

6.2. Lagens tillämpningsområde

Regeringens förslag: Patientdatalagen ska tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Verksamhet hos t.ex. patientnämnder och läkemedelskommittéer eller verksamhet hos t.ex. Smittskyddsinstitutet eller Socialstyrelsen omfattas inte av lagen.

Tillämpningsområdet omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar.

Därutöver ska patientdatalagen tillämpas rörande dokumentation m.m. i patientjournaler. Dessa bestämmelser är tillämpliga även om behandlingen sker manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.

Personuppgiftsbehandling i verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen (1998:204).

Sådan särskild personuppgiftsbehandling som sker för forskningsändamål eller utbildningsändamål faller utanför lagens tillämpningsområde.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot förslaget. Malmö tingsrätt anser att den föreslagna utformningen i lagtexten om patientdatalagens tillämpningsområde inte är optimal. Patientdatalagen 1 kap. 4 § beskriver personuppgiftslagens tillämpningsområde. Enligt tingsrättens mening tillgodoser inte 1 kap. 4 § syftet att klargöra avgränsningen mellan personuppgiftslagen och patientdatalagen. Socialstyrelsen anser att, till vägledning för vårdgivare i deras informationshantering, lagen bör kompletteras med en portalparagraf som anger syftet med densamma. Socialstyrelsen lämnar även synpunkter på flera av de i patientdatalagen föreslagna definitionerna till i lagen centrala begrepp. Svenska Läkaresällskapet och Swedish Medtech anser att en tydligare nomenklatur behövs när det gäller begreppet vårdgivare.

Swedish Medtech finner det även betänkligt att begreppet vårdgivare har en sådan bred innebörd som föreslås i 1 kap 3 § patientdatalagen. Vetenskapsrådet anser att det för den mer informella kunskapsutvecklingen som inte är regelrätt forskning i dag saknas ett ändamålsenligt regelverk. Vetenskapsrådet anser inte att den nya lagen fyller denna lucka. Sveriges

Pensionärers Riksförbund och Riksförbundet för social och mental hälsa, RSMH, anser att några för integritetsskyddet känsliga frågeställningar, t ex forskningssekretessen och användning av dokumentation i samband med vårdutbildning, behöver utredas och förtydligas. Apoteket anför att all den information som överförs mellan Apoteket och vårdgivarna kan med patientdatalagens tredje kapitel definieras som journaluppgifter. För

sådana journaluppgifter blir reglerna om sammanhållen journalföring tillämpliga. Elektroniska förskrivningar, återrapportering av utbyten samt tillgång till läkemedelsförteckning omfattas då av reglerna om sammanhållen journalföring och reglerna om tillgänglighet för annan vårdgivare. En effekt av detta blir att patienten genom spärrning förhindrar informationsutbyte mellan vårdgivare och Apoteket. Sådant informationsutbyte som regleras i bl.a. lagen (2002:160) om läkemedelsförmåner m.m. och lagen (2005:258) om läkemedelsförteckning ger Apoteket en skyldighet att överföra information. Apoteket ser därför en konflikt mellan förslaget och nuvarande lagstiftning.

Skälen för regeringens förslag

Den individinriktade patientvården inom hälso- och sjukvården

Regeringen anser att utgångspunkten ska vara att patientdatalagen koncentreras till att omfatta personuppgiftsbehandling i den individinriktade patientvården inom hälso- och sjukvården. Till denna kärnverksamhet hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos enskilda oberoende av om verksamheten sker enligt hälso- och sjukvårdslagen, tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168) eller någon annan lagstiftning.

Med begreppet hälso- och sjukvård enligt hälso- och sjukvårdslagen innefattas även åtgärder med anledning av olika tillstånd som kroppsfel och barnsbörd utan att uttryckligen nämnas i hälso- och sjukvårdslagen. Detsamma gäller åtgärder i samband med abort och sterilisering (se prop. 1981/82:97 s. 111, Hälso- och sjukvårdslag m.m.). Motsvarande gäller även i fråga om transplantationer och lagen (1995:831) om transplantation m.m. Undantag finns emellertid för tillstånd som regleras genom lagen (1944:133) om kastrering och lagen (1972:119) om fastställande av könstillhörighet i vissa fall, lagen (2006:351) om genetisk integritet m.m. och lagen (2001:499) om omskärelse av pojkar där inte alltid alla följder av en viss åtgärd inryms i begreppet hälso- och sjukvård. Vad det gäller lagen om omskärelse av pojkar görs i den lagen en särskild hänvisning till att patientdatalagen i vissa fall är tillämplig.

Patientdatalagen ska vara tillämplig för personuppgiftsbehandling i all individinriktad patientverksamhet som innefattar vård, undersökning eller behandling. Det betyder att även sådan individinriktad patientvård som inte inryms i begreppet hälso- och sjukvård enligt hälso- och sjukvårdslagen omfattas av patientdatalagen. På detta sätt avgränsas även tillämpningsområdet i förhållande till personuppgiftsbehandling hos sådana andra myndigheter m.fl. som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, såsom Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd för att ta några exempel. Även verksamhet vid sjukvårdhuvudmännens läkemedelskommittéer och patientnämnder faller utanför patientdatalagens tillämpningsområde. Personuppgiftsbehandling i sådan verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen.

Det sagda innebär att det är vårdgivares personuppgiftsbehandling som regleras av lagen. Med vårdgivare avses – med ett undantag – i patientdatalagen en fysisk eller juridisk person som bedriver hälso- och sjukvård. En vårdgivare kan vara en fysisk person som bedriver hälso- och sjukvård i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande.

Sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100) är egna juridiska personer och utgör självständiga vårdgivare. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen landstinget eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Exempelvis s.k. beställar- och utförarnämnder i ett landsting eller en kommun.

Undantaget i patientdatalagen från huvudregeln att vårdgivaren ska vara en juridisk eller fysisk person avser individinriktad hälso- och sjukvård som tillhandahålls av statliga myndigheter. Sådan hälso- och sjukvård bedrivs parallellt med annan verksamhet som utgör myndighetens huvuduppgift, t.ex. hos universitet och högskolor, Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets pliktverk. Regeringen menar därför att det är naturligt att behandla dessa statliga myndigheter som separata vårdgivare i patientdatalagens mening.

Till den beskrivna kärnverksamheten – individinriktad patientvård – hör ett ansvar att administrera och att i olika avseenden utveckla verksamheten. Även i den verksamheten behöver vårdgivare behandla personuppgifter, oftast samma uppgifter som samlats in i patientvården. Även denna personuppgiftsbehandling ska regleras av patientdatalagen.

Däremot anser regeringen att personuppgiftsbehandlingen i den rent administrativa verksamheten utan nära koppling till patientverksamheten – t.ex. i internadministrativ verksamhet vid personuppgiftsbehandling rörande anställda eller rörande leverantörer av varor och tjänster – ska falla utanför patientdatalagens tillämpningsområde. Således förekommer även hos en vårdgivare som omfattas av bestämmelserna i patientdatalagen, personuppgiftsbehandling som faller utanför denna lags tillämpningsområde.

Forskning och utbildning

Patientdatalagen ska som nämnts, reglera endast vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Därmed faller delar av den medicinska forskningen och annan vårdrelaterad forskning utanför tillämpningsområdet, nämligen i den mån denna bedrivs av andra huvudmän än vårdgivare.

Sjukvårdshuvudmännen bedriver emellertid själva i betydande omfattning medicinsk och annan forskning inom hälso- och sjukvården. I 26 b § hälso- och sjukvårdslagen åläggs sjukvårdshuvudmännen ett ansvar för att medverka vid genomförande av kliniskt forskningsarbete på hälso- och sjukvårdens område samt av folkhälsovetenskapligt forskningsarbete. När det gäller den s.k. patientnära eller kliniska forskningen som

förekommer hos vårdgivare, bedrivs den inte sällan integrerat med patientvården. Forskning respektive patientvård kan emellertid utgöra självständiga verksamhetsgrenar i förhållande till varandra, se närmare därom i avsnitt 16.1. Förutsättningarna för behandling av bl.a. känsliga personuppgifter för forskningsändamål är föremål för särreglering i lagen (2003:460) om etikprövning av forskning som avser människor.

Den särskilda personuppgiftsbehandling som föranleds av forskningen i den patientnära forskningen ska inte regleras av patientdatalagen. Härmed avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården. Sådan personuppgiftsbehandling ska även fortsättningsvis regleras av personuppgiftslagen. Till den del den patientnära forskningen innefattar patientjournalföring eller annan dokumentation som hör till vården, ska den informationshanteringen dock regleras av patientdatalagen.

Motsvarande ska även gälla för den kliniska utbildningen av t.ex. blivande läkare och sjuksköterskor. Utbildningsverksamhet är i allt väsentligt en egen verksamhetsgren också då den bedrivs inom en och samma myndighet som bedriver hälso- och sjukvård. Utbildningsverksamheten som sådan ska därför inte omfattas av patientdatalagens tillämpningsområde. I den utsträckning studenter deltar i den faktiska patientvården såsom praktikanter, ska deras arbete dock omfattas av patientdatalagens tillämpningsområde. Det innebär bl.a. att vårdgivare i sådana fall ska kunna låta studenterna få ta del av och även kunna föra anteckningar i elektroniska patientjournaler i nödvändig omfattning. Normalt torde detta förutsätta såväl patientens samtycke som att praktikantens åtgärder sker under en handledares uppsikt och ledning.

Vilken slags personuppgiftsbehandling regleras av patientdatalagen ?

När det gäller behandling av personuppgifter i vårdgivarnas verksamhet går utvecklingen alltmer mot att olika funktioner integreras i stora elektroniska system för hantering av både ett flertal strukturerade uppgiftssamlingar och annan mer ostrukturerad information. På grund av denna informationstekniska utveckling har det blivit allt svårare att fastställa såväl när ett register inrättats som vad som är ett register i förhållande till ett annat. Det har också vid tillämpning av vårdregisterlagen uppstått en hel del oklarheter om vad som kan sägas ingå i ett vårdregister eller inte. Det har i sin tur medfört svårigheter att bedöma dels hur personuppgifter som finns elektroniskt lagrade i verksamheten får användas, dels vilken lag – personuppgiftslagen eller vårdregisterlagen – som är tillämplig på en enskild personuppgiftsbehandling.

Genom personuppgiftslagens införande har begreppet register kommit att spela en underordnad roll vid elektronisk behandling av personuppgifter. All elektronisk behandling av personuppgifter omfattas nämligen av personuppgiftslagens bestämmelser alldeles oavsett om personuppgifterna ingår i ett register eller inte. I stället har det blivit av avgörande betydelse att personuppgifter samlas in för uttryckligt angivna ändamål och sedan inte användas för något annat ändamål.

Mot bakgrund av den komplexa IT-struktur som vuxit fram inom hälso- och sjukvården anser regeringen att patientdatalagens reglering av

personuppgiftsbehandling ska omfatta inte bara personuppgiftsbehandling i särskilda register eller databaser utan på samma sätt som personuppgiftslagen, omfatta all helt eller delvis automatiserad behandling av personuppgifter. Även manuell behandling i register eller för registerföring ska omfattas. (Ledning för bedömning av vilken manuell hantering som omfattas kan sökas i förarbeten, doktrin och praxis rörande personuppgiftslagens bestämmelser, se t.ex. RÅ 2001 ref. 35).

Patientdatalagen ska även tillämpas rörande dokumentation m.m. i patientjournaler. I denna del kommer patientdatalagen att bli tillämplig även på manuell behandling av personuppgifter som inte ingår eller är avsedda att ingå i register.

Avlidna personer

I hälso- och sjukvårdens verksamhet förekommer en mängd uppgifter om avlidna. Emellertid är varken personuppgiftslagen eller vårdregisterlagen tillämpliga på dessa uppgifter. Däremot gäller patientjournallagens bestämmelser i tillämpliga delar.

Regeringen anser att uppgifter om avlidna patienter kan vara integritetskänsliga. Därför ska även sådana uppgifter omfattas av lagens bestämmelser om personuppgiftsbehandling i tillämpliga delar, t.ex. när det gäller för vilka ändamål uppgifter om avlidna får användas eller när det gäller vilken elektronisk åtkomst som får förekomma till uppgifter om avlidna.

Patientdatalagens förhållande till annan lagstiftning

Personuppgiftslagen

Personuppgiftslagen (1998:204) är generellt tillämplig på behandling av personuppgifter. Det är emellertid möjligt att meddela avvikande bestämmelser i lag eller förordning som gäller i stället för personuppgiftslagens bestämmelser. En förutsättning är dock att de avvikande bestämmelserna inte strider mot bestämmelserna i dataskyddsdirektivet, se avsnitt 5.4.

Regeringen föreslår att patientdatalagen ska innehålla vissa sådana avvikande särbestämmelser som det bedöms föreligga behov av när det gäller behandling av personuppgifter inom hälso- och sjukvården. Särregleringen i patientdatalagen föreslås enbart komplettera personuppgiftslagen. Patientdatalagen kommer då att gälla utöver personuppgiftslagen. Detta innebär att när reglering saknas i patientdatalagen är personuppgiftslagens bestämmelser tillämpliga.

Biobankslagen

I lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) regleras hur humanbiologiskt material, med respekt för den enskilda människans integritet, ska få samlas in, förvaras och användas. Enligt 1 kap. 4 § biobankslagen ska bestämmelser i annan lag vilka avviker från bestämmelserna i biobankslagen tillämpas. Biobankslagen är

således i huvudregel subsidiär i förhållande till andra lagar. Undantag görs dock för s.k. PKU-registret som handlar om register över vävnadsprover från nyfödda barn. Bestämmelserna i biobankslagen om PKU-registret ska ha företräde framför bestämmelser i annan lag. Vad det gäller patientdatalagens förhållande till biobankslagen ska patientdatalagens bestämmelser tillämpas vid personuppgiftsbehandling som sker i en vårdgivares hälso- och sjukvård och som avser personuppgifter som förvaras i anslutning till vävnadsprover i en biobank. När det gäller behandling av personuppgifter i PKU-registret så kommer dock denna alltjämt att regleras av biobankslagen.

Lagen om läkemedelsförteckning

I lagen (2005:258) om läkemedelsförteckning anges att Apoteket AB för vissa i lagen angivna ändamål, ska utföra automatiserad behandling av personuppgifter i ett särskilt register över köp av förskrivna läkemedel (läkemedelsförteckning). Själva registreringen av uppgifter i förteckningen sker utan patientens medgivande. Tillgång till uppgifterna får däremot ges till förskrivare och farmaceut endast efter uttryckligt samtycke från den registrerade. Om samtycke inte kan lämnas, får uppgifterna i förteckningen lämnas ut till förskrivare om det är nödvändigt för att den registrerade ska kunna få vård eller behandling som han eller hon oundgängligen behöver. Lagen om läkemedelsförteckning reglerar således att ett register över köp av förskrivna läkemedel ska upprättas för vissa i lagen angivna ändamål och vad registret ska innehålla. Lagen omfattar även bestämmelser om när uppgifter från registret kan lämnas ut till förskrivare, farmaceut och den registrerade själv.

Utlämnandet av uppgifter i en läkemedelsförteckning till den registrerade eller till förskrivare inom hälso- och sjukvården ska därför även fortsättningsvis regleras av lagen om läkemedelsförteckning och inte av patientdatalagen. På vilket sätt detta framkommer av lagtexten framgår av avsnitt 10.1. Detsamma gäller för informationsutbyte enligt lagen (2002:160) om läkemedelsförmåner m.m. Den fortsatta behandlingen av uppgifterna i den individinriktade patientvården inom hälso- och sjukvården kommer däremot att regleras av patientdatalagen.

I 6 § vårdregisterlagen anges att patientens läkemedelsförteckning får hämtas till ett vårdregister genom samkörning. Bestämmelsen reglerar hur (genom samkörning) uppgifterna i patientens läkemedelsförteckning får tillföras patientens journal när det är tillåtet för förskrivaren att ta del av läkemedelsförteckningen. Denna fråga kommer fortsättningsvis att regleras av patientdatalagen. Frågan om när det är tillåtet att ta del av läkemedelsförteckningen regleras däremot i lagen om läkemedelsförteckning.

Lagen om genetisk integritet m.m.

Lagen (2006:351) om genetisk integritet m.m., som trädde i kraft den 1 juli 2006, är en samlad lag för genetisk undersökning och information inom hälso- och sjukvården och medicinsk forskning samt genterapi

m.m. Den reglerar även befruktning utanför kroppen, insemination och kommersialisering av humanbiologiskt material.

När en genetisk undersökning görs på begäran av en enskild eller i samband med en allmän hälsoundersökning är patientjournallagen tillämplig. Sådana undersökningar kommer således att omfattas av patientdatalagens bestämmelser. Enligt 6 kap. 4 § och 7 kap. 6 § lagen om genetisk integritet m.m. ska uppgifter om givaren vid insemination eller befruktning utanför kroppen antecknas i en särskild journal. Denna ska bevaras i minst 70 år. Dessa bestämmelser utgör särregler i förhållande till patientjournallagen och gäller alltså utöver sistnämnda lags grundläggande bestämmelser om journalföring. På motsvarande sätt ska dessa särregler gälla utöver patientdatalagens bestämmelser, se 3 kap. 6 § patientdatalagen.

Blodsäkerhetslagen

Lagen (2006:496) om blodsäkerhet (blodsäkerhetslagen), som trädde i kraft den 1 juli 2006, grundar sig på Europaparlamentets och rådet direktiv 2002/98/EG av den 27 januari 2003 om fastställande av kvalitets- och säkerhetsnormer för insamling, kontroll, framställning, förvaring och distribution av humanblod och blodkomponenter och ändring av direktiv 2001/83/EG (EUT L 33, 8.2.2003 s. 30, Celex 32002L0098).

Lagen är tillämplig på blodverksamhet som bedrivs vid blodcentraler. Med blodverksamhet avses i lagen insamling och kontroll av blod och blodkomponenter avsedda att användas vid transfusion eller läkemedelstillverkning, samt framställning, förvaring och distribution av blod och blodkomponenter när de är avsedda att användas vid transfusion. I förarbetena till blodsäkerhetslagen anges beträffande lagens förhållande till annan lagstiftning att i de fall blodverksamhet är att betrakta som hälso- och sjukvård och bestämmelserna i vårdregisterlagen och patientjournallagen är tillämpliga får lagarna tillämpas parallellt (se prop. 2005/06:141 s. 51). I dessa fall kommer i stället patientdatalagen att gälla parallellt med blodsäkerhetslagen, dvs. bestämmelserna i båda lagarna blir tillämpliga.

7. Grundläggande bestämmelser om personuppgiftsbehandling

Hänvisningar till S7

7.1. Ändamål med personuppgiftsbehandlingen

Regeringens förslag: I patientdatalagen anges ändamål för vilka personuppgifter som får samlas in och även i övrigt behandlas inom hälso- och sjukvården. Ändamålen är följande:

1. patientjournalföring och annan dokumentation som behövs i och för vården av patienter,

2. annan dokumentation som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. upprättande av annan dokumentation som följer av lag, förordning eller annan författning,

4. systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet,

5. administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten, eller

6. framställning av statistik rörande hälso- och sjukvård. Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–6 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d och andra stycket personuppgiftslagen (1998:204) för behandling av insamlade personuppgifter för ett nytt ändamål.

Regeringens bedömning: Regeringen bedömer inte att särskilda bestämmelser behöver införas om samkörning av personuppgifter inom hälso- och sjukvården.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Cancerfonden anser dock att inte endast kvalitetssäkring utan också underlättande av klinisk forskning borde ingå som ett av de huvudsakliga ändamålen. Landstinget Dalarna menar att det borde vara möjligt med samkörning efter avidentifiering av uppföljningsdata mellan det så kallade dödsfallsregistret och vårdregistren för att följa upp behandling av patienter med hög risk, t.ex. vid Waran-behandling.

Skälen för regeringens förslag och bedömning

Patientdatalagens ändamålsbestämning

Stora delar av hälso- och sjukvårdens behandling av integritetskänslig information om enskilda patienter faller utanför lagen (1998:544) om vårdregisters (vårdregisterlagens) tillämpningsområde. Regeringen instämmer i utredningens bedömning att det från integritetssynpunkt inte är tillfredsställande att det finns ett område där det är vårdgivaren som själv bestämmer för vilka ändamål personuppgiftsbehandling ska utföras.

Inte minst med tanke på att 18 § personuppgiftslagen tillsammans med den lagens övriga bestämmelser ger tämligen vida ramar för aktörer inom hälso- och sjukvården, att utan den enskildes samtycke, behandla känsliga personuppgifter för olika syften. Det är därför av principiella skäl viktigt att det i patientdatalagen uttryckligen och så uttömmande som möjligt framgår vilka ändamålen är för all personuppgiftsbehandling som regleras i lagen. Regeringen föreslår därför en sådan reglering. Patientdatalagens ändamålsreglering blir därmed tydligare och uttömmande i den meningen att vårdgivarna inte själva får besluta om ytterligare ändamål för vilket eller vilka personuppgifter kan samlas in i verksamheten, i vart fall inte utan den registrerades samtycke. Detta är en viktig reglering i integritetshänseende.

Förslaget till ändamålsbestämning innebär preciseringar i förhållande till bestämmelsen i 9 § första stycket c personuppgiftslagen. Inom ramen för patientdatalagens tillämpningsområde när det gäller vems personuppgiftsbehandling som regleras, se avsnitt 6.2, ersätter patientdatalagen18 § personuppgiftslagen i fråga om behandling av känsliga personuppgifter utan patientens eller annan registrerads uttryckliga samtycke.

Eftersom patientdatalagen får ett väsentligen mera vidsträckt tillämpningsområde i förhållande till vårdregisterlagen är det olämpligt att som i dag dela in ändamålen i primära och sekundära ändamål. Både primära och sekundära ändamål handlar om personuppgiftsbehandlingar som, mer eller mindre integrerat, normalt äger rum i varje vårdgivares egen verksamhet. Regeringen anser att det inte innebär ett försämrat integritetsskydd att även sådana ändamål som i dag faller vid sidan av den individinriktade verksamheten får vara primära. Det kommer i allt väsentligt att handla om en efterkommande användning av uppgifter som härrör från den individinriktade verksamheten. Detta överensstämmer med strävandena inom hälso- och sjukvården att förbättra och effektivisera verksamheten bl.a. genom att skapa en ändamålsenlig och enhetlig vårddokumentation som minskar det administrativa merarbetet.

Den föreslagna lösningen innebär inte någon utvidgning av för vilka ändamål vårdgivare får behandla personuppgifter utan enskildas samtycke. Skillnaden gentemot gällande rätt är att även personuppgiftsbehandling som sker särskilt för ändamålen övergripande administration, planering, kvalitetssäkring, verksamhetsuppföljning, statistikframställning m.m. regleras i en särlag och inte bara av personuppgiftslagen. Därmed kommer även sådan personuppgiftsbehandling att bli kringgärdad av de ytterligare bestämmelserna i patientdatalagen. Härigenom ökar integritetsskyddet i förhållande till vad som gäller i dag.

De särskilda ändamålen

Patientdatalagens ändamålsbestämmelser föreslås vara fakultativa i den bemärkelsen att de reglerar vad vårdgivare får göra. Syftet med ändamålsbestämningen är att ange en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas med stöd av patientdatalagen och personuppgiftslagen. En och samma behandling av personuppgifter kan ske för mer än ett ändamål. Särskilt gäller detta i sådana stora

Pr

elektroniska informationssystem som integrerar en mängd olika funktioner.

op. 2007/08:126

Patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation)

Oftast ingår dokumentationen som journalhandlingar i patientjournalen. En hel del personuppgifter behandlas emellertid helt separat från den ordinära journalföringen, t.ex. vid medicinska serviceenheter. Det kan ibland leda till tveksamheter om dessa personuppgifter utgör journalhandlingar eller inte. Regeringen anser att sådan dokumentation som faller vid sidan av skyldigheten att föra journal bör omfattas av ett ändamål som rör den individinriktade patientverksamheten alldeles oavsett dess formella status. Därför avses med dessa ändamål inte bara själva insamlingen och registreringen av personuppgifterna utan även senare användning av de registrerade uppgifterna i den omfattning som behövs i patientvården eller patientadministrationen.

Utförande av annan dokumentation som följer av lag, förordning eller annan författning

Det finns en rad olika författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet är det fråga om utlämnande av uppgifter som primärt samlats in som vårddokumentation. I viss mindre utsträckning torde det dock vara nödvändigt med en särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras och där man inte kan tala om en ren ”återanvändning” av för andra ändamål redan insamlade personuppgifter, t.ex. uppgiftsskyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Det behövs därför ett särskilt ändamål som uttryckligen klargör att personuppgiftsbehandling som behövs för ändamålet utförande av annan dokumentation som direkt eller indirekt följer av lag, förordning eller annan författning är tillåten.

Systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (kvalitetssäkring)

I 31 § hälso- och sjukvårdslagen (1982:763) föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser finns även i 16 § tandvårdslagen (1985:125). Genom dessa bestämmelser finns det således ett författningsreglerat krav på vårdgivare inom hälso- och sjukvården och tandvården att bedriva såväl kvalitetssäkring som kvalitetsutveckling.

Genom användning av modern informationsteknik förbättras möjligheterna att bedriva kvalitetssäkringsarbete avsevärt. I huvudsak rör det sig om att personuppgifter som samlats in och behandlas för det primära ändamålet vårddokumentation också behandlas för ändamålet kvalitetssäkring Men det förekommer också personuppgiftsbehandling särskilt för

kvalitetssäkringsändamål, dvs. som inte innebär en ”återanvändning” av vårddokumentation utan handlar om personuppgifter som på olika sätt hämtas in och analyseras för det särskilda syftet kvalitetssäkring. Ibland är denna uppgiftsinsamling integrerad med det individinriktade arbetet. Det kan därför vara svårt att i praktiken avgöra vad som är det övergripande syftet med en viss personuppgiftsbehandling, t.ex. när patienter besvarar enkäter om tillfredsställelse i olika avseenden med vården och behandlingen.

Det är dock inte något problem att ändamålen ibland är överlappande så länge som den personuppgiftsansvarige är klar över och tydlig med för vilka olika ändamål personuppgiftsbehandlingen genom insamling sker. Ett särskilt ändamål som tillåter denna behandling införs därför i patientdatalagen.

Administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten

Den individinriktade kärnverksamheten föranleder administration och planering på ett mer övergripande plan än vid dokumentation för individinriktad hälso- och sjukvård. Sjukvårdshuvudmännen måste t.ex. planera och dimensionera antalet vårdplatser, fördela anslag och liknande inom sina geografiska ansvarsområden. Även privata vårdgivare behöver effektiva redskap för att administrera och planera sin verksamhet.

I personuppgiftsbehandlingar som görs för att framställa sammanställningar, som används som underlag för analyser på olika nivåer av avidentifierade uppgifter, räcker det ofta med att använda uppgifter som bara indirekt är hänförliga till en person. Likväl är det fråga om personuppgiftsbehandling.

Ett ytterligare område som alltmer kommit i fokus är kravet på att hälso- och sjukvården ska förbättra verksamhetsuppföljningen. I förarbetena till vårdregisterlagen anges att med uppföljning avses att fortlöpande och regelbundet mäta och beskriva sina behov, verksamheter och resursåtgången angivet i termer av t.ex. behovstäckning, produktivitet och nyckeltal. Uppföljningen tjänar till att ge en översiktlig bild av verksamhetens utveckling och att tjäna som en signal för avvikelser som bör beaktas. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestäms för denna. Begreppen har i grunden samma betydelse i patientdatalagen. Det hindrar emellertid inte en mer medborgarorienterad verksamhetsuppföljning i linje med strävandena på senare år.

Ett annat område som bör få innefatta personuppgiftsbehandling är vårdgivarens interna tillsyn av sin verksamhet. Utan rättsliga möjligheter att behandla personuppgifter från den individinriktade patientvården ter det sig knappast möjligt att närmare granska verksamheten. Det gäller särskilt om tillsynen rör individuella vårdfall. Men även mer övergripande granskning kan kräva tillgång till och möjligheter att behandla personuppgifter om patienter.

Regeringen har i andra sammanhang bedömt att en uttrycklig reglering av ändamål som planering, uppföljning och utvärdering kan vara överflödig (prop. 2004/05:164 s. 66). Behovet av att särskilt ange för vilka

ändamål personuppgifter ska få behandlas måste emellertid bedömas från fall till fall, med utgångspunkt från bl.a. hur övriga ändamålsbestämmelser är utformade i den aktuella författningen. Av skäl som tidigare redovisats ska det av regleringen i patientdatalagen uttryckligen också uttömmande som möjligt framgå för vilka ändamål lagen tillåter att personuppgifter behandlas. En sådan tydlig ändamålsreglering kräver att ändamålen på sätt som här föreslås formuleras specifikt och med en hög konkretiseringsgrad. Mot den bakgrunden bör därför också planering, uppföljning och utvärdering uttryckligen anges i patiendatalagens uppräkning av ändamål för vilka personuppgifter ska få behandlas.

Framställning av statistik rörande hälso- och sjukvård

I hälso- och sjukvården framställs statistik om en mängd faktorer. Delvis är det fråga om s.k. verksamhetsstatistik som kan anses inrymmas inom ändamålen administration och verksamhetsuppföljning. Landstingen framställer emellertid också statistik som inte utan vidare kan hänföras till något annat ändamål, t.ex. då statistik tas fram för att informera befolkningen om verksamheten. Framställning av statistik anges därför som ett särskilt ändamål i patientdatalagen.

Uppgiftsutlämnande och finalitetsprincipen

Personuppgifter som behandlas i hälso- och sjukvården lämnas i olika sammanhang ut till en myndighet eller en enskild. Sker det för syften som gäller den utlämnande vårdgivarens verksamhet, omfattas personuppgiftsbehandlingen genom utlämnande av ett ändamål som angetts i det föregående. Inte sällan sker utlämnandet däremot för mottagarens räkning. Ofta handlar det om att mottagaren är en annan vårdgivare som behöver uppgifter om en patient för sin vård av samma patient. I den mån personuppgifterna behandlas helt eller delvis automatiserat eller ingår i manuella register, innebär ett utlämnande en efterkommande, sekundär personuppgiftsbehandling som i sig måste vara laglig.

För den allmänna hälso- och sjukvården inklusive sådan hälso- och sjukvård som bedrivs av kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), gäller att utlämnande av personuppgifter i allmänna handlingar i enlighet med tryckfrihetsförordningen alltid kan ske utan att sådant utlämnande behöver anges som ett särskilt ändamål för vilket personuppgiftsbehandling är tillåten. Eftersom sekretess i allmänhet gäller för uppgifter i hälso- och sjukvårdens allmänna handlingar som rör patienter, krävs också att sekretessen inte hindrar ett utlämnande.

Beträffande den allmänna hälso- och sjukvården följer vidare av 15 kap. 5 § sekretesslagen, att en myndighet på begäran av annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Bestämmelsen kan ses som en precisering av den allmänna samverkansskyldighet myndigheter emellan som gäller enligt 6 § förvaltningslagen (1986:223).

Det finns även bestämmelser som tillåter eller medger att uppgifter lämnas ut utan hinder av sekretess. I sekretesslagen finns exempelvis bestämmelser i 14 kap. 2 § som anger att sekretess inte hindrar att myndigheter inom hälso- och sjukvården på eget initiativ lämnar ut personuppgifter i vissa fall.

Gemensamt för allt detta uppgiftslämnande är att det sker med stöd av författningar som påbjuder eller tillåter utlämnande. När sådana bestämmelser har införts, får det förutsättas att det har gjorts en avvägning mellan intresset av att uppgiften lämnas ut och intresset av att skydda enskilda personers integritet, vid vilken man funnit att uppgiften ska eller får lämnas ut. Det saknas därför anledning att i en integritetsskyddslagstiftning, som den föreslagna patientdatalagen, förhindra att personuppgifter som finns i hälso- och sjukvården lämnas ut i dessa fall bara därför att dessa numera hanteras med modern informationsteknik i stället för som tidigare på papper. Det förtjänar att påpekas att all sådan helt eller delvis automatiserad behandling, eller sådan behandling som sker i manuella register, som föregår ett utlämnande omfattas – med den begränsning som följer av tillämpningen av tryckfrihetsförordningen och yttrandefrihetsgrundlagen (se avsnitt 5.4) – av lagens tillämpningsområde, även om utlämnandet i sig sker i annan än elektronisk form.

Det har, när det gäller personuppgiftsbehandling genom utlämnande, i olika sammanhang uppstått rättslig osäkerhet kring frågan om förhållandet mellan ändamålsbestämmelser i registerlagar, personuppgiftslagens finalitetsprincip, sekretesslagen och andra bestämmelser som föreskriver utlämnande eller tillåter att uppgifter lämnas ut utan hinder av sekretess. För att undanröja motsvarande osäkerhet på hälso- och sjukvårdens område föreslås därför att det i patientdatalagen finnas en ändamålsbestämmelse som medger att personuppgifter – som behandlas med stöd av något eller några i det föregående behandlade ändamålen – också får behandlas för sådant uppgiftsutlämnande som sker i överensstämmelse med lag eller förordning.

Finalitetsprincipen är giltig även vid personuppgiftsbehandling enligt patientdatalagen.

Finalitetsprincipen innebär att personuppgifter som har samlats in i syfte att behandlas för särskilda, uttryckligt angivna ändamål (jfr 9 § första stycket c personuppgiftslagen) får behandlas även för andra, nya ändamål, om dessa inte är oförenliga med de ursprungliga ändamålen (9 § första stycket d samma lag). Principen hindrar inte att insamlade personuppgifter får behandlas för historiska, statistiska eller vetenskapliga ändamål, eftersom sådana ändamål per definition inte ska anses vara oförenliga med de ursprungliga insamlingsändamålen (9 § andra stycket personuppgiftslagen). Då ändamålsbestämmelserna i patientdatalagen syftar till att vara uttömmande införs i patientdatalagen en uttrycklig hänvisning till dessa bestämmelser i personuppgiftslagen.

Samkörning m.m.

Samkörning kommer bara att vara tillåten inom de ramar som ges av patientdatalagen samt sekretesslagen respektive bestämmelserna om tystnadsplikt i lagen (1998:531) om yrkesverksamhet på hälso- och

sjukvårdens område. Det finns inte skäl att införa någon särbestämmelse i patientdatalagen som förbjuder eller begränsar möjligheterna att samköra eller sambearbeta personuppgifter som finns inom verksamheten. Det finns inte heller någon anledning att införa begränsningar när det gäller sättet att samla in uppgifter i verksamhet som omfattas av patientdatalagens tillämpningsområde.

Hänvisningar till S7-1

7.2. Personuppgiftsansvar

Regeringens förslag: I patientdatalagen införs en bestämmelse som anger att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. I bestämmelsen klargörs också att personuppgiftsansvaret omfattar sådan behandling som vårdgivaren utför när denne via direktåtkomst bereder sig tillgång till personuppgifter om patienter hos annan vårdgivare.

Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag, men med den skillnaden att regeringens förslag också innebär att det tydligt klargörs att personuppgiftsansvaret omfattar sådan behandling som utförs i samband med att en vårdgivare eller ansvarig myndighet inom ett landsting eller en kommun bereder sig tillgång till vårddokumentation hos andra vårdgivare genom direktåtkomst.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag. Datainspektionen påpekar dock att det av den föreslagna lagen bör kunna utläsas att, som utredningen har anfört, den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa vårddokumentation, blir personuppgiftsansvarig för att åtkomsten är laglig.

Datainspektionen anser att det inte kan utläsas av den föreslagna patientdatalagen.

Skälen för regeringens förslag: Regeringen anser att personuppgiftsansvaret inom den allmänna hälso- och sjukvården ska läggas på myndighetsnivå. Därmed uppnås en samordning mellan personuppgiftsansvaret och ansvaret för allmänna handlingar enligt tryckfrihetsförordningen, sekretesslagen och arkivlagen (1990:782).

Ramen för tillåten personuppgiftsbehandling framgår av förslagen till ändamålsbestämningen i patientdatalagen. Inom dessa ramar har varje vårdgivare stora möjligheter och krav på sig att närmare precisera eller inskränka ändamålen för olika slags personuppgiftsbehandlingar som sker i den egna verksamheten. Vilka myndigheter i landsting eller kommuner som är personuppgiftsansvariga för personuppgiftsbehandling i landstings eller kommuners hälso- och sjukvård kan därför inte anges generellt utan beror framför allt på hur ansvaret för hälso- och sjukvårdens verksamhet organiserats i respektive landsting eller kommun.

Vid tillämpningen av personuppgiftslagen anses enligt gängse uppfattning den som endast har tillgång till personuppgifter genom att t.ex. söka bland och läsa uppgifter som ingår i en uppgiftssamling utan att

själv ha varken några rättsliga befogenheter eller faktiska möjligheter att ändra eller komplettera de uppgifter som ingår i samlingen inte vara personuppgiftsansvarig för den behandling som sökningar och bearbetningar vid sådan tillgång innefattar (Öman & Lindblom, Personuppgiftslagen. En kommentar, 3 uppl. 2007 s. 81). Den som har sådan begränsad tillgång anses nämligen normalt inte ha sådan rätt att bestämma över ändamålet med och medlen för behandlingen att det finns utrymme att betrakta denne som personuppgiftsansvarig enligt personuppgiftslagen. Av den av utredningen föreslagna bestämmelsen om personuppgiftsansvar framgår att vårdgivare respektive de för hälso- och sjukvården ansvariga myndigheterna inom ett landsting eller en kommun är personuppgiftsansvariga för den behandling av personuppgifter som utförs av dem. Begreppet behandling av personuppgifter infattar enligt personuppgiftslagen alla åtgärder som vidtas beträffande sådana uppgifter, 3 § personuppgiftslagen. Vid hantering av personuppgifter i elektronisk form omfattas därmed varje åtgärd som vidtas av vårdgivaren i fråga om en personuppgift, vare sig det är fråga om insamling, registrering, lagring, sökning, bearbetning, utlämnande, radering eller någon annan åtgärd. Som utredningen har framhållit får bestämmelsen anses innebära att den vårdgivare som använder sig av sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter eller läsa vårddokumentation blir personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär. Datainspektionen har i sitt remissyttrande påpekat att denna skillnad mot vad som normalt anses gälla vid direktåtkomst bör kunna utläsas i lagen. För att klargöra det berörda förhållandet föreslår regeringen att bestämmelsen förtydligas på så sätt att det anges att personuppgiftsansvaret omfattar sådan behandling av personuppgifter som utförs av vårdgivaren eller den myndighet som är personuppgiftsansvarig i ett landsting eller en kommun när denne genom direktåtkomst bereder sig tillgång till en annan vårdgivares eller myndighets uppgifter som rör patienter.

Hänvisningar till S7-2

7.3. Personuppgifter som får behandlas

Regeringens förslag: Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs, får behandlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen endast får behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en privat vårdgivare får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen.

Utredningens förlag: Överensstämmer delvis med regeringens förslag med tillägget att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen endast får behandlas om det är absolut nödvändigt för ett sådant ändamål som avses i 2 kap. 4 § patientdatalagen.

Remissinstanserna: Remissinstanserna har inte något att erinra mot förslaget.

Skälen för regeringens förslag: Från integritetssynpunkt är det väsentligt att inte andra personuppgifter behandlas inom hälso- och sjukvården än vad som är befogat utifrån verksamhetens behov och krav.

Att närmare specificera vilka personuppgifter som får behandlas i verksamheten skulle innebära tillämpningsproblem och försvåra ett rationellt utnyttjande av IT inom hälso- och sjukvården. Det är därför ändamålsbestämningen som ska styra över vilka personuppgifter som får samlas in och fortsättningsvis behandlas. Detta gäller även sådana personuppgiftskategorier som särregleras i personuppgiftslagen, dvs. känsliga personuppgifter (13 §), personuppgifter om lagöverträdelser m.m. (21 §) och uppgifter om personnummer (22 §). Regeringen anser att denna föreslagna ordning är godtagbar från integritetssynpunkt, inte minst mot bakgrund av att de integritetskänsliga uppgifterna kringgärdas av en sträng sekretess som är ägnad att förhindra obehörig insyn och spridning. När det gäller behandling av uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen anser dock regeringen att den från integritetsskyddssynpunkt restriktiva syn på behandlingen av dessa uppgifter som finns i personuppgiftslagen tydligare ska komma till uttryck i patientdatalagen. Av dessa skäl föreslår regeringen en bestämmelse om att uppgifter om sådana lagöverträdelser m.m. som avses i 21 § personuppgiftslagen endast får behandlas om det är absolut nödvändigt för ändamålen som avses i 2 kap. 4 § patientdatalagen.

Det kan noteras att personuppgiftslagens grundläggande krav på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella gäller även vid behandling enligt patientdatalagen. Prövning av om en personuppgift behövs för en viss behandling eller inte måste göras kontinuerligt och inte bara då den samlas in och registreras. Även vid en senare hantering ska personuppgiften behövas för ändamålet med just den senare hanteringen.

Enligt 21 § personuppgiftslagen får vidare bara myndigheter behandla sådana personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden. Detta gäller även om en enskild registrerad skulle samtycka till att annan än myndighet behandlar uppgiften. Hos privata vårdgivare måste en journalförare kunna notera t.ex. att en patient, som vårdas för sitt alkoholmissbruk, har dömts för rattfylleri.

Det kan vara viktigt för privata vårdgivare att för olika ändamål kunna behandla en personuppgift om att en patient tvångsvårdats med stöd av särskild lagstiftning eller omfattas av ett beslut om förvar enligt utlänningslagen (2005:716). Regeringen föreslår därför en bestämmelse i patientdatalagen som innebär att även privata vårdgivare får, om det är absolut nödvändigt för ändamålet, behandla dessa personuppgifter. I övrigt föreslås inga särbestämmelser om speciella personuppgiftskategorier.

Hänvisningar till S7-3

7.4. Den enskildes inställning till personuppgiftsbehandling

Regeringens förslag: Personuppgiftsbehandling enligt patientdatalagen ska få ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Vissa undantag följer av patientdatalagen.

Sådan personuppgiftsbehandling som inte är tillåten enligt patientdatalagen ska ändå få ske om den enskilde registrerade uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning. Vidare ska regeringen få meddela ytterligare undantag.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Endast ett fåtal av remissinstanserna har uttalat sig om förslaget. Barnombudsmannen vill betona artikel 12 i FN:s konvention om barnets rättigheter som stadgar att ett barn har rätt att fritt uttrycka sina åsikter i alla frågor som rör barnet. Barnets åsikter ska tillmätas betydelse i förhållande till barnets ålder och mognad. I lagen bör tydligt framgå vem som ska samtycka till åtgärden samt när barnet får självbestämmanderätt. Ett samtycke från en underårig patient, inte vårdnadshavarna, bör alltid eftersträvas, även om det inte är nödvändigt för personuppgiftsbehandlingen. Karlskrona kommun anser att det är bra att det sker ett klarläggande beträffande när en person motsätter sig personuppgiftsbehandling respektive samtycker. Trots dessa klarlägganden anser kommunen att det behövs ytterligare något förtydliganden när det gäller förfrågan till personer som inte själva är kompetenta att svara för sig. Justitieombudsmannen, JO, konstaterar att utredningen inte föreslår några särskilda bestämmelser avseende vuxna patienter som tillfälligt eller varaktigt brister i beslutsförmåga. JO delar uppfattningen att det för närvarande inte bör införas sådana särbestämmelser, utan att saken lämpligen bör regleras i samband med ett ställningstagande till förslagen i det tidigare presenterade betänkandet

Förmyndare och ställföreträdare för vuxna (SOU 2004:112). JO anser vidare att det finns behov av att omarbeta bestämmelserna i 2 kap.2 och 3 §§patientdatalagen, som reglerar den enskildes inställning till personuppgiftsbehandling, i syfte att göra dem mer lättillgängliga.

Skälen för regeringens förslag: Behandling av personuppgifter är enligt personuppgiftslagen tillåten, om den enskilde registrerade har lämnat sitt samtycke till behandlingen enligt 10 § personuppgiftslagen.

Kravet på att samtycket ska vara särskilt innebär t.ex. att en registrerad inte kan lämna ett giltigt generellt samtycke till personuppgiftsbehandling som inte är preciserad till något eller några ändamål. Dessutom krävs att den registrerade först har informerats om behandlingen.

Inte heller kan en registrerad som inte utnyttjar en rätt att motsätta sig en personuppgiftsbehandling anses genom sin passivitet ha samtyckt till behandlingen. Även känsliga personuppgifter får behandlas med den enskilde registrerades samtycke till personuppgiftsbehandlingen. Samtycket ska dock vara uttryckligt enligt 15 § personuppgiftslagen. I annat

fall gäller det generella förbudet i 13 § personuppgiftslagen mot att behandla känsliga personuppgifter. Att samtycket ska vara uttryckligt innebär inget krav på att det ska vara skriftligt eller att det ska dokumenteras. Enligt uppgift från Datainspektionen accepteras konkludent samtycke av inspektionen då en enskild, efter att ha fått tydlig information om personuppgiftsbehandlingen, frivilligt lämnar känsliga personuppgifter i enkätsvar. Flera av de rekvisit som gör personuppgiftsbehandling utan samtycke tillåten enligt 10 § personuppgiftslagen är ofta för handen, t.ex. punkten b) att den personuppgiftsansvarige ska kunna fullgöra en rättslig skyldighet (patientjournalföring) eller punkten d) att en arbetsuppgift av allmänt intresse ska kunna utföras.

När det gäller känsliga personuppgifter följer dessutom av 18 § första stycket personuppgiftslagen att sådana uppgifter får behandlas utan den registrerades samtycke för hälso- och sjukvårdsändamål, om behandlingen är nödvändig för förebyggande hälso- och sjukvård, medicinska diagnoser, vård eller behandling eller administration av hälso- och sjukvård.

Enligt andra stycket samma paragraf gäller dessutom att den som är yrkesmässigt verksam inom hälso- och sjukvårdsområdet och har tystnadsplikt får behandla känsliga personuppgifter som omfattas av tystnadsplikten. Detsamma gäller den som är underkastad en liknande tystnadsplikt och som har fått känsliga uppgifter från verksamhet inom hälso- och sjukvården. I de fall personuppgiftslagen tillåter personuppgiftsbehandling utan den registrerades samtycke, har den registrerade ingen rätt att med rättslig verkan motsätta sig personuppgiftsbehandlingen. Det följer av 12 § andra stycket personuppgiftslagen.

Vårdregister får föras oberoende av patientens inställning till personuppgiftsbehandlingen. Den enskilde registrerades samtycke till personuppgiftsbehandlingen krävs alltså inte. Något uttryckligt klargörande av detta förhållande finns inte i vårdregisterlagen utan anses följa av lagens bestämmelser om förutsättningarna för att behandla personuppgifter i vårdregister.

Regeringen föreslår inte särregler för vuxna patienter som tillfälligt eller varaktigt brister i beslutsförmåga. Hur dessa ska hanteras i hälso- och sjukvården har utretts av Utredningen om förmyndare, gode män och förvaltare, SOU 2004:112. Betänkandet bereds för närvarande i Regeringskansliet. Regeringen anser därför att det för närvarande inte bör införas sådana särbestämmelser, utan att saken lämpligen bör regleras i samband med ett ställningstagande till förslagen i det sistnämnda betänkandet.

Vad ska gälla om den enskilde motsätter sig personuppgiftsbehandlingen?

Personuppgiftslagen gäller i den mån vårdregisterlagen saknar bestämmelser. Det har ansetts innebära att bestämmelsen i 12 § andra stycket personuppgiftslagen, om att den enskilde inte har rätt att motsätta sig en personuppgiftsbehandling som är tillåten enligt personuppgiftslagen, också gäller vid personuppgiftsbehandling enligt vårdregisterlagen. Som Lagrådet tidigare har påpekat (prop. 2000/01:33 s. 346) medför emeller-

tid utformningen av 12 § andra stycket personuppgiftslagen att det är svårt att i en särskild registerförfattning hänvisa till den bestämmelsen som grund för rätten att behandla personuppgifter i vissa fall när den enskilda motsätter sig det. Av detta skäl och i förtydligande syfte föreslår regeringen att en uttrycklig bestämmelse införs i patientdatalagen som anger att personuppgiftsbehandling, som är tillåten enligt lagen, som huvudregel får utföras även om den enskilde registrerade motsätter sig den.

Bestämmelser i annan lag eller förordning kan ge enskilda direkt eller indirekt en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av patientdatalagen. Även sådana bestämmelser bör gälla före patientdatalagens huvudregel.

Vad ska gälla om den enskilde samtycker till en personuppgiftsbehandling?

Regeringen föreslår att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter ändå får ske om den enskilde registrerade uttryckligen samtycker till det. Från denna huvudregel föreslås ett undantag nämligen en bestämmelse som uttryckligen anger att en patient inte kan samtycka till en personuppgiftsbehandling i strid mot vissa av patientdatalagens bestämmelser. Vidare föreslås att regeringen ges en generell befogenhet att närmare kunna föreskriva ytterligare undantag som upphäver verkan av den enskilde registrerades samtycke till personuppgiftsbehandling, se avsnitt 10.2.

Det kan påpekas att regeringens förslag innebär att den enskilde bara kan uttryckligt samtycka till avvikelser från patientdatalagen rörande uppgifter om sig själv. Ett samtycke från patienten gör det således inte tillåtet att även behandla t.ex. uppgifter om patientens anhöriga i strid mot lagen eller att använda annars otillåtna sökbegrepp.

Sammanfattning

Regeringen anser att bestämmelserna som reglerar den enskildes inställning till personuppgiftsbehandling och som föreslås i 2 kap.2 och 3 §§patientdatalagen innebär att reglerna kring detta tydliggörs och medför en ökad tillgänglighet.

7.5. Sökbegrepp

Regeringens förslag: Samma sökbegränsningar som i dag gäller enligt 7 § vårdregisterlagen ska gälla vid behandling av personuppgifter enligt patientdatalagen. Det innebär att känsliga personuppgifter som avses i 13 § personuppgiftslagen, samt personuppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen inte får användas som sökbegrepp, förutom vid vissa undantag. Dessa undantag avser uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller enligt lagen (1991:1129) om rättspsykiatrisk vård.

Uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) får inte användas som sökbegrepp. Dessutom får uppgifter av betydelse för smittskyddet som inte rör hälsa inte användas som sökbegrepp.

Regeringen får meddela föreskrifter om att en vårdgivare, trots sökbegränsningarna, får använda personuppgifter om etnicitet, uppgifter av betydelse för smittskyddet samt uppgifter om bistånd eller andra insatser inom socialtjänsten eller åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag med de ändringarna att regeringen får föreskriva att inte enbart myndigheter inom landsting och kommun får använda vissa personuppgifter som sökbegrepp, utan också övriga vårdgivare samt att regeringen även får föreskriva att uppgifter av betydelse för smittskyddet får användas som sökbegrepp.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag. Socialstyrelsen tillstyrker förslaget och föreslår mot bakgrund av samhällets intresse av att bekämpa smitta att känsliga personuppgifter enligt smittskyddslagen (2004:168) får användas som sökbegrepp. Socialstyrelsen anser även att regeringens bemyndigande ska inkludera en möjlighet att meddela undantag från det generella förbudet mot sökbegrepp inom den enskilda vården. Swedish

Medtech påtalar bl.a. bristen på teknikneutralitet och anser att regleringen bygger på en pappershantering av journaluppgifter. I ett datasystem saknar sökbegreppet relevans. Allt som står i en patientjournal i moderna datasystem är sökbart genom till exempel fritextsökning. Därför anser

Swedish Medtech att bestämmelsen i praktiken är omöjlig att genomföra och därför bör ändras. Riksförbundet för social och mental hälsa anser att motiveringen till att undantaget från förbudet rörande någon som varit föremål för tvångsingripande enligt någon av de psykiatriska tvångsvårdslagarna, inte är tillräckligt. Förbundet efterlyser ytterligare diskussion och övervägande av integritetsaspekterna beträffande detta undantag. Journaluppgifter om en läkares utfärdande av vårdintyg kommer att kvarstå i en journal inom t.ex. en vårdcentral för överskådlig tid oavsett om vårdintyget efter specialistbedömning medför intagning eller inte.

Skälen för regeringens förslag: Frågan om på vilket sätt personuppgifter kan sammanställas anses ofta som en av de viktigare frågorna

från integritetssynpunkt. Ju större möjligheter det finns att på olika sätt sammanställa uppgifter om enskilda, desto större blir riskerna för otillbörliga intrång i enskildas integritet. Vilka sök- och sammanställningsmöjligheter som finns har vidare betydelse för frågan om vilka handlingar som anses förvarade hos en myndighet och vad som därmed kan bli tillgängligt för allmänheten i enlighet med 2 kap. tryckfrihetsförordningen.

Varje sammanställning av elektroniskt lagrade uppgifter som myndigheten kan göra med hjälp av tillgängliga program är i princip att anse som en allmän handling hos myndigheten. Detta gäller även om det aldrig tidigare har existerat en sådan sammanställning och även om sammanställningen inte alls behövs för myndighetens egen verksamhet. Förutom redan existerande handlingar brukar man därför tala om s.k. potentiella handlingar.

Tekniska begränsningar kan dock innebära att en tänkt sammanställning inte kan göras; en sådan sammanställning är ingen allmän handling. Vidare kan en myndighets och därmed också allmänhetens möjligheter att få tillgång till sammanställningar av uppgifter som finns i myndighetens informationssystem underkastas rättsliga begränsningar. Denna regel, begränsningsregeln, syftar till att allmänheten inte med stöd av offentlighetsprincipen ska kunna göra anspråk på att få del av sådana sammanställningar hos myndigheten som myndigheten av hänsyn till skyddet för den personliga integriteten själv är förhindrad att ta fram.

Med sökbegrepp avses bokstäver, koder eller siffror med vars hjälp man, tillsammans med en sökmotor eller liknande funktion, kan ta fram ett önskat urval lagrade personuppgifter om en eller flera personer ur en samlad informationsmängd. Frågan om sökbegrepp är i princip intressant endast när det gäller information som behandlas elektroniskt, dvs. som finns lagrad på medium för automatiserad behandling. Utan sökbegränsningar kan, som framgår av Swedish Medtechs remissyttrande, vilka sökningar och sammanställningar som helst göras, t.ex. i fråga om patientuppgifter av mycket känslig art. Det är därför av största vikt att reglera sökbegränsningar så att otillbörliga integritetsintrång förhindras. Därför bör de sökbegränsningar som finns i vårdregisterlagen behållas. Sökbegränsningarna innebär inte ett krav på att det ska vara tekniskt omöjligt att söka på exempelvis känsliga personuppgifter som avses i 13 § personuppgiftslagen och som i huvudsak begränsas enligt förslaget i patientdatalagen. Som Swedish Medtech också har framhållit kan nämligen allt som står i en patientjournal i moderna datasystem vara sökbart genom till exempel fritextsökning. Sökbegränsningarna som föreslås i patientdatalagen innebär i stället att det inte är tillåtet att göra sådana sökningar. Sökbegränsningarna bör vara tillämpliga inte bara vid behandling av personuppgifter för t.ex. vårdändamål utan vid all behandling av personuppgifter som regleras i patientdatalagen.

Förutom i det individinriktade arbetet är det väsentligt att vid t.ex. verksamhetsuppföljningar kunna göra sammanställningar utifrån sökkriterier såsom diagnoser och liknande. Även vid verksamhetsplanering behövs möjligheter att identifiera tendenser som är av betydelse för verksamheten, t.ex. i fråga om förväntningar på ökande tillströmning av olika patientkategorier. Patientdatalagen bör inte hindra sådan personuppgiftsbehandling.

Regeringen anser vidare att sammanställningar som används i dessa sammanhang snarast möjligt bör avidentifieras, eftersom individuppgifterna som sådana saknar betydelse för ändamålet med den fortsatta behandlingen.

Liksom enligt vårdregisterlagen får uppgifter om sjukdom och hälsa samt uppgifter om att någon varit föremål för tvångsingripande inom psykiatrin och rättspsykiatrin användas som sökbegrepp. I förarbetena till vårdregisterlagen motiverades undantaget för sökbegreppen sjukdom och hälsotillstånd med att det är en värdefull tillgång hos datoriserad journalföring att genom sökning på begrepp som beskriver sjukdom och hälsotillstånd snabbt och effektivt finna relevanta journalanteckningar från patientens tidigare vårdtillfällen. Fördelarna med att tillåta sökning på dessa från integritetssynpunkt känsliga begrepp är så stora, menade regeringen, att intresset av en begränsning av sökmöjligheterna bör få vika. Vidare ansåg regeringen att uppgifter om att patienten varit föremål för psykiatrisk tvångsvård eller rättspsykiatrisk vård är av särskilt intresse när det gäller användningen av ett vårdregister för andra ändamål än i och för patientens vård såsom uppföljning, utvärdering och kvalitetssäkring av psykiatrisk tvångsvård och rättspsykiatrisk vård.

Socialstyrelsen har framhållit att det mot bakgrund av samhällets intresse av att bekämpa smitta även borde vara möjligt att som sökbegrepp få använda känsliga personuppgifter enligt smittskyddslagen respektive uppgifter om att någon varit föremål för åtgärder enligt samma lag. Regeringen bedömer att undantaget som tillåter att personuppgifter som rör hälsa får användas som sökbegrepp i viss mån även kan täcka in smittosamma sjukdomar. Däremot är frågan om ett särskilt undantag ska göras för känsliga personuppgifter avseende smittskyddet som inte rör hälsa. Regeringen finner det inte lämpligt att införa ett särskilt undantag om att få använda andra uppgifter inom smittskyddet än sådana som rör hälsa som sökbegrepp, eftersom patientdatalagen utgör en ramlagstiftning. Det går därför för närvarande inte att överblicka vad ett sådant generellt undantag som Socialstyrelsen föreslår kan få för konsekvenser. Däremot föreslår regeringen att den ska ges möjlighet att meddela föreskrifter om att få använda uppgifter av betydelse för smittskyddet som sökbegrepp om ett faktiskt behov av det skulle uppstå. Regeringen bör även få föreskriva att etnicitet ska kunna få användas som sökbegrepp t.ex. för att en enskild vårdgivare kan behöva planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver.

När det gäller sökbegränsningarna i fråga om insatser inom socialtjänsten eller enligt utlänningslagen är det i dessa fall fråga om uppgifter som inte generellt särbehandlas i personuppgiftslagen såsom särskilt integritetskänsliga, såvida de inte omfattas av 13 § eller 21 §personuppgiftslagen. Regeringen får närmare föreskriva sådana undantag från sökbegränsningarna som medger att landsting och kommuner kan göra vissa slags sammanställningar.

Socialstyrelsen har framhållit att regeringens bemyndigande även bör inkludera en möjlighet att meddela undantag från det generella förbudet mot sökbegrepp inom den privata vården. Socialstyrelsen har anfört att det måste beaktas att den offentligt finansierade hälso- och sjukvården i icke ringa utsträckning bedrivs enligt avtal av enskilda vårdgivare.

Dessutom framhåller socialstyrelsen regeringens pågående arbete med att undanröja vissa begränsningar som anges i 3 och 5 §§hälso- och sjukvårdslagen beträffande driftsformer för privat drivna sjukhus.

Regeringen instämmer i att det kan finnas ett behov även inom den enskilda vården att göra vissa slags sammanställningar. Regeringens bemyndigande föreslås därför inkludera en möjlighet att meddela undantag från det generella förbudet mot sökbegrepp inom den enskilda vården.

Det kan påpekas att regleringen i fråga om sökbegrepp inte innebär begränsningar i fråga om vilka personuppgifter som får behandlas enligt patientdatalagen. Självfallet bör ändå sträng återhållsamhet iakttas när det handlar om att registrera och även i övrigt behandla sådana personuppgiftskategorier som inte får användas som sökbegrepp.

En viktig åtgärd ur integritetssynpunkt är att vårdgivare måste utforma datasystemen så att endast behörig personal kan utföra sökningar. Behörighetssystem som gör att det i efterhand går att fastställa vilka personer som har tagit del av information, t.ex. via loggning, ger också ett skydd vid elektronisk personuppgiftsbehandling. Hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § sekretesslagen förhindrar också som regel allmänhetens möjligheter att med stöd av offentlighetsprincipen få ut sammanställningar av integritetskänslig information.

Hänvisningar till S7-5

  • Prop. 2007/08:126: Avsnitt 21.1

7.6. Elektroniskt utlämnande av personuppgifter

Regeringens förslag: Med direktåtkomst avses i patientdatalagen – till skillnad från i vårdregisterlagen – en viss form av elektroniskt utlämnande av personuppgifter till en mottagare utanför en vårdgivares organisation. Med begreppet avses dock även ett sådant utlämnande från en hälso- och sjukvårdsmyndighet inom ett landsting eller en kommun till en annan sådan myndighet i samma landsting eller kommun.

Direktåtkomst till personuppgifter som behandlas enligt patientdatalagen får bara medges i den utsträckning som följer av lag eller förordning. I patientdatalagen regleras vissa fall av direktåtkomst. Dessutom finns en uttrycklig bestämmelse i patientdatalagen som innebär att personuppgifter får lämnas ut i annan elektronisk form än genom direktåtkomst, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag. De remissinstanser som har yttrat sig har påtalat att begreppen direktåtkomst och elektronisk åtkomst har olika innebörd i den föreslagna patientdatalagen.

Justitieombudsmannen konstaterar att det i dag inte finns någon legaldefinition av begreppet direktåtkomst. I de nuvarande registerförfattningarna förekommer att begreppet direktåtkomst används för att beskriva dels en speciell form av elektroniskt utlämnande till en extern mottagare, dels personalens elektroniska tillgång till personuppgifter som behandlas inom en organisation. Sådan intern tillgång som i dag regleras i vårdregisterlagen med begreppet direktåtkomst benämns i patient-

datalagen elektronisk åtkomst. Med begreppet direktåtkomst avses endast en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgivares organisation. Begreppet direktåtkomst synes enligt JO ha använts på ett – i förhållande till övriga relevanta bestämmelser i patientdatalagen – inkonsekvent sätt då det i bestämmelsen är fråga om elektronisk åtkomst inom samma landsting eller kommun, dvs. inom samma vårdgivares organisation. Malmö tingsrätt och Länsrätten i Uppsala framför liknande synpunkter.

Socialstyrelsen kritiserar utredningens förslag om en reglering kring två former av elektronisk åtkomst, dels ”elektronisk åtkomst” som avser en användares tillgång till en organisations egna informationstillgångar och dels ”direktåtkomst” som avser en användares tillgång till informationstillgångar över en sekretessgräns/verksamhetsgräns. Socialstyrelsen anser att användningen av de båda begreppen ”elektronisk åtkomst” och ”direktåtkomst” kan skapa förvirring hos användarna.

Det finns inte någon legaldefinition av begreppet direktåtkomst, men vanligtvis innebär direktåtkomst ingen möjlighet att kunna bearbeta eller på annat sätt påverka innehållet i det system, register eller databas som åtkomsten avser. Eftersom utredningen öppnar för vårdens användare att i ett sammanhållet system för informationshantering via terminalåtkomst dela information i termer av att kunna både nå samt läsa och skriva i den sammanhållna journalföringen skapar man därmed ett nytt institut. Mot bakgrund av detta föreslår Socialstyrelsen att begreppet ”elektronisk åtkomst” ska användas genomgående i lagen; detta för att skilja denna åtkomst från fysisk åtkomst, t.ex. till pappersjournaler. Såvitt Socialstyrelsen kan se får myndighetens förslag inte några rättsliga konsekvenser i lagförslaget.

Verket för förvaltningsutveckling, Verva, för fram att om inte direktåtkomstbegreppet bättre preciseras av informationsutbytesutredningen (Fi 2005:08) anser Verva, i likhet med utredningen, att det är angeläget att frågan utreds i särskild ordning. Verva förordar i så fall att regeringen tar initiativ till en sådan utredning. Utredningens resonemang om direktåtkomst och elektronisk åtkomst anser Verva inte är alldeles enkelt att följa. I avvaktan på en enhetlig lösning på direktåtkomstproblematiken anser Verva att det är angeläget att inte en ny tillämpning eller tolkning av begreppet införs.

Svensk förening för medicinsk informatik framhåller att det i patientdatalagen inte finns någon explicit definition av begreppen men att det i kommentaren anges en förklaring som innebär att man vid utlämnande alltid har en person som fattar ett beslut. Detta är inte den avsedda tolkningen i en rad andra lagar på områden där man redan infört automatiserade utlämnandeprocesser. Föreningen anser att man bör överväga en ändrad formulering i patientdatalagen där man talar om elektroniskt utlämnande och sedan preciserar de eventuella tilläggsvillkor som krävs. Det vore olyckligt att generellt kräva att man inte kan få ha automatiserade beslutsprocesser där det kan vägas in en rad olika faktorer som vårdrelation och inte minst en bedömning från patienten och den som är ansvarig för att föra in en journaluppgift om möjligheten att i framtiden lämna ut uppgifter på vissa villkor.

Skälen för regeringens förslag

Nuvarande reglering

Som framgått i det föregående saknar personuppgiftslagen särskilda bestämmelser som reglerar om eller under vilka förutsättningar uppgifter får lämnas ut i elektronisk form i stället för på papper. Någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs inte heller i sekretesslagen, lagen om yrkesverksamhet på hälso- och sjukvårdens område eller i patientjournallagen (1985:562), vilka är de centrala lagarna för informationshantering inom hälso- och sjukvården.

Vårdregisterlagen innehåller däremot bestämmelser både om direktåtkomst och om annat utlämnande på medium för automatiserad behandling. I 8 § vårdregisterlagen föreskrivs att endast den som för ändamål som anges i lagen behöver tillgång till uppgifterna för att kunna utföra sitt arbete får ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Som framgått redan är bestämmelsen närmast en reglering av inre sekretess i form av en behörighetsreglering av tillåten elektronisk åtkomst inom en vårdgivares verksamhet och inte en bestämmelse om ett speciellt sätt att elektroniskt lämna ut personuppgifter till en extern mottagare.

I 9 § vårdregisterlagen anges när uppgifter i ett vårdregister får lämnas ut på medium för automatiserad behandling. Detta får ske om de ska användas för ändamål för vilka vårdregister får föras. Detsamma gäller om uppgifterna ska användas för framställning av statistik, administration på verksamhetsområdet, uppföljning, utvärdering eller kvalitetssäkring eller om uppgifterna ska lämnas på grund av att uppgiftsutlämnande som föreskrivs i lag eller förordning. Slutligen får uppgifter lämnas på medium för automatiserad behandling om de ska användas för forskning.

Möjligheterna att elektroniskt lämna ut uppgifter som finns i ett vårdregister på annat sätt än genom direktåtkomst och som kan lämnas ut utan hinder av sekretess är alltså ganska stora. Någon skyldighet att lämna ut personuppgifter på medium för automatiserad behandling finns dock inte föreskriven, varken i vårdregisterlagen eller i någon annan lag av intresse i sammanhanget.

När det gäller annan elektronisk personuppgiftsbehandling än sådan som regleras i vårdregisterlagen gäller varken något förbud mot eller en skyldighet att lämna ut uppgifter elektroniskt. Inom den allmänna hälso- och sjukvården gäller det s.k. utskriftsundantaget i 2 kap. 13 § tryckfrihetsförordningen varav följer att en myndighet inom hälso- och sjukvården själv bestämmer om sättet att lämna ut en allmän handling som myndigheten förvarar i elektronisk form. Beslutet bör tas med beaktande av syftet med utskriftsundantaget som är att skydda enskildas integritet vid s.k. massuttag. Kan utlämnandeformen användas utan otillbörliga integritetsintrång, finns det alltså inget som hindrar ett elektroniskt utlämnande.

Allmänt om elektroniskt utlämnande

Regeringen föreslår ändamål för vilka personuppgifter ska få behandlas hos vårdgivare. Inom ramen för dessa ändamål kommer det ofta att bli aktuellt att behandla personuppgifter om patienter genom att uppgifterna lämnas ut till en extern mottagare, dvs. till en mottagare som finns utanför den utlämnande vårdgivarens egen verksamhet. Utlämnandet kan t.ex. avse personuppgifter som begärts utifrån av en annan vårdgivare eller som annars ska överföras till en extern mottagare enligt någon särskilt reglerad uppgiftsskyldighet. Men det kan också handla om att uppgifter lämnas ut vid fullgörande av den egna verksamheten, t.ex. i samband med remisser eller kvalitetsregisterrapportering.

Personuppgifter kan lämnas ut på olika sätt, t.ex. via kopia av pappersjournal eller utskrift från dator. Utlämnande kan också göras i elektronisk form, dvs. på medium för automatiserad behandling eller via elektronisk kommunikation på annat sätt. Den elektroniska formen omfattar i sig ett stort antal variationer, t.ex. användning av e-post, lagring på cd-rom, direktöverföring från ett datorsystem till ett annat via telenätet eller att en mottagare ges elektronisk tillgång till det utlämnande organets datorsystem. Alla varianter, elektroniska eller inte, utgör behandling av personuppgifter enligt 3 § personuppgiftslagen och någon åtskillnad mellan elektroniskt utlämnande av personuppgifter och utlämnande som sker manuellt på papper görs inte.

I många registerförfattningar och andra författningar som reglerar personuppgiftsbehandling finns emellertid bestämmelser där det framgår inte bara i vad mån personuppgifter får behandlas genom att lämnas ut till en extern mottagare utanför myndigheten eller det personuppgiftsansvariga organet utan även när det får göras i elektronisk form till andra myndigheter eller till enskilda. Motivet för denna särreglering av sättet eller den särskilda tekniken för utlämnandet är att själva den elektroniska formen anses kunna medföra risker för otillbörliga integritetsintrång. Normalt innebär nämligen just den elektroniska formen att mottagaren efter utlämnandet har större möjligheter att bearbeta informationen än om utlämnandet sker på papper. I denna typ av lagstiftning används ofta begreppen direktåtkomst, elektronisk åtkomst och utlämnande på medium för automatiserad behandling.

Direktåtkomst och elektronisk åtkomst

Regeringen delar remissinstansernas påpekande om att det behövs ett förtydligande av begreppen direktåtkomst och elektronisk åtkomst.

Begreppet direktåtkomst används i dag i olika registerförfattningar med något varierande innebörd. I vårdregisterlagen används det således för att beteckna den elektroniska tillgång till uppgifter som personalen inom vårdgivarens organisation behöver för att kunna utföra sitt arbete, medan det i flertalet andra registerförfattningar används för att beteckna en speciell form av utlämnande av uppgifter till någon utanför den egna organisationen. Det har i några fall också använts för att beskriva en särskild form av elektroniskt utlämnande mellan olika självständiga verksamhetsgrenar inom en och samma myndighet. De specifika särdrag som enligt vedertagen uppfattning karaktäriserar direktåtkomsten, när det

begreppet används för att beskriva en viss form av elektroniskt utlämnande, är främst att den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av – automatiserad tillgång – och att mottagaren av informationen inte kan påverka innehållet i det informationssystem eller register som informationen lämnas ut från (se t.ex. prop. 2004/05:164 s. 83). Mottagaren har möjlighet att ta del av innehållet i t.ex. en elektronisk handling utan att för den skull kunna ändra i eller tillföra ny information till de uppgifter som utlämnaren ansvarar för.

Utredningen har föreslagit att begreppet direktåtkomst – till skillnad från hur begreppet används i vårdregisterlagen – ska användas för att definiera sättet för det elektroniska utlämnandet. Enligt utredningens förslag används direktåtkomst vid sammanhållen journalföring samt när det är fråga om en speciell form av elektroniskt utlämnande av personuppgifter till mottagare utanför en vårdgivares organisation. När det gäller personalens möjligheter att elektroniskt och automatiskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation används i utredningens förslag i stället begreppet elektronisk åtkomst, se avsnitt 11 om inre sekretess.

En vårdgivare föreslås enligt patientdatalagen vara bland annat den kommun eller det landsting som svarar för hälso- och sjukvården och inte den nämnd, myndighet, som ansvarar för eller utför hälso- och sjukvården, se 1 kap. 3 § patientdatalagen. I 5 kap. 4 § andra stycket utredningens förslag till patientdatalag föreskrivs att myndigheter som bedriver hälso- och sjukvård i ett landsting får ha direktåtkomst till varandras personuppgifter. Motsvarande gäller för myndigheter som bedriver hälso- och sjukvård i en kommun. Bestämmelsen innebär enligt utredningen ett klargörande av att hälso- och sjukvårdsmyndigheter inom en vårdgivare kan ha elektronisk tillgång till varandras personuppgifter. Eftersom det i de fall då en vårdgivare t.ex. organiserar verksamheten i flera olika nämnder i praktiken blir fråga om att uppgifter lämnas ut från en myndighet till en annan hos vårdgivaren är det motiverat att klargöra att även detta utlämnande får ske automatiserat på det sätt som avses med begreppet direktåtkomst.

JO har framfört att begreppet direktåtkomst i utredningens förslag synes ha använts på ett inkonsekvent sätt då det i bestämmelsen är fråga om elektronisk åtkomst inom samma vårdgivares organisation. I den föreslagna lagen regleras den s.k. inre sekretessen hos en vårdgivare i 4 kap. 1 §. Av den föreslagna bestämmelsen följer att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Det är vidare vårdgivaren – vare sig det är ett landsting, en kommun eller ett privaträttsligt subjekt som i det enskilda fallet är att betrakta som vårdgivare – som ansvarar för att bestämma villkoren för tilldelning av behörighet för elektronisk åtkomst till uppgifter om patienterna (4 kap. 2 §). Det är också vårdgivaren som ansvarar för att kontrollera att det inte förekommer någon obehörig åtkomst till uppgifterna inom organisationen. Vårdgivarens ansvar vid tilldelning av behörighet för elektronisk åtkomst innefattar en skyldighet att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika

personalkategorier och olika slags verksamheter behöver. Tilldelningen av åtkomstbehörigheter leder dock inte till att personalen vid en myndighet inom vårdgivarens organisation automatiskt får tillgång till information som finns hos en annan myndighet inom samma organisation. För att uppgifterna rent faktiskt ska bli tillgängliga krävs även att uppgifterna lämnas ut, vilket alltså kan ske genom direktåtkomst. Den information som på så sätt görs tillgänglig för mottagaren kan avse en hel databas, men den kan också vara begränsad så att den endast omfattar en på förhand bestämd mängd eller bestämda kategorier av uppgifter i databasen.

Enligt regeringen finns det inte någon inre motsättning i att använda begreppen direktåtkomst och elektronisk åtkomst parallellt. Det förra beskriver endast ett sätt för utlämnande, medan det senare uteslutande beskriver ett sätt att få tillgång till handlingar inom en organisation. Att det inom en större organisation kan förekomma att uppgifter lämnas ut mellan t.ex. olika myndigheter som är integrerade i organisationen innebär inte i sig att det saknas förutsättningar att inom samma organisation bestämma särskilda villkor för tillgången till elektroniska handlingar. Förekomsten av en bestämmelse som medger att handlingar lämnas ut automatiserat på elektronisk väg från en nämnd till en annan inom ett landsting innebär alltså inte att det, parallellt med en sådan reglering, inte bör kunna ställas upp villkor för hur tillgången till uppgifterna ska regleras internt inom landstinget. En reglering av den interna tillgången kan emellertid inte heller ges verkningar som undandrar de utlämnande myndigheterna ansvaret för och möjligheterna att påverka utlämnandet. Det är snarare fråga om samverkande förutsättningar för den konkreta tillgången till information i verksamheten.

Vid sammanhållen journalföring är tanken att journalhandlingar som rör en viss patient ska kunna samlas från en eller flera vårdgivare och hållas tillgängliga i en elektronisk patientjournal. Ansvaret för journalföringen är emellertid även vid sådan hantering av journalhandlingarna primärt knutet till den journalföringspliktiga yrkesutövaren. Det förhållandet att det vid sammanhållen journalföring skapas en elektronisk patientjournal som kan bestå av journalhandlingar från flera vårdgivare och som i vissa fall logiskt kan vara placerade på en och samma dataserver, påverkar alltså inte ansvaret för de handlingar som upprättas eller inkommer till vårdgivarna. Ansvaret kvarstår tvärtom hos den som har upprättat eller mottagit handlingen. Att ansvaret kvarstår tydliggörs också av det förhållandet att den elektroniska tillgången till handlingar för andra än den ansvariga vårdgivaren kan upphöra helt om patienten invänder mot att handlingarna fortsättningsvis görs tillgängliga inom ramen för en sammanhållen journalföring. När vårddokumentationen görs tillgänglig över vårdgivargränserna genom direktåtkomst sker det genom att handlingarna lämnas ut på ett sätt som innebär att dokumentationen blir elektroniskt tillgänglig för andra vårdgivare utan att det i varje enskilt fall görs en sekretessprövning i samband med utlämnandet. Det ska i detta sammanhang anmärkas att bestämmelser om direktåtkomst inte har sekretessbrytande effekt i sig utan att de – om andra myndigheter eller enskilda ska kunna medges direktåtkomst till sekretessbelagda uppgifter – måste kombineras med särskilda sekretessbrytande regler.

Den sammanhållna journalföringen ger inte andra än den ansvariga vårdgivaren rätt att ändra i de journalhandlingar som görs tillgängliga. Det förhållandet att nya handlingar kan fogas till den samlade elektroniska patientjournalen, som händelsevis rent logiskt kan vara förvarad på ett och samma fysiska datamedium, påverkar inte bedömningen att vårdgivarna endast har rätt att ta del av varandras handlingar. Det är alltså inte, som Socialstyrelsen har varit inne på, något helt nytt institut för utlämnande som tillskapas genom den sammanhållna journalföringen. Denna form av utlämnande visar tvärtom upp samma karaktäristiska drag som normalt läggs i begreppet direktåtkomst. Regeringen menar därför, som utredningen har föreslagit, att detta begrepp bör användas för att beskriva på vilket sätt journalhandlingar görs tillgängliga vid sammanhållen journalföring.

I linje med vad som sägs ovan om innebörden av begreppet direktåtkomst, och i enlighet med utredningens förslag om elektroniskt utlämnande mellan myndigheter inom en vårdgivare, bör det i lagen vidare klargöras att de myndigheter som ansvarar för hälso- och sjukvården inom ett landsting eller en kommun får lämna ut personuppgifter till varandra genom direktåtkomst, se 5 kap. 4 § patientdatalagen. De sekretessbrytande regler som krävs för att detta förslag ska kunna genomföras behandlas i avsnitt 13.1. Att ett sådant utlämnande sker är för övrigt i själva verket en förutsättning för att anställda vid andra myndigheter inom t.ex. ett landsting i praktiken ska kunna beredas tillgång till uppgifterna genom sådan intern elektronisk åtkomst som regleras i 4 kap. Se även avsnitt 13.2 och författningskommentaren till 5 kap. 4 §.

Begreppet direktåtkomst bör vidare, liksom i många andra registerförfattningar, användas för att beskriva en enskilds möjlighet att automatiserat få tillgång till uppgifter om honom eller henne själv, se 5 kap. 4 § patientdatalagen. En enskild kan medges direktåtkomst till sådana uppgifter om sig själv som behandlas för ändamålet vårddokumentation och som får lämnas ut till honom eller henne. Med direktåtkomst avses alltså därmed ett sätt att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll.

Direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter inom hälso- och sjukvården. Det finns därför anledning att genom reglering i patientdatalagen klargöra i vilka fall direktåtkomst får förekomma till personuppgifter som behandlas enligt lagen. Sådant utlämnande bör därför bara få ske i den utsträckning som medges i lag eller förordning.

Trots att begreppet direktåtkomst används i ett stort antal registerförfattningar har begreppet ännu inte definierats i någon lag. Utan övergripande analys och utredning om hur bestämmelserna om direktåtkomst tillämpas i de olika sammanhang de förekommer är det enligt regeringens mening inte lämpligt att nu definiera vad som avses med begreppet i patientdatalagen. Det är nämligen svårt att förutse vilka effekter en sådan åtgärd kan få för rättstillämpningen på andra områden. Vidare gör regeringen bedömningen att regleringen i 4 kap. inte skulle vinna nämnvärt i klarhet av att begreppet elektronisk åtkomst definieras i

1 kap. 3 § patientdatalagen. Av 4 kap. 2 § får nämligen redan anses framgå att vad som avses är behörigheten för den som fullgör arbetsuppgifter inom hälso- och sjukvården hos en vårdgivare att ta del av elektroniska uppgifter om patienterna.

Annat utlämnande på medium för automatiserad behandling

Annat utlämnande på medium för automatiserad behandling än elektronisk åtkomst och direktåtkomst innebär, förenklat uttryckt, elektroniskt utlämnande utan möjlighet för mottagaren att själv bereda sig tillgång till uppgifterna t.ex. genom användning av e-post, utlämnande på cd-rom eller genom filöverföring från ett datorsystem till ett annat. Vid denna typ av utlämnande fattas ett beslut om överföring av den som lämnar ut uppgifterna. Som regel innefattar denna typ av utlämnande att informationen lämnas ut i en form som medför att mottagaren kan bearbeta informationen. Bearbetningsmöjligheterna är dock inte avgörande för om det är fråga om ett utlämnande på automatiserat medium eller inte. Som exempel kan anföras att då en låst elektronisk handling skickas som bilaga i e-post eller om en cd-rom lämnas ut med lagrad information och kvalificerat kopieringsskydd är det enligt regeringens uppfattning fråga om ett utlämnande på medium för automatiserad behandling. Till skillnad från elektronisk åtkomst och direktåtkomst sker vid annat utlämnande på medium för automatiserad behandling en prövning i varje enskilt fall av om uppgifterna kan lämnas ut eller om exempelvis sekretessbestämmelser utgör hinder för utlämnande.

De skäl som från integritetssynpunkt gör det befogat att särreglera elektronisk åtkomst och direktåtkomst väger enligt regeringens uppfattning avsevärt lättare när det handlar om annat elektroniskt utlämnande på hälso- och sjukvårdens område. Den stränga hälso- och sjukvårdssekretessen och motsvarande bestämmelser för den privata hälso- och sjukvården i lagen om yrkesverksamhet på hälso- och sjukvårdens område utgör ett starkt integritetsskydd. Regeringen instämmer därför med utredningen om att tiden är mogen för att avskaffa den begränsning som i dag finns i 9 § vårdregisterlagen när det gäller användning av modern IT-teknik för att lämna ut uppgifter som finns i vårdregister.

Vid annat utlämnande på medium för automatiserad behandling bör det ankomma på vårdgivarna själva att efter en lämplighetsprövning avgöra valet mellan en automatiserad överföring. Den prövningen måste givetvis ta hänsyn till vilka risker, ur säkerhets- och integritetssynpunkt, som finns och väga dessa mot eventuella vinster ur effektivitetssynpunkt. Eftersom förslaget avviker från vad som hittills gällt inom vårdregisterlagens tillämpningsområde tas, av tydlighetsskäl, en uttrycklig bestämmelse in i patientdatalagen enligt vilken personuppgifter får lämnas ut på medium för automatiserad behandling i annan form än genom elektronisk åtkomst och direktåtkomst, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.

8. En sammanhållen journal

Hänvisningar till S8

  • Prop. 2007/08:126: Avsnitt 21.1

8.1. En journal knuten till patienten

Regeringens bedömning: Det bör inte införas bestämmelser som skulle innebära att patienten äger sin journal eller att den inte längre ska vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Majoriteten av de remissinstanser som lämnat synpunkter instämmer i utredningens bedömning.

Sveriges Försäkringsförbund efterlyser en analys av patientens intresse av att journaler finns tillgängliga även för försäkringsändamål. Förbundet anser att utredningen i sin analys har bortsett från det behov som patienten har av att journaler finns tillgängliga även i försäkringssammanhang vid såväl riskbedömning som skadereglering. Förbundet anser att även läkemedels- och patientförsäkringarna bör vägas in där försäkringsgivarnas och nämndernas tillgång till journaler är en förutsättning för att den enskilde ska kunna erhålla korrekt ersättning. Försäkringsbolagens efterfrågan på journalhandlingar och försäkringsbolagens behov av hälsouppgifter påverkas inte av i vilken form de presenteras. Däremot anser Sveriges Försäkringsförbund att en sammanhållen journal skulle underlätta uppgiftsinsamlandet och bidra till ett säkrare bedömningsunderlag.

Pensionärernas Riksorganisation, PRO, instämmer i utredningens bedömning och avvisar en nyordning där patienten äger sin journal eller där journalen inte längre ska vara knuten till den vårdgivare inom vars verksamhet journalföringen sker. PRO anser vidare att en patient ska ha tillgång elektroniskt till uppgifter i sin journal och att det därvid ska råda full öppenhet och gälla journalens hela innehåll. PRO anser sig inte kunna acceptera att vissa uppgifter i en journal ska vara hemliga eller på annat sätt undanhållas patienten utan att det måste finnas full öppenhet från vårdgivaren om alla bedömningar och anteckningar som finns i journalen. Patientens åtkomst till sin journal bör enligt PRO bli en tydlig laglig rättighet.

Reumatikerförbundet anser i motsats till utredningens förslag att patienten bör äga journalen och att det inte får råda något tvivel om att innehållet fullt ut kontrolleras av patienten. Förbundet anser att patienten ska signera journalen efter varje tillägg som gjorts. Förbundet anser att detta kan stävja att ibland ogrundade uppgifter förs in i journalen.

Förbundet anser också att patienten ska ges full möjlighet att få noterat avvikande mening till innehållet i journalen och att det klart ska framgå i journalen vad som är skilda uppfattningar och vad som är patientens uppfattning.

Riksförbundet för social och mental hälsa, RSMH, instämmer i utredningens bedömning men vill uttala stöd för ett alternativ där patienter som vill ska kunna utrustas med elektroniska journalkopior. Tillgängligheten skulle kunna ske i form av så kallade smarta kort eller minneskort. RSMH anser vidare att en patient ska ha tillgång till alla

uppgifter i sin journal och att det ska råda full öppenhet om journalens hela innehåll. Patientens tillgång till sin journal måste enligt RSMH bli en tydlig laglig rättighet. RSMH vill också framföra att ett bra sätt att kvalitetssäkra journaler är att patienten ges möjlighet att på motsvarande sätt som läkaren eller övrig behandlande personal signera journalen med jämna mellanrum.

Svensk sjuksköterskeförening, SSF, instämmer i utredningens förslag och anser att patienten ska ha fri tillgång till sin journaldokumentation men ej äga journalen.

Svenska föreningen för barn- och ungdomspsykiatri instämmer i att patientjournalen ska vara ett arbetsinstrument för hälso- och sjukvårdspersonalen och att patienten inte ska ha äganderätt till sin journal.

Riksföreningen för skolsköterskor framhåller att en viktig punkt i utredningen är försäkringsbolagens möjlighet att ta del av hela patientjournalen. Riksföreningen anger att det för skolhälsovården känns viktigt med en begränsning i försäkringsbolagens rätt. Inte minst eftersom uppgifter som inte är relevanta för försäkringsärendet eller om annan person än eleven kan finnas i en skolhälsovårdsjournal. Vidare instämmer riksföreningen i att journalen är hälso- och sjukvårdspersonalens arbetsredskap och inte patientens egendom.

Skälen för regeringens bedömning

Bakgrund

Som nämnts tidigare avser större delen av den personuppgiftsbehandling som äger rum inom hälso- och sjukvården personuppgifter som primärt samlas in för att dokumenteras i en patientjournal. Hur patientjournalföringen regleras är därför av avgörande betydelse för utformningen av lagstiftningen om personuppgiftsbehandlingen inom hälso- och sjukvården i stort.

Som nämnts tidigare har idén om en framtida elektronisk sammanhållen journal för varje patient som är gemensam för samtliga vårdgivare, på nationell eller regional nivå, har under de senaste åren blivit en vision som successivt fått en bredare uppslutning i den allmänna debatten om hälso- och sjukvården.

En uttalad målsättning för mycket av det utvecklingsarbete som nu pågår på olika håll och på olika nivåer är att all dokumentation i form av patientjournalföring ska kunna ske i en och samma journal som följer patienten i livets alla vårdkontakter med olika vårdgivare.

I den allmänna debatten framförs då och då ståndpunkten att journalen bör frikopplas från vårdgivaren och i stället vara knuten till och följa patienten. Det framförs också ibland åsikter om att det är patienten som bör äga eller ha förfoganderätten till uppgifterna i sin journal och att vårdgivaren närmast bör ha rollen som en förvaltare av uppgifterna åt patienten.

Nuvarande reglering

Grundläggande bestämmelser om patientjournalföring inom hälso- och sjukvården finns i patientjournallagen (1985:562). Lagen ställer bl.a. krav på journalernas utformning, innehåll och hantering. Den gäller både inom allmän och enskild hälso- och sjukvård, inklusive tandvård. Lagen är teknikneutral och gäller alldeles oberoende av om journaler förs på papper eller elektroniskt.

Förs en patientjournal elektroniskt, innebär det att den ingår i ett vårdregister. Begreppet vårdregister definieras inte närmare i lagen (1998:544) om vårdregister (vårdregisterlagen). Det är därför svårt att utläsa om en vårdgivare kan ha flera eller bara ett vårdregister i lagens mening. I praktiken är det emellertid vanligt att stora vårdgivare såsom landstingen inom sitt område har flera från varandra helt separata journalsystem som vart och ett skulle kunna betraktas som ett register.

Vårdregisterlagen är en speciallag som kompletterar men inte ersätter personuppgiftslagen (1998:204). Personuppgiftslagen gäller därför i de delar som vårdregisterlagen saknar bestämmelser (2 § vårdregisterlagen).

I personuppgiftslagen finns flera bestämmelser av betydelse för hanteringen av elektroniska patientjournaler. En viktig bestämmelse är att det alltid ska finnas en personuppgiftsansvarig, vilken torde vara identisk med vårdgivaren, som bl.a. ansvarar för att personuppgiftsbehandlingen i elektroniska patientjournaler sker lagenligt och att personuppgifterna som finns i ett vårdregister skyddas av lämpliga tekniska och organisatoriska åtgärder.

Enligt personuppgiftslagen kan personuppgiftsansvar mycket väl vara delat mellan flera fysiska eller juridiska personer. Flera kan alltså vara personuppgiftsansvariga för samma personuppgiftsbehandling.

Regleringen av patientjournalföringen hindrar i sig inte sammanhållna journaler gemensamma för flera vårdgivare. Däremot är den sekretess som i allmänhet gäller för uppgifter i patientjournaler ett rättsligt hinder i sammanhanget. Bestämmelser om sekretess och tystnadsplikt finns i sekretesslagen (1980:100) och i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Begreppet patientjournal är på en gång både ett klart avgränsat och ett diffust begrepp. Enligt 2 § patientjournallagen avses i lagen med begreppet patientjournal; ”…de anteckningar som görs och de handlingar som upprättas eller inkommer i samband med vården och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder (journalhandlingar).” Begreppet är klart avgränsat i den mening att det avser en viss form av vårddokumentation som utförs till följd av en rättslig förpliktelse att dokumentera informationen. I den bemärkelsen har begreppet juridisk relevans. Det är också klart avgränsat såtillvida att en journal endast kan avse en viss patient.

Mer diffust blir det när man ska ange var en journal börjar och slutar och vad som är en eller flera fristående journaler beträffande en patient. Inte minst gäller det vid elektronisk patientjournalföring i ett informationssystem som är gemensamt för alla vårdenheter och alla journalföringspliktiga yrkeskategorier inom en vårdgivares verksamhet. Begreppet patientjournal blir i denna bemärkelse snarast en samlingsbeteckning för alla de olika slags journalhandlingar som, helt och hållet

beroende på hur journalföringen är organiserad, med tiden samlas kring en patient.

Överväganden

En diskussion om äganderätten till journaler och till vem den är knuten ger upphov till en rad frågeställningar av juridiskt komplicerad natur. Exempelvis är begreppet äganderätt i sig tämligen diffust och beskrivs i allmänhet genom en uppräkning av de olika slags rättigheter och inte sällan även skyldigheter som är förenade med just en ifrågavarande äganderätt.

I det följande anges några principiella ståndpunkter som regeringen menar gör det olämpligt att införa en lagstiftning som ger patienterna ett slags äganderätt till journalen eller som innebär att journalen inte längre ska vara knuten till vårdgivaren.

Det är regeringens uppfattning att patientjournaler även fortsättningsvis i första hand ska vara ett arbetsinstrument för hälso- och sjukvårdspersonalen med en god och säker vård som främsta ändamål. Patientsäkerhetsskäl talar också för att de nuvarande grundläggande reglerna om bl.a. en skyldighet att föra journal som en del av hälso- och sjukvårdspersonalens medicinska yrkesansvar ska behållas.

Regeringen anser det inte lämpligt med en s.k. äganderätt för patienterna vilken skulle innefatta bestämmanderätt över huruvida journal ska föras eller inte och vad den ska innehålla, eftersom det skulle innebära oacceptabla risker för patientsäkerheten och försvåra för hälso- och sjukvårdspersonalen att utföra sitt arbete på ett professionellt och ansvarsfullt sätt. Det ska därför även i fortsättningen vara ett ansvar för vårdgivarna och verksamhetscheferna att journalföringen sker på ett lagenligt sätt och att journalerna hanteras och bevaras under betryggande former. En ordning som innebär att patienten själv förvarar och administrerar sin journal eller sina journaler i dess originalform, på elektroniskt medium eller på papper, går knappast att förena med vårdgivarnas ansvar i detta avseende.

Till detta kommer att journalen även fortsatt kommer att ha betydelse inte bara för patienten själv utan även som underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring för att ta några viktiga exempel. I dessa avseenden anser regeringen att det inte finns och inte heller bör finnas någon skillnad mellan allmän och enskild hälso- och sjukvård. Det saknar därför relevans att diskutera en ändring av tryckfrihetsförordningen för att tillförsäkra patienten en äganderätt till sin journal i de bemärkelser som här berörts.

Ett annat sätt att frikoppla journalen från vårdgivaren och i stället låta den följa patienten genom vårdapparaten skulle vara att patientens alla tidigare vårdgivare kan eller måste avhända sig sina journaluppgifter och överlämna dem direkt till nästa vårdgivare som i sin tur förvaltar journalen och fyller på den med nya uppgifter.

Regeringen anser dock att det inte är lämpligt med en ordning som innebär att vårdgivare endast förvaltar patientjournaler under begränsade perioder. Bl.a. skulle det försvåra olika slags uppföljning av vård. Vidare

kan olika slags problem uppstå då patienten har flera samtidigt pågående vårdkontakter med olika vårdgivare, t.ex. en privattandläkare och diabeteskliniken på ett landstingssjukhus. Regeringen avvisar därför en journalföring enligt den skissade ordningen.

8.2. Frågan om en obligatorisk sammanhållen helhetsjournal

Regeringens bedömning: I dag saknas grundläggande förutsättningar att inom överskådlig tid införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system bör därför inte införas.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: En majoritet av de remissinstanser som lämnat synpunkter instämmer i utredningens bedömning. Många av instanserna anser dock att frågan bör drivas vidare för att på sikt möjliggöra införandet av ett nationellt system med sammanhållen journal.

Försäkringskassan anser att det saknas en grundläggande analys och bärande skäl till varför inte ett förslag om sammanhållen journalföring lämnas. Försäkringskassan anser att drifts- och säkerhetsfördelar, både för patienter och användare och i förlängningen även för skattebetalare, torde vara avsevärda med en sammanhållen patientjournal. Försäkringskassan är därför för införande av ett nationellt system.

Statskontoret instämmer i utredningens uppfattning att det finns betydande frågor som ytterligare måste belysas innan det är möjligt att införa en för samtliga vårdgivare sammanhållen journal för varje patient.

Utredningen tar emellertid ett steg på vägen genom att införa en reglering som innebär att vårdgivare, under vissa förutsättningar, kan få direktåtkomst till elektroniska journalhandlingar och personuppgifter. Detta skulle enligt utredningen också underlätta för olika vårdgivare att på frivillig väg bygga upp olika slags system för sammanhållen journalföring. Mot bakgrund av detta vill Statskontoret framföra vikten av att den utveckling som pågår inom landstingen mot en mer sammanhållen journal noga följs upp. Uppföljning och utvärdering av sådana system bör belysas utifrån bland annat effektivitetsvinster, integritet för den enskilde och val av tekniska lösningar. En sådan uppföljning bör enligt Statskontoret kunna utgöra beslutsunderlag i frågan om och när det i så fall är lämpligt med en uppbyggnad av ett obligatoriskt totalsystem.

Cancerfonden framhåller att för stora patientgrupper, inte minst cancerpatienter som ofta vårdas inom ett flertal olika sjukvårdsdiscipliner, skulle mycket kunna vinnas genom en sammanhållen journalföring. Cancerfonden finner det märkligt att det nya lagförslaget avfärdar denna möjlighet med hänvisning till de informationstekniska svårigheter som föreligger.

Sveriges Försäkringsförbund ställer sig frågande till utredningens bedömning att livstidsjournaler kan förväntas generera en ökad efterfrågan på journaluppgifter och tillbakavisar påståendet att försäkrings-

bolagen skulle öka sin uppgiftsinsamling. I stället anser förbundet att positiva effekter kan uppstå såsom minskade kostnader för vårdgivarna genom att administrationen av intygsskrivandet blir mer effektiv. Förbundet påpekar vidare att med en bristfällig information är det risk att bolaget inte meddelar ett korrekt beslut eller till och med att utbetalning från försäkringen uteblir.

Pensionärernas Riksorganisation, PRO, anser att utredningens slutsats att inte nu föreslå ett nationellt system för ett sammanhållet journalsystem är välgrundad men PRO menar att fördelarna med ett nationellt systemet är så övertygande att frågan på något sätt måste hållas levande.

eHälsoinstitutet instämmer i utredningens bedömning av svårigheterna att skapa en obligatorisk sammanhållen journal men tycker att om inte lagen ska innehålla ett obligatorium så bör åtminstone en tidplan för genomförandet upprättas för att sätta press på att gemensamma system utvecklas i så hög takt som möjligt.

IT-Företagen säger sig vara kritiska till den analys som utredningen gjort om förutsättningarna att skapa en för samtliga vårdgivare sammanhållen journal för varje patient och anser att utredningens förslag på denna punkt inte ska, kan eller får utgöra slutpunkt i behandlingen av ärendet. IT-Företagen anser det viktigt av flera skäl att detta avsnitt i betänkandet snarast får en förnyad och fördjupad prövning med tillgång till IT-expertis.

Svensk förening för medicinsk informatik, SFMI, är i huvudsak positiva till förslagen i betänkandet men anser att regeringen i sitt förslag till riksdagen bör överväga att också gå längre och inte bara ge möjlighet för vårdgivare som önskar att skapa en modern elektronisk hantering av patientdata utan också ange vissa tvingande krav. Vidare anför SFMI att ett viktigt ändamål med patientjournalen är att bidra till kvalitetsutvecklingen med studier om resultat i relation till vårdinsatser samt att bidra till den långsiktiga kunskapsutvecklingen i den medicinska forskningen. Patientjournaler förda med hjälp av IT anser SFMI i dessa fall vara mycket effektivare instrument än pappersdokumentation.

Vårdförbundet stödjer ett system med sammanhållen journalföring men anser inte att det är nödvändigt eller ens önskvärt att all dokumentation om en vårdtagare ska vara sammanställd i ett enda dokument.

Akademikerförbundet SSR och Svensk Kuratorsförening framhåller i ett gemensamt svar att en sammanhållen journal skulle innebära att patienten förlorar den personliga integriteten vad gäller hans/hennes psykosociala situation. De anser därför att det är bra att utredningen inte föreslår att det ska införas någon skyldighet att på något område föra journal över vårdgivargränser.

Sveriges Läkarsekreterarförbund, LSF, menar att någon form av gemensam kravplattform måste ställas på de olika tekniska lösningarna så att systemen som skapas alltid kan kommunicera med andra system inom hälso- och sjukvården och att informationen alltid kan överföras digitalt.

Stroke-Riksförbundet och Hjärnskadeförbundet Hjärnkraft anser i ett gemensamt svar att det är viktigt att siktet är inställt på att uppnå en sammanhållen journal på nationell basis och att förslaget ska vara tvingande och inte som nu frivilligt. Förbunden anser det är nödvändigt att ange en tidpunkt när detta ska ha genomförts.

Svensk sjuksköterskeförening, SSF, instämmer i utredningens förslag och anser att en helhetsjournal över huvud taget inte är önskvärd utifrån integritetsaspekter.

Läkemedelsindustriföreningen, LIF, anser att målet måste vara att sträva efter införandet av en för samtliga vårdgivare sammanhållen journal i framtiden. Dessa journaler skulle, förutom att vara till nytta för den enskilde patientens vård, även vara värdefulla för forskning, kvalitetssäkring och andra typer av läkemedelsuppföljning, förutsatt att det sker med hänsyn till patientens integritet och erhållande av godkännande från etikprövningsnämnderna. LIF efterlyser en mer djupgående analys av hur man skulle kunna skapa en nationell patientjournal i framtiden.

Svensk förening för allmänmedicin, SFAM, tycker det är beklagligt att utredningen inte bedömer möjligheten att införa en helt sammanhållen journalföring som realistisk. SFAM framhåller att arbetet med att förenkla de elektroniska systemen och utöka de tekniska förutsättningarna för kommunicerbarhet inte bör avstanna. Detta gäller särskilt de områden som är väsentliga för patientsäkerheten.

Svenska föreningen för barn- och ungdomspsykiatri instämmer i att det inte bör införas någon skyldighet att införa en för samtliga vårdgivare sammanhållen journal.

Oberoende konsult i IT- och ledningsfrågor samt Ledamöter i Konsultkollegiet är kritiska till utredningens slutsats och anser i ett gemensamt svar att förslaget är otillräckligt och vilseledande rörande möjligheterna till samordning av patientdata. Utredningens påstående att förutsättningar för samordning saknas anser de är felaktigt. De anser att en samordning ger patienten en ökad valfrihet, eftersom det blir lättare att jämföra och byta vårdgivare utan att alla undersökningar måste göras om på nytt. Det enda allvarliga hindret som de ser i dagsläget är den befintliga lagstiftningen. De menar därför att utredningens förslag innebär att den existerande situationen cementeras.

Skälen för regeringens bedömning: Utgångspunkten för regeringen är att det i första hand är förbättrad patientsäkerhet som bör motivera omfattande ändringar i den nuvarande rättsliga regleringen av patientjournalföringen. Ett problem när det gäller att värdera nyttan för patientsäkerheten med en sammanhållen patientjournal är att det saknas breda studier som uppskattat vilken inverkan på patientsäkerheten som följer av den nuvarande avsaknaden av sammanhållen journalföring.

De projekt som för närvarande pågår med att knyta samman journalföringen inom ett landstings verksamhet är i huvudsak ännu under utveckling och några närmare utvärderingar i fråga om konkreta effekter på patientsäkerheten saknas. Någon analys av hur mycket patientsäkerheten kan antas öka med en för alla vårdgivare sammanhållen journal för varje patient är mot denna bakgrund inte möjlig att göra.

Regeringen instämmer dock i utredningens slutsats att man kan utgå från att ett väl fungerande informationssystem vari alla journalanteckningar om en patient samlas i strukturerad form, har en stor nyttopotential. Nytta kan antas uppstå både på det individuella planet i bemärkelsen nytta för patienten och på ett mer allmänt plan i bemärkelsen nytta för verksamheten som sådan och därmed nytta för samhället i stort. Med en journal som läggs upp för en individ i samband med hans eller

hennes födelse, alternativt vid annan första kontakt med svensk sjukvård, och sedan fylls på fram till dess patienten avlider, blir den potentiella tillgången till journalinformation optimal. Förutsatt att uppgifterna är korrekta och lätt åtkomliga torde patientsäkerheten generellt sett öka vid alla kommande vårdtillfällen. En gemensam journal ger vidare ett mångt bättre verktyg att följa upp och analysera de samlade vårdinsatserna för patienten än en patientjournal som är begränsad till den egna vårdenhetens insatser.

En sammanhållen journal torde vidare, om den administreras och organiseras väl, avlasta hälso- och sjukvårdspersonalen från mycket onödigt administrativt arbete. En nationell, eller en regional, livslång patientjournal i ett sammanhållet informationssystem med strukturerade journalanteckningar enligt en enhetlig begrepps- och terminologiapparat skulle därutöver vara mycket värdefull som basmaterial för all slags forskning, kvalitetssäkring av hälso- och sjukvården, ekonomisk uppföljning och liknande sekundära ändamål.

Även om antagandena ovan om nyttan med en för samtliga vårdgivare sammanhållen journal för varje patient skulle vara korrekta, krävs enligt regeringens mening att en rad förutsättningar är uppfyllda för att det ska vara lämpligt och rimligt med en författningsreglering som föreskriver en sådan sammanhållen journalföring som en obligatorisk ordning eller som huvudregel.

Man måste i sammanhanget betänka att hälso- och sjukvården har en organisatoriskt komplicerad och splittrad struktur. När man talar om en för alla vårdgivare gemensam journal, är det fråga om väldigt många vårdgivare med sinsemellan vitt skilda omfattning och verksamhetsinriktning allt från det stora landstinget till den lilla privata vårdgivaren. Det är ett stort antal privata vårdgivare som måste knytas samman i ett med landstingen och kommunerna gemensamt journalföringssystem för att man ska kunna tala om en för samtliga vårdgivare gemensam journal. Vidare är en grundläggande förutsättning för ett gemensamt system att all journalföring sker elektroniskt. I dag är datoriseringen av hälso- och sjukvården långt ifrån heltäckande.

Även om en utveckling pågår på många håll med att bygga upp ITsystem som kommer att kunna hantera en samlad journalföring anser regeringen inte att tiden är mogen för att nu lagstiftningsvägen tvinga vårdgivarna till en gemensam elektronisk journalföring, vare sig på nationell nivå eller på landstingsnivå. Skälen härför är flera. Ett tungt vägande skäl är att det för närvarande saknas tekniska förutsättningar för att knyta samman vårdgivarnas befintliga journalföringssystem i ett informationssystem eller att ersätta dem med ett helt nytt gemensamt elektroniskt system. Troligen skulle man lagstiftningsvägen i viss utsträckning kunna påskynda utvecklingen, men det är ändå högst osäkert när det blir tekniskt möjligt att, med rimliga ekonomiska investeringar, på bred front samla ens landstingens totala journalföring i ett system för sammanhållna journaler som uppfyller de säkerhetskrav m.m. som måste ställas på hanteringen. Än längre tid kommer det att ta innan det blir möjligt att också infoga kommunerna och alla tusentals privata vårdgivare i ett sådant system.

Ett annat tungt vägande skäl mot en tvångslagstiftning är att det ännu saknas ett för hälso- och sjukvården enhetligt journalspråk. En unison

begrepps- och terminologiapparat finns inte. Vidare saknas en gemensam metod för hur uppgifterna ska dokumenteras i en journal på ett strukturerat och konsekvent sätt. Utan enhetlighet i dessa avseenden är det i hög grad tveksamt om en sammanhållen journal ger någon nämnvärd nytta. Tvärtom kan bristande enhetlighet befaras medföra nya risker för patientsäkerheten genom att tidigare dokumentation missförstås vid en senare vårdkontakt i den mån personalen vid det senare tillfället alls vågar lägga tidigare uppgifter till grund för egna bedömningar och beslut.

Effektivitetsvinsterna av en sammanhållen journal är vidare beroende av att det finns sofistikerade sök- och sammanställningsmöjligheter som vid varje specifikt vårdtillfälle automatiskt skiljer ut vad som är relevant information i det givna ögonblicket. I annat fall är risken stor för att vårdpersonalen drunknar i en oöverblickbar informationsmängd avseende en enda patients samtliga vårdtillfällen.

Någon lösning på de problem som här påtalats finns inte ännu. Utan en sådan lösning anser regeringen att behovet av en för alla vårdgivare gemensam journal inte överväger de nackdelar som de nämnda bristerna genererar.

Regeringens förslag är således att det inte införs någon författningsreglering som utgår från en för alla vårdgivare sammanhållen journal, vare sig som obligatorium eller som huvudregel. Det sagda gäller såväl sammanhållen journal på nationell nivå som på landstingsnivå.

8.3. En obligatorisk sammanhållen journal av mer begränsat slag

Regeringens bedömning: Regeringen bedömer att det för närvarande inte bör införas någon skyldighet att på något område föra journal över vårdgivargränser.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens bedömning.

Skälen för regeringens bedömning: Utredningen har övervägt om det finns anledning att föreslå en mer begränsad obligatorisk patientjournal baserad på något befintligt projekt eller register, t.ex. Carelinks Nationella Patientöversikt eller den databas för elektronisk vaccinationsjournalföring och patientadministration som bedrivs i projektet

SVEVAC, lett av Smittskyddsinstitutet. Ett ytterligare alternativ som analyserats av utredningen är en obligatorisk och heltäckande läkemedelsjournal för både förskrivningar och ordinationer. Utredningen har funnit att dessa alternativ kräver vissa tekniska, organisatoriska och andra förutsättningar som gör dem svåra att införa som en obligatorisk ordning inom överskådlig tid. Mot bakgrund av vad som framkommit instämmer regeringen i utredningens slutsats att de projekt som nu pågår och även resultaten av den nya läkemedelsförteckning som Apoteket AB för enligt lagen (2005:258) om läkemedelsförteckning bör följas upp och

utvärderas, innan en obligatorisk och sammanhållen patientjournal av mer begränsat slag kan införas.

8.4. Möjligheter till sammanhållen journalföring över vårdgivargränser

Regeringens förslag: Regler föreslås som ger vårdgivare en möjlighet att på frivillig basis föra journal i en gemensam databas eller i annat gränsöverskridande elektroniskt system.

Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag med den ändringen att begreppet elektronisk åtkomst används i stället för begreppet direktåtkomst.

Remissinstanserna: De remissinstanser som lämnat synpunkter är i huvudsak positiva till utredningens förslag.

Verket för innovationssystem, Vinnova, tycker att utredningens betänkande har en positiv inställning till IT i vården men ett något passivt förhållningssätt som kan få utvecklingen att gå i en onödigt långsam takt.

Vinnova anser att en förutsättning för en sammanhållen patientjournal är att den sker elektroniskt men att den inte bör baseras på en gemensam databas.

Pensionärernas Riksorganisation, PRO, ser det som positivt att sammanhållen journalföring kommer till stånd och tillstyrker sålunda förslaget. Nackdelen med frivillighet är enligt PRO att ett sådant system blir ojämlikt nationellt och är beroende på de olika huvudmännens ambitioner och prioriteringar medan det finns starka önskemål om att liknande system genomförs över hela landet. PRO anser att ett alternativ till styrande lagstiftning kan vara att Socialstyrelsen och Sveriges

Kommuner och Landsting tillsammans rekommenderar och påverkar samtliga huvudmän att genomföra systemet.

Svensk sjuksköterskeförening, SSF, önskar en angiven tidsram för när journal i en gemensam databas eller i annat gränsöverskridande elektroniskt system ska vara genomfört. Detta skulle enligt SFF påskynda utvecklingsarbetet för att bl.a. komma överens om enhetlig informationsstruktur, gemensam modell för dokumentation, begrepp, termer etc. För framtiden anser SFF också att det är nödvändigt att överföring av information mellan hälso- och sjukvården och kommunernas omsorg blir möjlig.

Vårdförbundet anför att eftersom förslaget om en sammanhållen journalföring motiveras av bl.a. patientsäkerhetsskäl, så anser förbundet att det är högst angeläget att vårdgivarna verkligen tar ansvar för genomförandet av förslaget. Om det skulle visa sig att vårdgivarna inte bygger upp system för sammanhållen journalföring inom rimlig tid, måste lagstiftaren överväga tvingande reglering och/eller andra former av åtgärder och insatser för att det ska bli verklighet.

Skälen för regeringens förslag: Regeringen är positiv till mycket av det utvecklingsarbete som nu pågår med att skapa förutsättningar för elektroniska journalsystem och effektivare informationsutbyte inom hälso- och sjukvården. Det är dock regeringens bedömning att utveck-

lingen gagnas av att detta arbete sker utan statlig styrning i form av tvingande lagstiftning. Att genom lagstiftning initiera en sammanhållen journalföring med olika slags rättsliga krav, riskerar att låsa fast utvecklingen vid lösningar som inte är hållbara på sikt eller som inte smidigt kan anpassas till skilda slag av verksamheter eller till förändringar i dessa. En bättre väg att gå är att genom lagstiftning öppna möjligheter till sammanhållen journalföring baserad på frivillig samverkan mellan sjukvårdshuvudmännen och övriga vårdgivare. Regeringen föreslår därför en författningsreglering som uttryckligen tillåter att journalföring sker sammanhållet även över vårdgivargränser. Förslaget innebär vidare att regleringen ger ett tydligt stöd för fortsatt uppbyggnad av informationssystem varigenom smidigt elektroniskt informationsutbyte mellan vårdgivare kan äga rum.

En annan viktig del i förslaget är att en sammanhållen journalföring inte behöver avse all journalföring utan alternativt kan avse delar av det som ska dokumenteras i en patientjournal. Även sådana gränsöverskridande patientöversikter som innehåller både journalinformation och mer administrativa personuppgifter kommer att kunna byggas upp med stöd av patientdatalagens bestämmelser om sammanhållen journalföring.

9. En ny reglering av patientjournalföring

9.1. Patientjournalens syfte

Regeringens förslag: En bestämmelse om syftet med journalföring införs. I första hand är syftet med att föra patientjournal att bidra till en god och säker vård av patienten. En patientjournal ska även vara en informationskälla för patienten, för uppföljning och utveckling av verksamheten, för tillsyn och rättsliga krav, för uppgiftsskyldighet enligt lag samt för forskning.

Utredningens förslag: Regeringens förslag överensstämmer inte med utredningens. Utredningen har föreslagit att det inte ska införas någon bestämmelse i patientdatalagen som preciserar patientjournalens syfte.

Regeringen har däremot funnit skäl att införa en sådan bestämmelse.

Remissinstanserna: Flera av de instanser som yttrat sig i frågan anser att det behövs en bestämmelse som anger syftet med journalföringen.

Justitieombudsmannen, JO, refererar till att Socialstyrelsen tidigare i sin skrivelse till regeringen, Patientjournallagen – en översyn med förslag till författningsändringar (S2001/11390/HS), framfört uppfattningen att syftena med journalföringen bör framgå direkt av författningstexten i patientjournallagen. Förslaget motiverades med att utvecklingen under senare år har medfört ett ökat fokus även på andra syften med journalföringen än en god och säker vård av patienten och att det är väsentligt att hälso- och sjukvårdens personal förstår och accepterar journalföringens flerfaldiga syften. JO hänvisar till sitt tidigare yttrande (JO:s dnr 2143-2002) i vilket JO instämde i styrelsens bedömning. JO anser att skälen som talar för införande av en sådan bestämmelse i nuvarande patientjournallagen är än starkare om den förslagna patientdatalagen

genomförs. Också Försäkringskassan anser att det finns orsak att ange journalföringens syfte. Socialstyrelsen anser att angivande av syftet med en patientjournal bl.a. lägger grunden för en mer ändamålsenlig vårddokumentation samt underlättar framtagande av föreskrifter kring ändamålsenlig vårddokumentation.

Förbundet Sveriges arbetsterapeuter anser att det finns ett värde i att syftet preciseras, det vill säga att tillgodose patientens intresse av en god och säker vård. Landstinget Dalarna anser att patientjournalen är en viktig handling för utbildning och uppföljningsarbete utifrån bl. a. patientsäkerhetsaspekter och att det är viktigt att anonymiserade uppgifter i journaler utan hinder kan användas i sådant arbete.

Skälen för regeringens förslag: Patientjournalföringen är av fundamental betydelse för vård- och behandlingsarbetet inom hälso- och sjukvården. Dokumentationen av olika åtgärder kan vara helt avgörande för patientsäkerheten. Om vårdgivare kan ha elektronisk åtkomst till varandras journaler får dokumentationen rimligen ännu större betydelse än i dag. Det är mot denna bakgrund viktigt att regleringen på området är enkel och att den är anpassad till framtida förhållanden.

Vid sammanhållen journalföring blir det än viktigare att journalspråket är enhetligt, dvs. att de begrepp och termer som används är gemensamma. En viktig utgångspunkt är också att regleringen inte föranleder onödigt administrativt arbete för hälso- och sjukvårdspersonalen. Samma journaluppgifter bör om möjligt bara noteras en gång eftersom dubbeldokumentation tynger journalerna och gör dem svårtillgängliga. En enhetlig struktur underlättar för den som ska journalföra något att konstatera huruvida en uppgift redan finns antecknad i journalen och alltså inte behöver journalföras på nytt. Detta förutsätter att journalföringen framöver blir mer enhetlig.

Socialstyrelsen arbetar med att ta fram en enhetlig informationsstruktur inom hälso- och sjukvården med bl.a. gemensamma standarder. En förutsättning för sammanhållen journalföring är att det finns en enhetlig informationsstruktur, dvs. att dokumentationen följer vissa gemensamma regler som gör det möjligt för de olika vårdgivarnas IT-system att effektivt hantera informationen. En annan förutsättning för sammanhållen journalföring är att det finns en för hälso- och sjukvården gemensam begrepps- och terminologiapparat. Den nuvarande patientjournallagen är teknikneutral och gäller alldeles oberoende av huruvida journaler förs på papper eller elektroniskt. Eftersom det under överskådlig tid kommer att förekomma att journaler förs helt eller delvis på papper bör därför bestämmelserna även fortsättningsvis vara teknikoberoende.

Det ligger i sakens natur att en lagreglering på området inte kan göras uttömmande. Verksamheten på hälso- och sjukvårdsområdet är för komplex för att man i lag ska kunna reglera journalföringen i detalj. Lagstiftningen kan därför bara innehålla de väsentligaste reglerna. Det måste därför bli fråga om en ramlagstiftning. Lagreglerna måste liksom i dag kompletteras med bl.a. föreskrifter om hur journaler mer i detalj ska föras.

Patientjournalen är i första hand ett arbetsinstrument för hälso- och sjukvårdspersonalen. Så som remissinstanserna framfört är journalens grundläggande syfte att tillgodose patientens intresse av en god och säker

vård. Journalen kommer emellertid även fortsatt att ha betydelse inte bara för patienten själv utan även som t.ex. underlag vid verksamhetsuppföljning, kontroll och tillsyn eller i rättsliga sammanhang samt som källmaterial vid forskning och kvalitetssäkring. För att detta ska tydliggöras i den föreslagna ramlagstiftningen anser regeringen att en bestämmelse om syftet med journalföringen ska införas.

Hänvisningar till S9-1

  • Prop. 2007/08:126: Avsnitt 21.1

9.2. Skyldighet att föra patientjournal och utfärda intyg

Regeringens förslag: Patientjournallagens (1985:562) bestämmelser om kravet på journalföring, vem som är skyldig att föra patientjournal och skyldigheten att på begäran av patienten utfärda intyg om vården förs över oförändrade till patientdatalagen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Göteborgs kommun påpekar att om bestämmelsen om skyldighet att utfärda intyg överförs oförändrad till patientdatalagen kan det vara problematiskt för legitimerad personal att utfärda intyg på grund av andra vårdgivares journalanteckningar.

Förbundet Sveriges arbetsterapeuter anser att det är beklagligt att de materiella bestämmelserna inte har prövats. En viktig fråga är om det bör finnas möjlighet att i vissa fall meddela undantag från skyldigheten att föra journal. Allt fler arbetsterapeuter får anställning utanför den traditionella hälso- och sjukvården, t.ex. inom Arbetsmarknadsverket och

Försäkringskassan. Journalföringsplikt har därför börjat ifrågasättas. Olika tolkningar av bestämmelserna medför att många av förbundets medlemmar känner att de bryter mot sina skyldigheter som legitimerad hälso- och sjukvårdspersonal när de tvingas föra journaler i egna system som inte uppfyller patientjournallagens krav.

Sveriges Psykologförbund anser det angeläget att bestämmelsen i 9 § första stycket andra punkten patientjournallagen inte förs över oförändrad eftersom bestämmelsen sedan flera år är obsolet. Sedan 1999 är enbart legitimerad psykolog och legitimerad psykoterapeut behörig till anställning såsom psykolog respektive psykoterapeut inom landstingets och kommunens hälso- och sjukvård, enligt 6 § behörighetsförordningen (1998:1518). Det saknas således anledning att i dag ha någon särreglering för dessa grupper.

Socialstyrelsen anser att bestämmelserna i 9 § patientjournallagen om journalföringsskyldighet bör ses över för att främja en mer enhetligare och ändamålsenlig vårddokumentation. Socialstyrelsen menar att skyldigheten att föra journal inte i första hand ska ses som en skyldighet för vissa grupper utan som en skyldighet för var och en som är ansvarig för patientens vård och behandling. Utöver legitimerade yrkesutövare kan det lokalt finnas behov av att även andra yrkesutövare dokumenterar sina patientkontakter. Det finns även yrkesgrupper med legitimation som har arbetsuppgifter i gränslandet mellan hälso- och sjukvård och annan verksamhet. Det gäller t.ex. apotekare, receptarier, psykologer och

psykoterapeuter. En möjlighet till undantag från journalföringsplikten borde därför övervägas.

Skälen för regeringens förslag: Socialstyrelsens förslag när det gäller vilken hälso- och sjukvårdspersonal m.fl. som ska vara skyldig enligt lag att föra patientjournal innebär, en inte obetydlig utvidgning av gällande rätt. Utredaren har inte funnit det möjligt att närmare utreda frågan om att utvidga eller meddela undantag från skyldighet från att föra journal.

Regeringen instämmer därför i utredningens bedömning att bestämmelserna om skyldighet att föra journal ska föras över i sak oförändrade till patientdatalagen.

Hänvisningar till S9-2

9.3. Patientjournalens innehåll

Regeringens förslag: I patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i lagen (1998:544) om vårdregister (vårdregisterlagen) och patientjournallagen om vilken information som en patientjournal får innehålla. Patientjournallagens bestämmelse om att information och samtycke som har lämnats enligt lagen (2002:297) om biobanker inom hälso- och sjukvården m.m. (biobankslagen), ska dokumenteras i patientjournalen, flyttas till biobankslagen.

I patientdatalagen införs en bestämmelse som innebär att om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, ska detta antecknas i journalen.

Patientjournallagens bestämmelse om signeringskrav förs över oförändrad till patientdatalagen. Däremot införs en bestämmelse som bemyndigar regeringen eller den myndighet som regeringen bestämmer att få meddela föreskrifter om undantag från signeringskravet.

Patientjournallagens bestämmelse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården ska utformas så att patientens integritet respekteras, utvidgas till att avse inte bara uppgifter i journalhandlingar utan all utformning och behandling av personuppgifter inom hälso- och sjukvården. Vidare ska inte bara patienters integritet respekteras utan även övriga registrerades integritet.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Socialstyrelsen tillstyrker förslaget om undantag från signeringskravet.

Styrelsen tillstyrker vidare utredningens förslag om bestämmelser om patientjournalens innehåll.

Riksarkivet anser att kravet på signering bör kvarstå framför allt för patientens säkerhet men också då dokumentationen från sjukvården har en stor betydelse även i övrigt för bl.a. förvaltningen, rättssäkerheten och forskningen. Den av utredningen föreslagna patientdatalagen kommer enligt Riksarkivets bedömning att underlätta det teknikskifte till elektronisk journalföring som nu är på gång. Riksarkivet anser att det är

angeläget att man genomför teknikskiftet fullt ut. En elektronisk journal ska signeras elektroniskt. Att ta ut journalen på papper från IT-systemet för att signera med en påskrift upplevs självklart som betungande. Det finns många former av elektroniska signaturer. Bedömning av vilken grad av säkerhet som krävs bör ske på myndighetsnivå.

Region Skåne anser att en fullständig sammanställning över vilka uppgifter en patientjournal ska innehålla bör finnas i patientdatalagen.

Landstinget Västmanland anser att det måste framgå av lagtexten exakt vilka uppgifter enligt krav från andra lagar som ska antecknas.

Landstinget Västerbotten menar att signering av journalhandling har den praktiska innebörden att den som signerat därmed tagit ansvar för att den information som signerats också lett till åtgärder som följer av informationen i journaltexten, av röntgenutlåtandet etc. I ett sammanhållet journalsystem har signeringen en än större betydelse. Möjligheten att regeringen eller den myndighet som regeringen bestämmer kan meddela undantag från signeringskravet bör därför hanteras mot denna bakgrund.

Svenska Läkaresällskapet framför synpunkten att journalen i första hand ska vara ett arbetsinstrument för hälso- och sjukvårdspersonalen.

Patienten har inte rätt att avgöra vad som ska stå, men har rätt att få infört vad patienten inte tycker är riktigt. Journalen bör även vara sökbar både på sökord och fritext, så att information lätt kan hittas.

Svensk sjuksköterskeförening anser att signeringskravet ska finnas kvar som i nuvarande lagstiftning.

Vårdförbundet motsätter sig undantag från signeringskravet.

Signeringskravet är motiverat av patientsäkerhetsskäl. Genom signeringen bekräftar man att innehållet är korrekt och man får också en möjlighet att reflektera över det man skrivit. Om det ändå genomförs undantag förutsätter Vårdförbundet att det sker först efter noggranna överväganden av vilka konsekvenser det kan ha för säkerheten i vården. De praktiska olägenheterna med signering torde därför inte vara något större problem i framtiden.

Svensk förening för medicinsk informatik anser att när det gäller signering av uppgifter som lämnar ett system bör övervägas krav på avancerade elektroniska signaturer. Föreningen påpekar också att evidensbaserad sjukvård med kliniska riktlinjer och vårdprogram från olika källor blir allt viktigare delar av en god vård. Den ökande kunskapen gör det möjligt att ställa krav på användning av sådana. En viktig utveckling sker av datoriserade sådana kunskapsstöd. En förutsättning för ett effektivt utnyttjande är dock att patientdokumentationen förs med hjälp av IT.

Svenska Diabetesförbundet anser att det bör utredas vidare om huruvida någon form av kvalitetssäkring i journalföring kan införas.

Skälen för regeringens förslag: Av patientjournallagens förarbeten framgår att det grundläggande syftet med patientjournalen är en god och säker vård av patienten. Journalen ska i första hand kunna användas av hälso- och sjukvårdspersonalen som ett arbetsinstrument för planering, genomförande och uppföljning av vården. Journalföringen ger också samhället möjlighet att utöva tillsyn över hälso- och sjukvården.

Journaluppgifter utnyttjas också i flera andra för hälso- och sjukvården viktiga sammanhang, t.ex. i klinisk och epidemiologisk forskning.

Patientjournallagens bestämmelser utgör minimiregler och anger alltså vad som minst måste dokumenteras i en patientjournal. Därutöver finns bestämmelser i andra författningar om vad journalen ska innehålla. Patientjournallagen innehåller inga bestämmelser som anger hur mycket information som en patientjournal får innehålla. Av 5 § lagen (1998:544) om vårdregister (vårdregisterlagen) följer dock att en elektroniskt förd patientjournal endast får innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. Den får även innehålla andra uppgifter som antecknas i och för vården av patienter samt uppgifter som behövs för den ekonomiadministration som föranleds av vård i enskilda fall. Mot bakgrund av det sagda föreslås därför att det i patientdatalagen införs en bestämmelse som motsvarar nuvarande reglering i vårdregisterlagen om hur mycket information som en patientjournal får innehålla. Bestämmelsen innebär att en journal, liksom i dag, får utöver vad som sägs i patientdatalagen innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. Därmed avses även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Vidare får journalen innehålla andra uppgifter som behövs i och för vården av patienter eller som behövs för sådan administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall. Bestämmelsen kommer således att avse uppgifter som omfattas av personuppgiftsbehandling för ändamålet vårddokumentation. För tydlighetens skull bör här nämnas att uppgift om att det finns spärrade patientuppgifter utgör vårddokumentation och således får finnas i en patientjournal.

Bestämmelserna i patientdatalagen ska endast ange de grundläggande kraven på vad en patientjournal ska innehålla och särregler om journalers innehåll ska finnas i andra författningar. Regeringen föreslår därför att 3 § tredje stycket 6 patientjournallagen om att information och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) ska dokumenteras i patientjournalen flyttas till biobankslagen.

För att rättelse av en journaluppgift på patientens begäran ska ske krävs att den som ansvarar för uppgiften är ense om felaktigheten. Patienten har även en möjlighet att få journaluppgifter förstörda men detta är möjligt endast i undantagsfall. Det behövs därför ett komplement till bestämmelserna om rättelse och journalförstöring. Regeringen föreslår därför en ny bestämmelse om att det i journalen ska antecknas om en patient anser att en uppgift är oriktig eller missvisande. En sådan bestämmelse bör ingå bland de grundläggande reglerna om patientjournalföring. Det har i utredningen framförts vissa farhågor om att bestämmelsen kan komma att leda till merarbete för journalföraren samt även risk för att journalföraren, med tanke härpå, avstår från att journalföra viss information som man anar att patienten kan ha invändningar emot. I vilken omfattning patienter kommer att vilja anmärka på journalanteckningar sammanhänger inte minst med i vilken mån patienter faktiskt utnyttjar sin rätt att få läsa sin journal. Bestämmelsen om att patientens anmärkningar ska antecknas kan lika gärna innebära en lättnad för journalföraren såsom ett sätt att lösa en meningsskiljaktighet med

Pr

patienten om innehållet i journalen. Regeringen utgår ifrån att bestämmelsen i sig inte kommer att leda till något merarbete eller att journalförare avstår från att journalföra viss information som skulle ha antecknats i journalen. Det kan poängteras att förslaget inte innebär någon rätt för patienten att själv skriva i journalen.

op. 2007/08:126

De patientsäkerhetsskäl som anfördes vid införandet av signeringskravet gäller fortfarande. Dessa skäl gäller än mer vid anteckningar i stora eller kompatibla journalsystem där anteckningarna kan komma att läggas till grund för behandlingsåtgärder och medicinering av andra vårdenheter än den där anteckningarna gjorts. I sådana fall är det av särskild vikt att uppgifterna dessförinnan har kontrollästs så att risken för missförstånd och felskrivningar kan minimeras. Det lagstadgade kravet på att journalanteckningar, om inte synnerligt hinder möter, ska signeras av den som ansvarar för uppgiften ska därför inte ändras. Det kan däremot finnas skäl att göra undantag från signeringskravet när man väger nyttan av signeringen mot det merarbete som signeringskravet skulle innebära. Bedömningen av när signering kan åsidosättas ska överlåtas till regeringen eller den myndighet som regeringen bestämmer. Vid bedömningen när undantag kan medges bör risker för patientsäkerheten eller andra viktiga faktorer som talar för signering övervägas.

Som framgått innehåller patientjournallagen bestämmelser om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården ska utformas så, att patientens integritet respekteras. Detta krav bör fortfarande gälla och utvidgas till att avse all utformning och behandling av personuppgifter inom hälso- och sjukvården. Kravet bör vidare utvidgas till att gälla även övriga registrerades integritet.

9.4. Språket i journalen

Regeringens förslag: De journalhandlingar som upprättas inom hälso- och sjukvården ska även fortsättningsvis som huvudregel vara skrivna på svenska språket. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en journalhandling får vara skriven på ett annat språk än svenska.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Sveriges Läkarsekreterarförbund tillstyrker förslaget men vill samtidigt framhålla att ett problem som inte tagits upp är de förkortningar som florerar i patientjournalerna. Både vedertagna förkortningar, men framför allt de som vårdgivaren själv hittar på och som endast den som skrivit journalen förstår, gör att journalen blir både svårförståelig och svårläst. Detta bör belysas och även åtgärdas.

Skälen för regeringens förslag: Patientjournallagens bestämmelse om språket vid journalföring utgör en av flera bestämmelser som anger vilka krav som lagen uppställer när det gäller patientjournalens innehåll, utformning och hantering. En bestämmelse om på vilket språk en journal som huvudregel bör föras är viktig dels från patientsäkerhetssynpunkt,

dels med hänsyn till strävan efter enhetlighet i journalföringen. Det blir än viktigare om man skapar omfattande journalsystem eftersom journalanteckningarna då kan komma att läsas och behövas förstås av fler personer inom hälso- och sjukvården än i dag. Risken för att tidigare journalanteckningar missförstås vid en senare vårdkontakt kan komma att öka om dessa anteckningar förts på annat språk än svenska. Dessutom kan det antas att möjligheterna till uppföljning skulle försämras.

Såvitt framkommit finns det inget behov av att utvidga möjligheterna att föra journal på andra språk än svenska med anledning av att utländsk hälso- och sjukvårdspersonal tar anställning i Sverige. När det gäller hälso- och sjukvårdspersonal med yrkeskvalifikationer från andra EU/EES-länder eller Schweiz anges dessutom i Europaparlamentets och rådets direktivet 2005/36/EG av den 7 september 2005 om erkännande av yrkeskvalifikationer (EUT L 255, 30.9.2005 s. 22, Celex 32005L0036) att personer som får sina yrkeskvalifikationer erkända ska ha nödvändiga språkkunskaper för att utöva sin yrkesverksamhet i den mottagande medlemsstaten. Detta medför att de ska kunna föra journaler på svenska. Inte heller med anledning av att t.ex. EU-medborgare söker vård i Sverige finns behov av att utvidga möjligheterna att föra journal på andra språk än svenska. Patienter som inte behärskar svenska språket och som vill ta del av sina journaler får redan i dag journaluppgifterna översatta. Dessutom kan vårdpersonal som är verksam här i Sverige knappast förväntas föra journal på annat språk än svenska enbart av den anledningen att patienten inte behärskar svenska språket.

Enligt regeringens bedömning skulle det inte gagna patientsäkerheten att ändra bestämmelsen om att journalspråket som huvudregel ska vara svenska. Utvecklingen av den gränsöverskridande vården bör emellertid följas. Om det visar sig att problem uppstår på grund av kravet på att journalhandlingar som huvudregel ska vara skrivna på svenska språket, får frågan på nytt övervägas. Regeringen eller den myndighet som regeringen bestämmer får meddela undantag från huvudregeln om att en journalhandling ska vara skriven på svenska. I första hand bör det liksom i dag ankomma på Socialstyrelsen att meddela sådana föreskrifter.

Hänvisningar till S9-4

9.5. Rättelse av journaluppgifter

Regeringens förslag: Bestämmelserna i patientjournallagen och i vårdregisterlagen om rättelse av uppgifter i en journalhandling och av personuppgifter ska inte ändras utan föras över i sak oförändrade till patientdatalagen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Malmö tingsrätt menar att det inte framgår tillräckligt tydligt att syftet med bestämmelserna är att göra personuppgiftslagens (1998:204) stadganden om rättelse och skadestånd tillämpliga även när uppgifter behandlats i strid med patientdatalagen. Socialstyrelsen anser att det i första hand bör ankomma på patienten att söka vinna gehör för en rättelse

av felaktiga uppgifter i en patientjournal. Vid rättelse av en felaktighet ska det enligt gällande rätt anges i anteckningen när rättelsen har skett och vem som har gjort rättelsen. Vid behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad gäller bestämmelserna om rättelse i 28 § personuppgiftslagen. Socialstyrelsen föreslår att bestämmelsen om rättelse flyttas och placeras före bestämmelsen om förstöring av uppgifter i en patientjournal. På så sätt blir det tydligare att rättelse är den åtgärd som först ska övervägas. Enligt

Region Skåne borde respektive landsting/region ha möjlighet att på eget initiativ utplåna felaktiga uppgifter när det är uppenbart att personal inom hälso- och sjukvården infört felaktiga uppgifter i journalen.

Skälen för regeringens förslag: Av 6 § patientjournallagen följer att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än efter särskilt förordnande av Socialstyrelsen enligt 17 § patientjournallagen. Av samma bestämmelse följer att det vid rättelse av en felaktighet ska anges när rättelsen har skett och vem som har gjort den. Samma krav på hur rättelser ska utföras gäller för både den enskilda och den allmänna hälso- och sjukvården. Kraven innebär bl.a. att en rättelse i en journalhandling alltid måste göras så att den ursprungliga texten klart framgår också efter rättelsen. Det är inte tillåtet att utplåna den ursprungliga texten. Av 13 § vårdregisterlagen följer att 6 § patientjournallagen också gäller vid rättelse av uppgifter i ett vårdregister som grundar sig på dokumentationsskyldighet enligt patientjournallagen.

Bestämmelserna anger hur rättelser ska utföras. Det finns inga bestämmelser som anger när rättelser måste göras. Felaktigheter i journalhandlingar måste givetvis rättas när de upptäcks. Det är ur patientsäkerhetssynpunkt mycket viktigt att uppgifter i journalhandlingar är riktiga. När det gäller patientjournaler som omfattas av personuppgiftslagen anges i 28 § nämnda lag att den personuppgiftsansvarige är skyldig att på begäran av den registrerade snarast rätta, blockera eller utplåna sådana uppgifter som inte har behandlats i enlighet med personuppgiftslagen eller föreskrifter som har utfärdats med stöd av den lagen. För elektroniskt förda journaler följer av 13 § vårdregisterlagen att denna skyldighet även gäller beträffande personuppgifter som behandlats i strid med lagen. Detta gäller inte om åtgärderna skulle strida mot bestämmelserna i patientjournallagen. Utöver skyldigheten att vidta rättelse på den registrerades begäran måste den personuppgiftsansvarige enligt bestämmelserna i 9 § första stycket personuppgiftslagen självmant vara aktiv för att se till att behandlade uppgifter är korrekta samt att felaktigheter rättas.

Enligt regeringens bedömning finns det inte några behov att ändra de nuvarande bestämmelserna om rättelse. Dessa bör således föras över oförändrade till patientdatalagen.

Hänvisningar till S9-5

9.6. Bevarande av journalhandlingar

Regeringens förslag: En bestämmelse om att journalhandlingar ska bevaras minst tio år införs. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa journalhandlingar ska bevaras under längre tid än tio år.

Utredningens förslag: Utredningens förslag överensstämmer inte med regeringens förslag. Utredningen föreslår att patientjournallagens bestämmelser om bevarande av journalhandling under tre år inte bör ändras.

Remissinstanserna: Majoriteten av remissinstanserna har invändningar mot utredningens förslag om bevarande av journalhandlingar. Den nuvarande bevarandetiden om tre år anses vara för kort.

Justitieombudsmannen, Riksarkivet, Östersunds kommun, Stockholms läns landsting, Landstinget i Uppsala län, Landstinget Kronoberg, Region Skåne, Landstinget i Jönköping, Örebro läns landsting, Landstinget Västernorrland, Landstinget Jämtland, Landstinget Västerbotten, Sveriges Försäkringsförbund, Svensk förening för medicinsk informatik, Sveriges läkarförbund, Vårdförbundet, Förbundet Sveriges arbetsterapeuter, Svensk sjuksköterskeförening och Svenska föreningen för barn- och ungdomspsykiatri anser att journalhandlingar bör bevaras i minst tio år. Barnombudsmannen har framfört att barn och ungdomars journalhandlingar kan vara viktiga att finnas tillgängliga för eventuella framtida brottsutredningar där barn blivit utsatta för t.ex. sexuella övergrepp. Stiftelsen för vård- och allergiforskning anser att det ur ett forskningsperspektiv är viktigt att kunna utföra retrospektiva studier och därför behövs en längre bevarandetid. Vetenskapsrådet menar att en journalhandlingar behöver bevaras längre än tre år för att kunna bidra till en ökad kunskap om t.ex. läkemedelsskador eller uppföljning av medicinska interventioner. Socialstyrelsen, Sveriges Kommuner och Landsting, Landstinget i Värmland och Landstinget Gävleborg framhåller att förslaget om en sammanhållen journal bygger på att vårdgivare ska ha möjlighet att läsa uppgifter från andra vårdgivare utan att kopiera uppgifterna i den egna journalen. En kort bevarandetid skulle motverka detta och därmed hela syftet med en sammanhållen journal. För att det ska vara möjligt att följa upp behandlingar och bl.a. skadeståndsärenden menar Malmö kommun, Göteborgs kommun, Luleå kommun, Västra Götalands läns landsting, Sahlgrenska Universitetssjukhuset och Sveriges Läkarsekreterarförbund att journaluppgifter borde bevaras längre än tre år. Landstinget i Östergötland anser att parterna i en framtida sammanhållen journalföring tillsammans får lösa frågan om bevarandetid. Däremot finns det behov av att frågan om format av arkivering för långtidsförvaring löses medan Landstinget Västmanland anser att en journalhandling ska bevaras i minst 15 år eftersom bl.a. spårbarheten i blodlagen och läkemedelslagen är 15 år. Karolinska Universitetssjukhuset menar att alla journaler borde bevaras tills vidare och att det med dagens IT-teknik inte kan vara några utrymmesproblem. Statens medicinsk-etiska råds uppfattning är att en treårig bevarandetid av journalhandlingar är för kort. Generellt kan det finnas etiska

invändningar mot att spara personuppgifter längre än nödvändigt men vad gäller patientjournaler anser rådet att det är motiverat. En bevarandetid på tio år motiveras av patientsäkerhet och medicinsk kvalitet. Dessutom underlättas patientens möjlighet att föra talan mot vårdgivaren.

Svenska Läkaresällskapet anser att bevarandetiden ska vara minst tio år och att bild och funktionsmedicinska underlag ska betraktas som en del av den sammanhängande journalen och ha en nationell tillgänglighet. Reumatikerförbundet menar att det för kroniskt sjuka krävs en livslång förvaring eftersom sjukdomsförlopp kan vara av snabbare eller långsammare natur. Det kan vara svårt att avgöra vad som kan ha betydelse i framtiden för en patient. Stroke-Riksförbundet och Hjärnskadeförbundet Hjärnkraft anser att journalhandlingar bör bevaras i åtminstone 20-25 år eftersom behandling och rehabilitering tar lång tid. Svensk förening för medicinsk radiologi menar att den medicinska utvecklingen och forskningen blir begränsad med en arkiveringstid på tre år. Arkiveringstiden för journalhandlingar med tillhörande bilddiagnostiskt material borde förlängas minst till tio år gärna till 30 år.

Skälen för regeringens förslag: I 8 § första stycket patientjournallagen föreskrivs att en journalhandling ska bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Bestämmelsen gäller såväl allmän som enskild hälso- och sjukvård. Av förordningen (1986:203) om förlängd bevarandetid för vissa journalhandlingar inom hälso- och sjukvården framgår när journalhandlingar ska bevaras i minst tio år. Det är journalhandlingar rörande patient vars sak prövas eller har prövats enligt vissa rättsliga förfaranden, journalhandlingar inom tandvården som kan ha betydelse för rättsodontologisk identifiering samt journalhandlingar rörande patienter födda vissa datum varje månad och som inte kan uteslutas ha betydelse för forskningsändamål. Längre bevarandetider kan också vara föreskrivna i andra lagar.

I 8 § andra stycket patientjournallagen anges att för journalhandlingar som utgör allmän handling gäller, med de undantag som följer av första stycket, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen. Bestämmelsen innebär att när den minsta tiden för bevarande har löpt ut beträffande sådana journaler som är allmänna handlingar träder arkivlagens huvudregler om bevarande och gallring in. Dessa innebär en presumtion för bevarande men medgivande till gallring på bestämda villkor.

I fråga om elektroniskt förda patientjournaler inom den enskilda hälso- och sjukvården följer av 9 § första stycket och i tredje stycket personuppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål.

I ett särskilt yttrande i utredningens betänkande anmäler flera av de i utredningen ingående experterna en avvikande uppfattning angående utredningens förslag om bevarandetid för patientjournaler. Experterna anför att dagens regel om att journaler inte behöver sparas längre tid än tre år efter sista anteckningen, ter sig alltför kort t.ex. för behandling av miljörelaterade sjukdomar, uppföljning av cancer och implantat. För visst journalmaterial t.ex. vid läkemedelsskador som visar sig efter lång tid är

en längre bevarandetid också den enda möjligheten för patienten att kunna få veta vilka preparat som vederbörande haft.

Samma skäl gör sig gällande när det gäller skadestånd där preskriptionstiden är tio år, vissa brott där upplysningsskyldighet enligt 14 kap 2 § jfr med 15 kap 5 § sekretesslagen (1980:100) föreligger för vårdpersonal, ur forskningssynpunkt m.m. Vidare anför experterna att genom att förslaget tar sikte på att journaler förs med stöd av IT finns heller inte längre de tidigare begränsande utrymmesskälen mot längre bevarandetid kvar.

Även flertalet remissinstanser har uppgett att en bevarandetid om tre år efter det att den sista anteckningen förts in är för kort. Ändamålen med en sammanhållen journalföring skulle kunna motverkas eftersom de vårdgivare som ingår i en sammanhållen journalföring inte kan vara säkra på att de journaluppgifter de tagit del av från en annan vårdgivare och som kanske ligger till grund för den fortsatta behandlingen finns kvar. Detta motverkar syftet att stärka patientsäkerheten och höja den medicinska kvaliteten. Detta motverkar även tanken vid sammanhållen journalföring att undvika dubbeldokumentation. Det har även framförts andra skäl att förlänga den treåriga bevarandetiden såsom vikten att ha tillgång till uppgifter ur journalhandlingar för forskning, uppföljning och utvärdering. Även detta är aspekter som är viktiga för patientsäkerheten och den medicinska kvaliteten.

Utifrån vad som anförs i det särskilda yttrandet i utredningens betänkande och utifrån de synpunkter som framkommit vid remisshanteringen finner regeringen skäl att föreslå att den kortaste bevarandetiden för patientjournaler ska vara tio år efter sista anteckningen. Det vore ett allt för drastiskt steg att utöka bevarandetiden för alla patientjournaler från tre till femton år. Det är inte klarlagt vad en sådan utvidgning skulle medföra vad gäller utökade volymer för själva bevarandet. Däremot finns det inget hinder att bevara journalhandlingar längre tid en tio år.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år. Genom att den lagstadgade bevarandetiden förlängs från tre till tio år torde dock bemyndigandet inte behöva utnyttjas i någon större utsträckning. Längre bevarandetider kan även vara föreskrivna i andra lagar.

Hänvisningar till S9-6

  • Prop. 2007/08:126: Avsnitt 21.1

9.7. Förstörande av journalen

Regeringens förslag: Patientjournallagens bestämmelser om journalförstöring förs med ett undantag över oförändrade till patientdatalagen. Undantaget innebär att kravet tas bort på att den som ansvarar för en journalhandling, ska beredas tillfälle att yttra sig innan ansökan om förstöring slutligt prövas. Bestämmelse om att det ska antecknas i journalen när och till vem en journalhandling lämnas ut förs över oförändrad till patientdatalagen.

Utredningens förslag: Överensstämmer i princip med regeringens förslag.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag. Socialstyrelsen har anfört att skyldigheten att den som ansvarar för en journalhandling ska beredas tillfälle att yttra sig innan ansökan om förstöring prövas slutligt bör tas bort. Västra

Götalands läns landsting och Sahlgrenska Universitetssjukhuset föreslår att även en vårdgivare ska ha möjlighet att ansöka hos Socialstyrelsen om att helt eller delvis utplåna en journal. Detta kan t.ex. bli aktuellt om man hos vårdgivaren upptäcker att en uppgift av misstag förts in i fel journal. Sveriges Försäkringsförbund saknar en tydlighet vad gäller tolkningen av de olika förutsättningarna för att få en ansökan om journalförstöring beviljad. Allt fler ansökningar motiveras av att uppgiften hindrar personen att teckna försäkring alternativt från att erhålla försäkringsersättning. Swedish Medtech påpekar att förstörd journalhandling, eller uppgift i sådan, ibland finns som kopia i ett back-up system. För att lagen i detta avseende ska vara teknikneutral måste problemet med att uppgifter finns kvar i back-up system hanteras. Riksförbundet för social och mental hälsa anser att regelverket för förstörande av journaluppgifter som innehåller felaktiga eller kränkande uppgifter bör ses över.

Skälen för regeringens förslag: Enligt 17 § patientjournallagen får

Socialstyrelsen, efter ansökan av en patient eller annan person som omnämns i en patientjournal, under vissa förutsättningar förordna att en journal helt eller delvis ska förstöras. För detta krävs dels att den enskilde anför godtagbara skäl för ansökan, dels att journalen eller den del därav som ska förstöras uppenbarligen inte behövs för patientens vård och dels att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen. Genom inskränkningen att det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen ges en möjlighet att beakta olika samhällsintressen som avser journalmaterialet – t.ex. insynen, forskningen, ekonomin i vården. Det överlämnas till Socialstyrelsen att ange i vilken utsträckning samhället har behov av att journalmaterialet bevaras. Av 13 § vårdregisterlagen följer att den nämnda bestämmelsen i patientjournallagen också gäller vid förstöring av uppgifter i ett vårdregister som grundar sig på dokumentationsskyldighet enligt patientjournallagen. Beslutet om förstöring kan avse hela journalen eller en del därav.

Bestämmelsen om journalförstöring innebär att samtliga journalhandlingar som innehåller uppgifter som enligt beslut ska förstöras omfattas av beslutet. Förstöring ska ske av både originalhandlingen och kopior eller avskrifter och detta oberoende av om handlingarna förvaras inom hälso- och sjukvården eller utanför, t.ex. hos Försäkringskassan eller domstol. I de fall en journalhandling finns hos någon annan än den som ansvarar för patientjournalen måste följaktligen handlingen begäras åter.

Vid förstöring av uppgifter i elektroniska journaler finns uppgifterna ibland kvar i ett back-up system. Av Socialstyrelsens föreskrifter och allmänna råd om patientjournallagen följer att journalsystemen ska vara så utformade att det finns möjlighet att förstöra hela eller delar av patientjournalen. Det är därför o ckså av vikt att det finns rutiner för att säkerställa att förstöringen även omfattar eventuella uppgifter i back-up kopior.

Regeringen anser att bestämmelserna om förstöring inte ska ändras i huvudsak, eftersom möjligheten att få en journal förstörd är av stor betydelse för skyddet av patienternas integritet. Denna möjlighet får än större betydelse om man skapar stora sjukhusgemensamma journaler eller om flera vårdgivare deltar i sammanhållen journalföring, eftersom journalanteckningarna då kan komma att läsas av fler personer inom hälso- och sjukvården än i dag. Enligt 17 § patientjournallagen ska alltid den som ansvarar för en journalhandling beredas tillfälle att yttra sig innan Socialstyrelsen slutligt prövar ansökan om förstöring. Ett yttrande från den som ansvarar för journalen har betydelse för bedömning av om uppgifterna behövs för patientens vård. Däremot kan det vara obehövligt att hämta in yttrande från vården vid fall då det är uppenbart att en ansökan om förstöring av uppgifter i patientjournalen kommer att avslås på grund av att det finns skäl från allmän synpunkt att bevara uppgifterna. Av detta skäl och med hänsyn till att förvaltningslagens (1986:223) regler om handläggning av ärenden även är tillämpliga föreslås att skyldigheten att den som ansvarar för en journalhandling alltid bereds tillfälle att yttra sig innan beslut om förstöring tas bort. Regeringen föreslår därför i stället att den som ansvarar för en journalhandling får beredas tillfälle att yttra sig innan ansökan om förstöring slutligen prövas. Bestämmelsen om överklagande av Socialstyrelsens beslut förs in i ett särskilt kapitel, se avsnitt 18.

I 7 § andra stycket patientjournallagen föreskrivs att om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det antecknas i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Dessa anteckningar syftar bl.a. till att underlätta arbetet med att spåra journalhandlingar. Regeringen föreslår att bestämmelsen förs över oförändrad till patientdatalagen.

9.8. Omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården samt återlämnande av omhändertagna journaler

Regeringens förslag: Patientjournallagens bestämmelser om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler och om utlämnande av uppgifter ur omhändertagna journalhandlingar ska föras över oförändrade till patientdatalagen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag. Landstinget Västmanland påpekar dock att det inte finns något förslag om vem som ska bära kostnaderna för bl.a. hämtning, ordnandet av journaler och utlämnande vare sig i pappersformat eller digitalt när det gäller omhändertagande av journaler i den enskilda vården. Socialstyrelsen avstyrker å sin sida utredningens förslag med motiveringen att det finns ett särskilt omhändertagande av journaler i enskild hälso- och sjukvård som inte regleras uttryckligen i patient-

journallagen. Det är när enskild vårdgivare vid överlåtelser övertar en verksamhet inklusive patienter, lokaler, informationssystem och patientjournaler från en annan vårdgivare. Det rör sig i dessa situationer inte om överlåtelse av enstaka patientjournaler utan överlåtelse av hela journalarkiv. Detta är numera inte en ovanlig situation och borde därför enligt Socialstyrelsen regleras i lag.

Skälen för regeringens förslag: Utredningen har i sin analys av frågan kommit till slutsatsen att det inte framkommit några skäl som talar för att ändra de nu gällande bestämmelserna. Socialstyrelsen har påtalat att det finns ett behov av att lagreglera överlåtelse av journalarkiv i enskild hälso- och sjukvård. Denna fråga har inte varit föremål för utredningens översyn. Frågan måste utredas närmare och kan därför inte behandlas i detta sammanhang. Regeringen instämmer i utredningens bedömning och föreslår därför att de nu gällande bestämmelserna i patientjournallagen ska föras över oförändrade. Bestämmelsen om överklagande av Socialstyrelsens beslut förs in i ett särskilt kapitel, se avsnitt 18.

9.9. Ytterligare föreskrifter

Regeringens bedömning: Det behövs inte några delegationsbestämmelser utöver de som i dag finns i patientjournallagen och den som föreslås i fråga om signeringskravet.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Ingen remissinstans har haft någon erinran mot utredningens bedömning.

Skälen för regeringens bedömning: I 18 § patientjournallagen anges att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från två av kraven på journalens innehåll. Ett av undantagen har redan berörts i det föregående, nämligen i fråga om journalspråket, se avsnitt 9.4. Det andra undantaget gäller kravet på att i journalen anteckna patientens identitet. I sistnämnt fall får undantag föreskrivas vid provtagning för viss sjukdom. Med stöd av denna delegationsbestämmelse har regeringen i förordningen (1986:198) om provtagning vid infektion av HIV medgett patienten rätt att på begäran få ta prov anonymt. Vidare får enligt 19 § patientjournallagen regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om en journalhandlings innehåll, utformning och hantering. Regeringen har delegerat denna föreskriftsrätt till Socialstyrelsen genom förordningen (1985:796) med vissa bemyndiganden för Socialstyrelsen att meddela föreskrifter m.m. Slutligen finns en bestämmelse i 20 § patientjournallagen om att regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara. Regeringen har dessutom i avsnitt 9.3 föreslagit att regeringen eller den myndighet som

regeringen bestämmer ska få meddela föreskrifter om undantag från signeringskravet.

Arbete med framtagandet av en enhetlig informationsstruktur samt normering av begrepp och termer kommer att utmynna i diverse föreskrifter. Dessa kommer enligt regeringens uppfattning att kunna meddelas med stöd av delegationsbestämmelsen i nuvarande 19 § patientjournallagen.

Bestämmelsen om inre sekretess föreskriver hur journalhandlingar ska hanteras och förvaras. Bemyndigandet i 19 § patientjournallagen omfattar således denna bestämmelse. Socialstyrelsen har också i sina föreskrifter och allmänna råd om patientjournallagen utfärdat föreskrifter i dessa frågor. Bestämmelsen om inre sekretess kommer inte att ingå i patientdatalagens kapitel om skyldigheten att föra patientjournal men det betyder inte att delegationen inskränks. Det kommer således alltjämt vara möjligt för Socialstyrelsen att utfärda föreskrifter om hur journalhandlingar ska hanteras och förvaras.

Med anledning av att de nuvarande delegationsbestämmelserna täcker det behov av delegation som föreligger eller kan komma att föreligga finns det enligt regeringens bedömning inte behov av att ändra nuvarande bestämmelser om detta, förutom den föreslagna ändringen vad gäller signeringskravet.

Hänvisningar till S9-9

  • Prop. 2007/08:126: Avsnitt 21.1

10. Närmare om sammanhållen journalföring

Hänvisningar till S10

  • Prop. 2007/08:126: Avsnitt 21.1

10.1. Innebörden av sammanhållen journalföring

Regeringens förslag: En vårdgivare får under vissa förutsättningar ha direktåtkomst till elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation hos en annan vårdgivare.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Justitieombudsmannen, JO, anser att förslaget om sammanhållen journalföring synes från teoretiska utgångspunkter vara väl övervägt.

Emellertid inställer sig enligt JO frågan vilka problem som uppstår i den praktiska tillämpningen. Den föreslagna regleringen ställer i olika avseenden stora krav både på hälso- och sjukvårdspersonalen och på patienterna. JO ser svårigheter bl.a. när det gäller hur personalen ska, på ett tillfredsställande sätt, kunna informera om vad den sammanhållna journalföringen innebär och om att patienten har möjlighet att vid varje vårdepisod motsätta sig att vårddokumentation om honom eller henne görs tillgänglig för andra vårdgivare. Förfarandet måste vara enkelt, men det är självfallet av största betydelse att det samtidigt uppfyller de krav på rättssäkerhet som ställs i sammanhanget. JO anser därför att förslaget om sammanhållen journalföring behöver bli föremål för ytterligare överväganden i det fortsatta lagstiftningsarbetet. JO anser att det i vart fall synes föreligga behov av att regeringen eller den myndighet som

regeringen bestämmer ges möjlighet att meddela kompletterande bestämmelser.

Socialstyrelsen anser att det föreligger behov av ändringar i terminologin samt ytterligare termer i den föreslagna lagen i klargörande syfte. Bl.a. anser Socialstyrelsen att det bör övervägas att låta begreppen sammanhållen journalföring och direktåtkomst/elektronisk åtkomst ersättas med sammanhållen patientjournal respektive elektronisk åtkomst.

Östersunds kommun anser att en sammanhållen journalföring medför ökad patientsäkerhet genom att viktig information direkt blir tillgänglig när journalanteckning finns. Kommunen anser att ett arbete för att utveckla gemensamma begrepp och termer bör prioriteras för att underlätta för hälso- och sjukvårdspersonalen och för att undvika missförstånd.

Sahlgrenska Universitetssjukhuset, SU, tycker att det är en fördel att utredningens förslag möjliggör olika modeller för sammanhållen journalföring. Man kan enligt SU tänka sig att vissa delar av journalen, som kan antas ha intresse vid vård hos andra vårdgivare, ges en gemensam utformning hos alla vårdgivare. Den sammanhållna journalföringen behöver då till att börja med endast omfatta dessa delar. SU anser att då sammanhållen journal skapas, bör alla vårdgivare som ingår i en aktuell vårdkedja eller vårdprocess medverka i den sammanhållna journalen med relevanta journaluppgifter. Enligt SU:s uppfattning borde direktåtkomst vid sammanhållen journalföring tillåtas även för vetenskapliga ändamål, när detta prövats enligt lagen (2003:460) om etikprövning av forskning som avser människor.

Svenska Läkaresällskapet framhåller vikten av att informationen måste kunna passera över vårdgivargränser med tanke på att många multisjuka vårdas hos flera olika vårdgivare.

Svensk förening för medicinsk radiologi önskar ett förtydligande om att det bild- och funktions medicinska underlaget ligger med i begreppet sammanhållen journal.

Statens medicinsk-etiska råd, SMER, ifrågasätter förhållandet att förutsättningarna för direktåtkomst skiljer sig beroende på om patienten befinner sig i sitt eget landsting eller hos en annan vårdgivare. Rådet vill också aktualisera frågan om journaluppgifter som finns tillgängliga i nordiska eller andra internationella patientregister.

Vidare har ett antal remissinstanser påpekat andra för deras verksamhet eventuellt problematiska konsekvenser av förslaget. Apoteket AB påtalar att konsekvenser av sammanhållen journalföring och enskilds möjlighet att spärra uppgifter uppkommer för Apotekets verksamhetsklassning som aktör inom hälso- och sjukvårdens område. Detaljhandel med läkemedel är definierat som hälso- och sjukvård i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Däremot räknas apoteksverksamhet inte som hälso- och sjukvård enligt hälso- och sjukvårdslagen (1982:763). Det existerar således olika uppfattningar om huruvida Apotekets hela eller delar av verksamheten gällande detaljhandel med läkemedel är att betrakta som hälso- och sjukvård.

Om Apoteket räknas som hälso- och sjukvård blir överföring av uppgifter mellan förskrivare och apotek en intern överföring inom hälso- och sjukvården. Informationsöverföring kan då ske så länge samtycke finns från patient. Om en patient spärrat sina journaluppgifter och

därefter får ett e-recept av sin läkare eller om patienten av apoteket får sitt läkemedel utbytt till utbytbar produkt inom läkemedelsförmånen uppstår en situation där spärren kan göra att det finns ett hinder för informationsöverföring. För denna situation behövs en reglering gällande möjlighet att, när spärr finns, göra undantag för överföring av vissa uppgifter inom hälso- och sjukvården eller uppgifter till en viss mottagare t.ex. apoteksverksamhet.

Om Apoteksverksamhet inte räknas som hälso- och sjukvård innebär detta att lagligt hinder finns för att göra en extern överföring dvs. utanför hälso- och sjukvården för förskrivare t.ex. översändande av e-recept från förskrivare inom hälso- och sjukvården till apoteket även när samtycke från patient finns. Även för denna situation behövs en reglering gällande möjlighet att, när spärr finns, göra undantag för överföring av vissa uppgifter inom hälso- och sjukvården eller uppgifter till en viss mottagare t.ex. apoteksverksamhet.

Skälen för regeringens förslag: Regeringens förslag är att en reglering införs som innebär att vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Förslaget handlar således om en reglering som tillåter ett elektroniskt system för att göra vårddokumentation åtkomlig över vårdgivargränser genom ett visst sätt för ett elektroniskt utlämnande. Begreppet sammanhållen journalföring föreslås att användas som benämning för detta system. Genom systemet med sammanhållen journalföring ges möjlighet för sjukvårdshuvudmännen och de privata vårdgivarna att på frivillig väg bygga upp system för elektroniskt utlämnande i gemensamma databaser eller andra gränsöverskridande informationssystem för vårddokumentation.

Patientdatalagen ska enligt 1 kap. 1 § tillämpas vid en vårdgivares behandling av personuppgifter inom den individinriktade hälso- och sjukvården. Definitionen av hälso- och sjukvård framgår av 1 kap. 3 § patientdatalagen. Det framgår även av 6 kap. 1 § patientdatalagen att vårdgivarna får ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för vårddokumentation inom hälso- och sjukvården, se 2 kap. 4 § i denna lag. Verksamhet som exempelvis avser detaljhandel med läkemedel omfattas därmed inte av bestämmelserna om sammanhållen journalföring och kan därmed inte ingå i ett sådant system med stöd av patientdatalagen. Utlämnandet av uppgifter i läkemedelsförteckningen till den registrerade eller till förskrivare inom hälso- och sjukvården ska även fortsättningsvis regleras av lagen (2005:258) om läkemedelsförteckning och alltså inte av patientdatalagen, se avsnitt 6.2.

I avsnitt 7.6 har föreslagits att direktåtkomst bara ska vara tillåten i den utsträckning som medges i lag eller förordning. Regeringen föreslår därför att det i patientdatalagen tas in en bestämmelse som tillåter direktåtkomst vid sammanhållen journalföring. Direktåtkomst används i patientdatalagen för att beskriva en viss form av elektroniskt utlämnande när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av – automatiserad tillgång – och att mottagaren av informationen inte kan påverka innehållet i det informationssystem eller register som informationen lämnas ut från. Mottagaren har möjlighet att ta del av innehållet i

t.ex. en elektronisk handling utan att för den skull kunna ändra i eller tillföra ny information till de uppgifter som utlämnaren ansvarar för. Se närmare om begreppets innebörd i avsnitt 7.6.

Enligt regeringens förslag får sammanhållen journalföring omfatta inte bara journalhandlingar utan även annan vårddokumentation, se avsnitt 7.1. Av detta framgår bl.a. att det i ett system för sammanhållen journalföring inte finns något hinder mot att vårdgivarna upprättar gemensamma patientöversikter med t.ex. sammanställningar av viss basinformation, sökregister m.m.

Hur systemen kommer att byggas upp får vårdgivarna själva bestämma. Den reglering av förutsättningar för direktåtkomsten som föreslås i det följande, kommer dock att innebära vissa krav på systemen. Med det avses att systemen tekniskt och organisatoriskt måste utformas och anpassas så att dessa krav kan uppfyllas.

Det kan anmärkas att förslagen i det följande om förutsättningar för sammanhållen journalföring inte innebär några inskränkningar i förhållande till de möjligheter som i dag finns till överföring, elektroniskt eller manuellt, av journalhandlingar eller andra patientuppgifter mellan vårdgivare. De krav som uppställs för den sammanhållna journalföringen är helt knutna till att utlämnandet sker genom direktåtkomst. För informationsutbyte på andra sätt kommer i princip samma regler att gälla som i dag.

Det grundläggande systemet för patientjournalföring behöver inte förändras för att vara tillämpligt vid sammanhållen journalföring. Vad som menas med patientjournal och journalhandling har berörts tidigare bl.a. i avsnitt 9. Här kan tillfogas att patientjournalen närmast är en sammanhållande term för den samling av sinsemellan fristående journalhandlingar som har det gemensamt att de i vidare mening berör vården av en patient, se t.ex. prop. 1994/85:189 s. 15. För själva begreppet patientjournal innebär det inte någon avgörande skillnad om journalhandlingar samlas från flera vårdgivare eller inte. En patientjournal kan med andra ord bestå av journalhandlingar från en enda eller från flera vårdgivare. Regeringen ser alltså inte anledning att införa en helt ny juridisk begreppsfigur för det senare fallet.

Fortfarande är emellertid ansvaret för själva journalföringen i första hand knutet till den journalföringspliktiga yrkesutövaren. Varje elektronisk journalhandling kommer genom förslaget även i fortsättningen att vara knuten till en viss vårdgivare som ansvarar för handlingar som upprättas eller inkommer i den egna verksamheten.

Hänvisningar till S10-1

  • Prop. 2007/08:126: Avsnitt 21.2

10.2. Patientens inflytande m.m. vid sammanhållen journalföring

Regeringens förslag: Patienten får en rätt att efter att ha blivit informerad om vad sammanhållen journalföring innebär, motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Sådana uppgifter ska spärras. Undantag från föregående regel föreslås dock. Patienten har inte rätt att motsätta sig att uppgift om att det finns spärrade uppgifter om patienten samt uppgift om vilken vårdgivare som har spärrat uppgifterna, får göras tillgänglig för andra vårdgivare genom sammanhållen journalföring. En annan vårdgivare får dock endast vid en akut nödsituation, ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna.

Vårdnadshavare till ett barn har vidare inte rätt att spärra uppgifter om barnet. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna.

För att en vårdgivare ska få bereda sig tillgång till ospärrade uppgifter krävs att uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med och att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården samt att patienten samtycker till det. Beträffande ett barns uppgifter gäller inte kravet på samtycke.

Med patientens samtycke får direktåtkomst också användas om det behövs för att på patientens begäran utfärda intyg om patientens pågående eller tidigare vård.

En vårdgivare får dock också ha direktåtkomst till spärrade eller ospärrade uppgifter om en patient vid sammanhållen journalföring om patienten inte kan begära att spärren hävs eller om patientens samtycke när det gäller ospärrade uppgifter inte kan inhämtas och det föreligger fara för patientens liv eller det annars föreligger allvarligt risk för dennes hälsa (en akut nödsituation). Vid en sådan situation får vårdgivaren ta del av uppgiften om vilken vårdgivare som har spärrat uppgifterna alternativt gjort de ospärrade uppgifterna tillgängliga. Om vårdgivaren med anledning av denna uppgift bedömer att uppgifterna om patienten kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla uppgifterna. Avseende spärrade uppgifter om en patient krävs att vårdgivaren begär att den vårdgivare som har spärrat uppgifterna häver spärren.

Direktåtkomst vid sammanhållen journalföring får därutöver inte användas under andra förutsättningar, inte ens med patientens samtycke.

Utredningens förslag: Överensstämmer till största delen med regeringens förslag. Regeringens förslag innebär att det inte är möjligt för vårdnadshavare att spärra sina barns vårddokumentation. I takt med barnets stigande ålder och utveckling får dock barnet själv spärra uppgifterna. Regeringens förslag innebär också att spärrar i en journal kan hävas i vissa nödsituationer.

Remissinstanserna: Ett mycket stort antal remissinstanser har lämnat synpunkter på denna del av förslaget till ny lag. En majoritet av

instanserna instämmer i förslaget men förordar undantag som hindrar vårdnadshavare att spärra uppgifter i sina barns journal samt framhåller behovet av att kunna häva en spärr i journalen om detta behövs för vård i en akutsituation. I huvudsak instämmer remissinstanserna därmed i vad som anförs i de särskilda yttranden som lämnats i betänkandet. Förslagen om hur dessa undantag ska genomföras varierar dock mellan remissinstanserna. Många av remissinstanserna framhåller också behovet av god information till patienten om vad det innebär att stå utanför systemet med samlad journal samt vad en spärr i journalen kan innebära för möjligheterna att ge vård i en akutsituation. Några remissinstanser har även påpekat vikten av att s.k. varningsinformation, t.ex. uppgifter om allergi eller smitta inte bör kunna spärras av patienten. Vidare har några instanser tagit upp frågan om att lagstiftningen bör utformas så att möjligheten finns att forcera en spärr i journalen för att kunna rädda patienten vid en krissituation där patienten själv är oförmögen att ge sitt medgivande.

Bland andra Justitieombudsmannen, Barnombudsmannen, Socialstyrelsen och Sveriges Kommuner och Landsting, samt ett stort antal landsting, kommuner, intresseförbund och sjukhus är av åsikten att ett undantag bör göras från utredningens förslag vad gäller vårdnadshavares möjlighet att spärra uppgifter i sina barns journal. Remissinstanserna instämmer här i det särskilda yttrande som lämnats av Anders Ekbom, Gösta Jedberger, Gabriella Kollander Fållby, Ulla Lönnqvist Endre och Göran Stiernstedt, i vilket föreslås att journaluppgifter om skador hos barnet inte bör kunna spärras om de behövs för att kunna bedöma om anmälningsskyldighet föreligger till sociala myndigheter så att dessa kan ingripa till barnets skydd.

T.ex. anser Justitieombudsmannen, JO, att det är önskvärt med ett system där vårdnadshavare i vissa fall undantas från rätten att låta spärra uppgifter om sina barn men konstaterar att det torde vara mycket svårt att i lagtext formulera en sådan särskild undantagsbestämmelse. JO vill därför inte förespråka en särreglering för det aktuella fallet men framhåller att det är av stor vikt att det sker en uppföljning av systemet, inte minst vad avser barnperspektivet. JO framhåller vidare att det är angeläget att de olika frågor som rör underårigas ställning i hälso- och sjukvården blir föremål för en samlad översyn.

Barnombudsmannen, BO, ställer sig också tveksam till utredningens förslag i den del som innebär att vårdnadshavares har möjlighet att spärra sina barns journaler. BO anser att detta kraftigt försämrar barns och ungas skydd mot försummelse, övergrepp och våld och att en sådan spärr försvårar för vårdpersonal att göra en bedömning om anmälningsskyldighet enligt 14 kap. 1 § socialtjänstlagen (2001:453). Vidare påpekar BO att en annan konsekvens som spärrningsmöjligheten kan leda till är att de barn vars vårdnadshavare utnyttjar denna möjlighet går miste om de fördelar som det kan innebära att ha en sammanhållen journalföring. Barnombudsmannen vill här betona att i de fall då avvägningar och prioriteringar måste göras mellan de centrala målen att, å ena sidan bibehålla ett starkt integritetsskydd för patienter, och å andra sidan stärka patientsäkerheten, väger den senare målsättningen tyngre utifrån ett barnperspektiv.

Socialstyrelsen anser å sin sida att det är en angelägen uppgift att närmare följa upp och utreda konsekvenser i synnerhet för barns och patienters integritetsskydd och patientsäkerhet med anledning av den föreslagna rätten för patienten att spärra patientjournaler.

Sveriges Kommuner och Landsting, SKL, anser att större hänsyn borde tagits till möjligheterna för vårdpersonal att ta del av uppgifter om skador på barn i ett sammanhållet journalsystem så att vårdens möjligheter att upptäcka sådana förhållanden som är anmälningspliktiga till socialtjänsten förbättrats. Även Länsrätten i Uppsala län framför att det är viktigt att den anmälningsskyldighet som finns enligt socialtjänstlagen inte försvåras av möjligheten för vårdnadshavare att spärra uppgifter i sina barns journal. Även om spärrade uppgifter i sig kan utgöra en misstanke om att ett barn far illa anser länsrätten att denna fråga bör utredas närmare.

Stockholms stad, Göteborgs kommun, Region Skåne, Landstinget Halland, Örebro läns landsting, Landstinget Dalarna, Karolinska Universitetssjukhuset, Sveriges läkarförbund, Svensk sjuksköterskeförening m.fl. anser att journaluppgifter inte ska kunna spärras om de behövs för att bedöma anmälningsskyldighet till sociala myndigheter.

Vidare framhåller en stor mängd remissinstanser behovet av att kunna häva en spärr vid en akut nödsituation där tillgång till uppgifter är avgörande för att rädda patientens liv samt att s.k. varningsinformation, t.ex. smitta eller överkänslighet, ska framgå i journalen och inte kunna spärras. Exempel på instans som framför sådana synpunkter är Sveriges

Kommuner och Landsting, SKL, som anser att möjligheten för en patient att i ett sammanhållet journalsystem spärra även så kallad varningsinformation direkt motverkar en säker vård. Om förslaget i denna del blir lag anser SKL att Socialstyrelsen bör få i uppdrag att noga följa detta så att kunskap vinns på nationell nivå om patientsäkerhetseffekterna. Även Nacka kommun instämmer i det särskilda yttrandet om att det personliga självbestämmandet bör begränsas när en persons liv är i fara eller riskerar allvarlig invaliditet och alla fakta behövs för att personalen inom akutverksamhet ska kunna göra en räddande insats. Göteborgs kommun anser att en möjlighet att bryta spärren då en patient på grund av sitt hälsotillstånd saknar förmåga att agera, hade kunnat öka patientsäkerheten. Nordmalings kommun anser att en svaghet i förslaget är att varningssymboler ej kommer vårdpersonalen tillgodo om patienten väljer att spärra sin journal. Luleå kommun anser att om patientens liv är i fara eller det föreligger risk för allvarlig invaliditet, ska spärren kunna forceras, liksom när inte längre autonomi föreligger t.ex. vid demenssjukdom. Stockholms läns landsting anser att det vid en akutsituation bör gå att forcera en spärr i förhållande till annan vårdgivare. I vart fall är det angeläget att lagstiftningen inte förhindrar att vårdgivare som samverkar i ett system för sammanhållen journalföring får behandla spårinformation om spärrar, med syftet att i en akutsituation kunna skicka en begäran om utlämnande till den vårdgivare/myndighet som förvarar spärrad dokumentation. Detta kan visa sig särskilt angeläget i ett stort landsting som Stockholms läns landsting, som till stor del låter olika vårdgivare utföra hälso- och sjukvården. Socialstyrelsen å sin sida framför även andra skäl för möjligheten att häva en spärr. Myndighetens anser att om förslaget om spärrar genomförs så bör undantag göras så att patienten

inte kan spärra uppgifter om myndighetsåtgärder enligt smittskyddslagen (2004:168). Vidare framhåller Socialstyrelsen vikten av informationsskyldighet i situationer när patienten motsätter sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare i en sammanhållen journalföring. Sveriges läkarförbund stödjer förslaget om ny patientdatalag, men ansluter sig till de synpunkter som avgetts i det särskilda yttrandet angående spärr av barns journaler, utökad bevarandetid samt forcering av spärrad journal i akut situation.

Många av remissinstanserna framhåller vikten av en god information och tydliga regler. Till exempel anser Statens medicinsk-etiska råd,

SMER, att möjligheten för patienten att spärra vissa uppgifter ur etisk synvinkel är viktigt men för att det ska bli en reell möjlighet krävs saklig och objektiv information från vårdgivaren om patientens rättigheter.

SMER anser att det tydligt bör framgå i patientdatalagen att sådan information till patienten är en förutsättning för sammanhållen journalföring.

STROKE-Riksförbundet och Hjärnskadeförbundet Hjärnkraft anser att om en patients liv är i fara eller att det föreligger risk för allvarlig invaliditet så ska spärrade uppgifter kunna forceras. Förbunden anser att det är viktigt att närstående kan ta sådana beslut om patienten i fråga ej är vid medvetande.

Ytterligare några remissinstanser har synpunkter på utformningen av själva lagstiftningen. Bl. a. Swedish Medtech vill understryka att skyddet för spärrade uppgifter måste upprätthållas genom att det i lag tydligt stadgas förbud om otillåten åtkomst och att skyddet för spärrade uppgifter inte är avhängigt att datasystemen hindrar åtkomst. Swedish Medtech påpekar vidare att otillåten åtkomst inte får bli ett datatekniskt problem utan måste vara ett rättsligt problem i och med att den som bereder sig åtkomst begår en lagöverträdelse. Utan ett starkt skydd i lagstiftning eller föreskrifter, vilka förbjuder ett olagligt agerande i form av otillbörlig åtkomst av vårdpersonal till uppgifter, riskerar skyddet för spärrade uppgifter att bli avhängigt datatekniska skyddssystem vilkas utformning, skyddsnivå och tillförlitlighet kan variera mellan vårdenheterna i landet. För övrigt anser Swedish Medtech att det är önskvärt att det görs en mer fullständig analys av de konsekvenser förslaget får med avseende på ökad administration i och med behörighetshanteringen, patientspärrar och dylikt.

Skälen för regeringens förslag

Utgångspunkter

Ett vanligt sätt att beskriva begreppet personlig integritet i samband med informationshantering är att den enskilde ska kunna kontrollera spridningen av uppgifter om sig själv eller ha en rätt att bestämma vilka uppgifter om sig själv som han eller hon vill dela med sig till andra. En grundläggande principfråga i detta sammanhang är därför i vad mån patienten bör ha något inflytande över den potentiellt sett breda tillgänglighet till journaluppgifter som informationstekniken möjliggör.

Regeringen anser det eftersträvansvärt att den nya regleringen och möjligheterna till sammanhållen journalföring inte kombineras med restriktioner som tvingar vårdgivarna att hålla sig med parallella, separata informationssystem; ett system för patienter som accepterar den sammanhållna journalföringen och ett system för dem som inte gör det. I stället bör regleringen ta sikte på hur tillgängligheten till journalinformation och annan vårddokumentation ska kunna begränsas i syfte att skydda patienters personliga integritet.

En viktig utgångspunkt i denna fråga är att hitta lösningar som är praktiskt smidiga och så pass enkla att tillämpa att de inte skapar en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete och därmed riskerar att förta nyttan i stort med sammanhållen journalföring.

En ytterligare utgångspunkt för förslagen i det följande är att det i första hand inte handlar om sekretessfrågor eller andra lagstiftningstekniska problem utan att fokus i stället sätts på frågorna i sak. Hur bör ett tillfredsställande integritetsskydd konstrueras? I vad mån bör detta skydd ta sig uttryck i att patienten har medbestämmanderätt över informationstillgången i sådana breda system som sammanhållen journalföring kan innebära? Hur kan medbestämmandet i så fall konkretiseras?

Nedan kommer bl.a. bestämmelser om direktåtkomst att diskuteras. Som framgått av avsnitt 7.6 har sådana bestämmelser inte sekretessbrytande effekt i sig. De sekretessbrytande bestämmelser som regeringen föreslår för att de förslag som lämnas i detta kapitel ska kunna genomföras behandlas i avsnitt 10.4.

Nuvarande regler

Att föra patientjournaler är i dag en skyldighet för vissa yrkeskategorier inom hälso- och sjukvården. Denna skyldighet gäller oberoende av patientens inställning till dokumentationen som sådan. Eftersom patientens samtycke till vård och behandling som huvudregel är en förutsättning för hälso- och sjukvården, får en enskild som motsätter sig journalföringen antingen avstå från vården eller låta bli att lämna upplysningar som annars skulle ha antecknats i journalen.

Förs en patientjournal elektroniskt, ingår den i ett vårdregister som omfattas av lagen (1998:544) om vårdregister (vårdregisterlagen) och personuppgiftslagens (1998:204) tillämpningsområde. Enligt dessa lagar får personuppgifter behandlas i vårdregister oberoende av patientens inställning till personuppgiftsbehandlingen. Patientens samtycke till registreringen eller annan personuppgiftsbehandling krävs alltså inte. Enligt gällande rätt har en patient således inget rättsligt sanktionerat inflytande över huruvida patientjournaler förs eller om de förs elektroniskt. Inte heller har patienten någon omedelbar rätt enligt regleringen för personuppgiftsbehandling, i personuppgiftslagen eller vårdregisterlagen, till inflytande över eventuell överföring av journaluppgifter mellan olika vårdgivare, om överföringen sker i vårdsyfte eller för andra ändamål som avses i 3 eller 4 §§ vårdregisterlagen.

Patientens rätt i sistnämnt avseende härrör i stället från grundläggande regler om respekt för patientens självbestämmande och integritet i hälso-

Pr

och sjukvårdslagen (1982:763) samt från regler i sekretesslagen (1980:100) respektive lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Hälso- och sjukvårdslagens principbestämmelse om respekt för patientens självbestämmande och integritet samt att vården så långt möjligt ska utföras i samråd med patienten gäller nämligen inte bara i fråga om den mer fysiska integriteten, exempelvis i fråga om vilka faktiska behandlingsåtgärder och liknande som ska vidtas. Bestämmelsen är generellt utformad och har även bäring på hanteringen av information om patienten. Mot bakgrund av den bestämmelsen har JO uttalat att en patients uttryckliga önskemål om att journaler inte ska lämnas till andra kliniker på samma sjukhus ska respekteras utom i rena nödsituationer (JO 1986/87 s. 199). Även i lagen om yrkesverksamhet på hälso- och sjukvårdens område föreskrivs att hälso- och sjukvårdspersonal så långt möjligt ska utforma och genomföra vården i samråd med patienten och visa patienten omtanke och respekt, 2 kap. 1 §.

op. 2007/08:126

Journalhandlingar och annan vårddokumentation omfattas av hälso- och sjukvårdssekretess och presumeras vara hemliga. Det krävs därför som huvudregel att en undantagsbestämmelse är tillämplig för att en uppgift ska kunna lämnas ut. En sådan bestämmelse är att den enskilde helt eller delvis kan efterge sekretess som gäller till skydd för honom eller henne, se 14 kap 4 § sekretesslagen; dvs. patienten kan samtycka till att uppgifter lämnas ut. Det finns också andra bestämmelser som innebär att hälso- och sjukvårdssekretessen inte hindrar att en uppgift lämnas, se avsnitt 10.4.

Sekretesslagen gäller bara för den allmänna hälso- och sjukvården. Som nämnts tidigare har personal inom enskild hälso- och sjukvård, dvs. hos privata vårdgivare, tystnadsplikt enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område. Tystnadsplikten innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av detta obehörighetsrekvisit har det ansetts naturligt att söka ledning i sekretesslagens regler.

Innebörden av regeringens förslag

Skede 1 – Patientens möjlighet att ta ställning till om uppgifter ska vara tillgängliga via sammanhållen journalföring

Redan den omständigheten att uppgifter är potentiellt sett tillgängliga kan av olika anledningar vara skrämmande för många patienter. Det är därför av avgörande betydelse för integritetsskyddet att patienten har möjlighet att få gehör för sin inställning redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras.

Regeringen föreslår därför att patienten vid varje vårdepisod ska ha en möjlighet att motsätta sig att vårddokumentation görs tillgänglig för utomstående vårdgivare. Det innebär dock inte att den enskilde får en rätt att motsätta sig att uppgifter journalförs eller annars dokumenteras i det elektroniska system som vårdgivaren använder. Det innebär bara att uppgiften på den enskildes begäran spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. En sådan spärr får endast hävas av patienten själv eller vid en akut nödsituation, se nedan.

Vidare föreslår regeringen att det i ett system för sammanhållen journalföring ska kunna få ingå uppgift om att systemet innehåller spärrad information. Regeringen anser att detta kan ha fördelar i enskilda vårdsituationer genom att kunna öppna upp en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. Av integritetsskäl bör det dock inte framgå något mer än att det finns spärrad information. Vid en akut nödsituation ska dock andra vårdgivare även få ta del av uppgiften om vilken vårdgivare som har spärrat uppgifterna eller vilken vårdgivare som har gjort ospärrade uppgifter tillgängliga, se nedan.

Något krav på samtycke i den mening som avses i personuppgiftslagen såsom förutsättning för personuppgiftsbehandlingen föreslås alltså inte. Genom den föreslagna bestämmelsen uppnår man i stället en ordning där ett slags opt out-modell eller, om man så vill, ett tyst samtycke i praktiken gäller för att journaluppgifter lämnas ut till andra vårdgivare genom införande i ett system för sammanhållen journalföring.

Givetvis måste denna opt out-ordning kombineras med krav på att patienten blir informerad om att journalföring m.m. avses ske i en för flera vårdgivare sammanhållen journalföring och om sin rätt att motsätta sig att uppgifterna görs tillgängliga för andra vårdgivare än den patienten uppsökt. Enligt regeringens uppfattning ska tillgängliggörandet inte få ske innan denna information lämnats. Hur denna information ska lämnas kan inte anges generellt. Regeringen förutsätter att hälso- och sjukvårdens aktörer hittar lämpliga former som är väl avvägda och anpassade till olika verksamhetsområden och till olika slags samarbeten mellan vårdgivare genom sammanhållen journalföring samt till den enskilde patientens förmåga att ta till sig informationen.

Regeringen föreslår vidare att patientens rätt att begära att uppgifter i den sammanhållna journalen spärras inte ska vara tidsbegränsad. När som helst bör patienten kunna begära spärrning av uppgifter hos den vårdgivare till vilken vårddokumentationen hör, låt vara att annan vårdgivare redan kan ha tagit del av uppgifterna.

Överväganden om undantag från spärrmöjlighet

I utredningens förslag föreslås inget undantag från förbudet för vårdgivaren att bereda sig tillgång till information som spärrats hos en annan vårdgivare. Uppgift om att det finns spärrade uppgifter får emellertid göras tillgänglig. Enligt utredningens förslag kan spärren inte forceras av en extern vårdgivare ens i en akut nödsituation.

I de särskilda yttranden som lämnats till betänkandet samt i de synpunkter som lämnats av remissinstanserna framförs att det inte är till gagn för patienten att en spärrad uppgift inte kan öppnas ens om patientens liv är i fara eller det föreligger risk för allvarlig invaliditet. Det kan ge till resultat dels att patientinsatserna inte kan ges optimalt, dels att patienterna inte vågar spärra viss information för att inte hamna i en sådan situation som beskrivits.

Utan möjligheten till forcering, finns risken att patienterna inte kommer att våga utnyttja sin rätt att begära att uppgifterna spärras trots att de egentligen vill det. Patientens rätt till självbestämmande och val-

möjlighet kan därmed sägas bli kringskuren genom ett missriktat integritetsskydd.

Mot bakgrund av detta anser regeringen det befogat att införa en bestämmelse som innebär en möjlighet för vårdgivaren att forcera en spärr i journalen vid en situation där patienten själv inte kan ge sitt medgivande men där de spärrade uppgifterna i journalen behövs för att kunna rädda patientens liv eller förhindra att patienten drabbas av allvarlig invaliditet.

Då möjligheten att forcera en spärr kan upplevas som känslig för patienten är det viktigt att systemet med forcering är utformat så att det både tillgodoser patientens bästa i vårdsituationen men också så långt som möjligt skyddar patientens integritet genom att andra spärrade uppgifter som inte kan antas ha betydelse för den vård som patienten oundgängligen behöver inte per automatik görs tillgänglig vid en forcering.

För att säkerställa detta föreslår regeringen att en vårdgivare får begära att en spärr hävs vid en akut nödsituation om patienten inte själv kan häva spärren. Vid en sådan akut nödsituation ska vårdgivaren få ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.

I ett fall där en vårdgivare behöver få tillgång till spärrade uppgifter vid en akut nödsituation ska systemet vara utformat så att vårdgivaren som ett första steg får ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Vårdgivaren kan i detta skede endast se uppgiften vid vilken eller vid vilka vårdgivare spärrar gjorts, inte specifikt vid vilken vårdenhet eller vad för typ av behandling som spärrats hos annan vårdgivare eller hos andra vårdgivare. Med ledning av denna uppgift ska vårdgivaren som ett andra steg bedöma om de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Endast uppgifter som kan antas ha en sådan betydelse får hävas. Vårdgivaren ska i sådana fall begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren. Då dessa spärrar sedan i steg två hävts får vårdgivaren full tillgång till den information som finns under just dessa spärrar.

Genom dessa bestämmelser om att uppgifterna ska antas ha betydelse för den vård som patienten oundgängligen behöver och genom att vårdgivare som har spärrat uppgifterna framgår först vid en akut nödsituation, skapas en extra säkerhet för patienten i och med att vårdgivaren inte får tillgång till all information direkt. Regeringen förutsätter att vårdgivarna som väljer att ingå i systemet med sammanhållen journalföring bygger upp ett för den enskilde och för vården effektivt och tryggt system för att efterleva dessa bestämmelser. Patienten ska vidare så snart det är möjligt informeras om vilka spärrar som har hävts och av vem samt i vilket syfte.

Liknande bestämmelser föreslås att gälla även för ospärrade uppgifter i fall där det föreligger en akut nödsituation och patientens samtycke inte kan inhämtas enligt 6 kap. 3 § patientdatalagen, se 6 kap. 4 § andra stycket patientdatalagen. Se även avsnitt 11.3 och om patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte inom en vårdgivare.

En del remissinstanser, bl.a. Sveriges Kommuner och Landsting samt

Socialstyrelsen, har framfört synpunkten att viss s.k. varningsinforma-

tion, t.ex. information om smittsamma sjukdomar, uppgifter om myndighetsåtgärder enligt smittskyddslagen (2004:168) eller om allergier m.m. inte ska kunna spärras av patienten. Argumentet för detta är att denna information är viktig dels för vårdpersonalens möjligheter att skydda sig själv och andra patienter mot smitta men också för behandlingen av patienten, t.ex. vid allergi mot någon viss medicin.

Regeringen anser att det är av stor betydelse att gå försiktigt fram vid införandet av ny lagstiftning som öppnar upp möjligheterna till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne ska vara för hälso- och sjukvårdspersonal inom landet. Regeringen anser att skyddet för patientens integritet och därmed möjligheterna att behålla förtroendet för systemet som föreslås väger över till förmån för att inte införa regler om undantag för spärr av viss s.k varningsinformation.

Flera av experterna i utredningen och en majoritet av remissinstanserna har uttryckt oro för att utredningens förslag, som ger vårdnadshavare rätt att spärra uppgifter i sina barns journal, kan medföra att vårdpersonalen inte upptäcker barn som far illa och fall där anmälningsskyldighet föreligger enligt socialtjänstlagen. Mot bakgrund av detta anser regeringen att skyddet för barnet väger tyngre än skyddet för den enskildes, i detta fall barnets, integritet. Regeringen föreslår därför en regel som innebär att vårdnadshavare inte har rätt att spärra uppgifter i sina barns journal. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslår regeringen inte några särskilda bestämmelser. Barn och ungdomar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja, om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte, se 6 kap. 11 § föräldrabalken.

Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter och varför eller anledningen till att patienter inte spärrar uppgifter. Den nyordning som regeringen föreslår bör därför utvärderas så snart som det finns underlag för det. Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhetssynpunkt vad det gäller andra områden än barn som far illa, som exempelvis smitta, kan det finnas skäl att överväga ytterligare lagändringar som gör undantag från den ordning som regeringen nu föreslagit.

Skede 2 – Patientens möjlighet att ta ställning till om direktåtkomst ska få användas

Det främsta skälet till att möjliggöra sammanhållen journalföring är den stora nyttopotential för den enskilde patienten som en sådan journal innebär. Det är därför angeläget att patienter inte ”för säkerhets skull” mot-

sätter sig att uppgifter görs tillgängliga i det sammanhållna journalföringssystemet. Ett sådant beteende kan motverkas om den enskilde patienten får ett inflytande även i det senare skedet då någon extern vårdgivare tar del av uppgifterna.

Regeringen föreslår därför att patienten också får rätt att bestämma om en vårdgivares hälso- och sjukvårdspersonal ska få ta del av annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen. Det beslutet bör tas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare eller då behovet annars i det konkreta fallet uppstår. I denna situation föreslår regeringen ett krav på aktivt samtycke från patienten, dvs. att det ska inhämtas ett samtycke till att direktåtkomst till annan vårdgivares vårddokumentation används. Något formellt krav på att samtycket ska vara uttryckligt eller att det ska dokumenteras bör dock inte uppställas.

Samtycket bör inhämtas först i skede 2, dvs. då den konkreta situation uppstått att den enskilde kommit som patient till en annan vårdgivare än den som har vårddokumentationen. Under förutsättning att personuppgiftslagens krav på att ett samtycke ska vara särskilt och otvetydigt uppfylls, menar regeringen emellertid att det finns utrymme att i vissa fall lämna ett samtycke i förväg. Redan i skede 1, dvs. då patienten är hos den första vårdgivaren som dokumenterat uppgifterna, kan med andra ord patienten inte bara låta bli att kräva en spärr, utan också lämna samtycke i förväg till att en viss eller vissa kommande vårdgivare får använda direktåtkomst vid en planerad och konkret vårdsituation.

Beträffande barn ställs dock inte ett krav på att samtycke ska ges av barnets vårdnadshavare för rätt att ta del av andra vårdgivares vårddokumentation. Det beror på att vårdnadshavare inte ges möjlighet att spärra barnets uppgifter i skede 1. I takt med den underåriges stigande ålder och mognad ska dock allt större hänsyn tas till dennes önskemål och vilja och krav ställas om samtycke vid ospärrade uppgifter, se 6 kap. 11 § föräldrabalken.

I detta sammanhang bör påpekas att regeringen inte föreslår särregler för vuxna patienter som tillfälligt eller varaktigt brister i beslutsförmåga. Som tidigare nämnts har frågan om hur dessa ska hanteras i hälso- och sjukvården utretts av Utredningen om förmyndare, gode män och förvaltare. Den utredningen har bl.a. i betänkandet SOU 2004:112 föreslagit en ny lag om ställföreträdare för vuxna med bristande beslutsförmåga inom hälso- och sjukvården samt vissa ändringar i sekretesslagen och personuppgiftslagen. Utredningens förslag bereds för närvarande i Regeringskansliet. Regeringen anser därför att det för närvarande inte bör införas sådana särbestämmelser, utan att saken lämpligen bör regleras i samband med ett ställningstagande till förslagen i det sistnämnda betänkandet.

Ett problem är om en journal innehåller uppgifter om annan enskild än patienten. Sådana uppgifter om tredje man ska normalt undvikas men måste ändå kunna förekomma när det är befogat. Regeringen föreslår dock inte någon särregel för detta fall.

Ytterligare förutsättningar

Regeringen föreslår en bestämmelse som innebär att en vårdgivare bara får ta del av uppgifter som upprättats eller införts i den sammanhållna journalföringen av annan vårdgivare under förutsättning att vårdgivaren har en aktuell patientrelation med den enskilde patienten i fråga. Bestämmelsen är inte en regel om s.k. inre sekretess utan anger under vilka förutsättningar vårdgivaren som sådan får använda direktåtkomst till annan vårdgivares information som vårdgivaren medgetts genom den sammanhållna journalföringen. Härigenom begränsas den legala räckvidden i förhållande till den faktiska tillgången till andra vårdgivares information till att enbart omfatta de patienter som vårdas eller behandlas inom den egna verksamheten. Därutöver klargörs bl.a. att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och bereda sig tillgång till vårddokumentation avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.

Vidare krävs det att vårdgivaren i skede 2 gör en bedömning av om uppgifter som han eller hon tänker bereda sig tillgång till kan antas ha betydelse för att förebygga, utreda eller behandla patientens sjukdom och/eller skada.

Syften för vilken den sammanhållna journalföringen ska få användas

Det är enligt regeringen av avgörande betydelse för allmänhetens förtroende för sammanhållen journalföring att den gränsöverskridande direktåtkomsten i huvudsak bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över. Regeringen föreslår därför att direktåtkomst vid sammanhållen journalföring ska, med ett undantag, bara få användas i vårdsyfte på sätt som föreslagits i det föregående. Undantaget avser utfärdande av intyg enligt nuvarande 10 § patientjournallagen (1985:562); en bestämmelse som föreslås föras över oförändrad till patientdatalagens reglering av patientjournalföringen, se avsnitt 9.2.

För att underlätta för patienten vid utfärdande av intyg menar regeringen att det ska vara möjligt för en patient som har vårdats av flera vårdgivare som deltar i ett sammanhållet journalföringssystem att vända sig till en av dem för att få ett intyg om den vård som har givits. Det krävs att det blir tillåtet att använda uppgifterna i den sammanhållna journalföringen även för ändamålet utfärdande av intyg. Vidare krävs att en vårdgivare, trots att denne inte har en aktuell patientrelation med patienten i fråga, ges rätt att bereda sig tillgång till uppgifter som införts i den sammanhållna journalföringen av en annan vårdgivare för att på patientens begäran utfärda intyg om vården. Eftersom det är patienten som begär att intyget ska utfärdas, så måste han eller hon därmed anses ha samtyckt till att den som ska utfärda intyget tar del av de journaluppgifter i den sammanhållna journalföringen som är hänförliga till den aktuella vården.

Inskränkningen i fråga om direktåtkomst vid sammanhållen journalföring till vårdsyfte, utfärdande av intyg på begäran av patienten och till användning vid en akut nödsituation bör vara ovillkorlig. Patienten bör

alltså inte kunna samtycka till att direktåtkomsten via sammanhållen journalföring används för andra syften än de uttryckligen tillåtna.

Slutligen kan framhållas att direktåtkomst vid sammanhållen journalföring bara reglerar ett visst sätt att göra journaler tillgängliga över gränser, elektroniskt och utan föregående sekretessprövning i varje enskilt fall. För det fall en vårdgivare vill använda andra vårdgivares uppgifter för t.ex. verksamhetsuppföljning, får uppgifterna begäras ut på samma sätt som i dag, dvs. kontakt får tas med de andra vårdgivarna med en begäran om att få del av uppgifterna, varefter en sekretessprövning måste göras.

Sammanfattning och avslutande synpunkter

Sammanfattningsvis föreslår regeringen således att den enskilde patienten, i skede 1, ska ha en rätt att motsätta sig att uppgifter görs tillgängliga för andra vårdgivare i den sammanhållna journalföringen. Utnyttjar patienten sin rätt, ska uppgifterna spärras. Spärrade uppgifter får inte vara tekniskt åtkomliga genom direktåtkomst för andra vårdgivare med undantag för om det är fråga om en akut nödsituation. Uppgift om att det finns spärrade uppgifter och uppgift om vilken vårdgivare som har spärrat uppgifterna får dock göras tillgänglig. En annan vårdgivare får ta del av uppgiften om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges när det är fråga om en akut nödsituation, se nedan.

Ett undantag från föregående regel föreslås dock när det gäller vårdnadshavares möjlighet att spärra uppgifter i sina barns vårddokumentation. Undantaget innebär att en vårdnadshavare inte har rätt att spärra sina barns uppgifter. I takt med barnets stigande ålder och utveckling får dock barnet själv spärra uppgifterna.

För det fall patienten inte motsätter sig ett tillgängliggörande i den sammanhållna journalföringen, föreslås att hans eller hennes samtycke som huvudregel ska vara en förutsättning i det senare skedet, skede 2, då personal hos en vårdgivare behöver ta del av uppgifter som en annan vårdgivare dokumenterat. Vidare ska endast vårdgivare hos vilken en aktuell patientrelation förekommer får ta del andra vårdgivares vårddokumentation via direktåtkomst samt att uppgifterna ska antas ha betydelse för vården av patienten. Direktåtkomst får vidare användas för att på patientens begäran utfärda intyg.

Undantag från huvudregeln om spärrade uppgifter gäller som nämnts vid en akut nödsituation där patientens medgivande inte kan inhämtas och där fara föreligger för patientens liv eller för allvarligt handikapp. En vårdgivare får vid en sådan akut nödsituation häva spärren och bereda sig tillgång till en annan vårdgivares journaluppgifter om det behövs för den vård patienten oundgängligen behöver även om patientens samtycke inte kan inhämtas.

Det är viktigt att även i en sådan nödsituation så långt möjligt respektera de spärrar som patienten gjort. Systemet med sammanhållen journalföring ska därför utformat så att vårdgivaren som ett första steg får ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Vårdgivaren kan i detta skede endast se uppgiften vid vilken

eller vid vilka vårdgivare spärrar gjorts, inte specifikt vid vilken vårdenhet eller vad för typ av behandling som spärrats hos annan vårdgivare eller hos andra vårdgivare. Med ledning av denna uppgift ska vårdgivaren som ett andra steg bedöma om de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Endast uppgifter som kan antas ha en sådan betydelse får hävas. Vårdgivaren ska i sådana fall begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren. Genom denna utformning av systemet garanteras att vårdgivaren endast får tillgång till sådan spärrad information som behövs för den specifika vårdsituationen.

Regeringen förutsätter att vårdgivarna som väljer att ingå i systemet med sammanhållen journalföring bygger upp ett för den enskilde och för vården effektivt och tryggt system för att efterleva dessa bestämmelser, se nedan.

Regeringens förslag ska förstås så att de anger den yttre ramen för det tillåtna när det gäller sammanhållen journalföring. Som framgått av tidigare avsnitt är det upp till vårdgivarna att på frivillig väg samarbeta i individinriktat patientarbete genom sammanhållen journalföring. Inget hindrar givetvis att vårdgivare i sådana samarbeten tillämpar strängare krav på t.ex. samtyckets utformning än vad lagen kräver eller anger en tidsfrist för hur länge uppgifter får vara tillgängliga för andra vårdgivare. Inget hindrar heller vårdgivare från att bygga system med mer finmaskiga spärrar än de som gäller som ett rättsligt krav enligt patientdatalagen. Exempelvis kan vårdgivare inom ramen för regeringens förslag bygga system där patienter kan välja mellan olika grader av spärrar, t.ex. att spärra information för alla andra vårdinrättningar än landets akutmottagningar eller liknande. Regeringen har dock avstått från att införa sådana graderade möjligheter som ett rättsligt krav på vårdgivarna. I kapitel 12 föreslås en del ytterligare åtgärder som kommer att få betydelse även vid sammanhållen journalföring, t.ex. att användning av direktåtkomst ska loggas och kunna spåras av den patient som oroar sig för missbruk.

Hur patientuppgifter får göras tillgängliga vid sammanhållen journalföring och vilka val patienten ställs inför kan avslutningsvis sammanfattas enligt följande (särskilda regler gäller för vårdnadshavares möjligheter att spärra uppgifter i sina barns journal);

I Skede 1

A) Patienten motsätter sig inte sammanhållen journalföring.

Uppgifterna får göras tillgängliga för andra vårdgivare (ospärrade uppgifter). Andra vårdgivare kan få del av uppgifterna, om villkoren under II.A. är uppfyllda.

Patienten kan när som helst begära att uppgifterna spärras.

B) Patienten motsätter sig sammanhållen journalföring

Uppgifterna får inte göras tillgängliga för andra vårdgivare. De blir därmed tillgängliga endast hos den vårdgivare där uppgifterna har inhämtats. Andra vårdgivare kan få del av uppgifterna, om undantaget under II.B. är uppfyllt.

Patienten kan när som helst

begära att spärren hävs. Prop. 2007/08:126

II Skede 2

A) Ospärrade uppgifter

Huvudregel

Annan vårdgivare får i vårdsyfte ta del av uppgifterna, om patienten samtycker till det, om uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten och om det finns en patientrelation mellan vårdgivaren och patienten eller om det finns eller har funnits en sådan patientrelation, med patientens samtycke, för att utfärda ett intyg om vården.

B) Spärrade uppgifter

Huvudregel

Annan vårdgivare kan i huvudsak inte ta del av uppgifterna. Dock framgår det att det finns spärrade uppgifter.

Undantag

Annan vårdgivare får vid en akut nödsituation ta del av uppgifterna om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Undantag

Annan vårdgivare får i vårdsyfte ta del av uppgifterna, om spärren på begäran av patienten hävs och villkoren enligt huvudregeln för ospärrade uppgifter är uppfyllda. Annan vårdgivare får också ta del av uppgifterna vid en akut nödsituation om patienten inte kan begära att spärren hävs och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Hänvisningar till S10-2

10.3. Tryckfrihetsförordningen och sammanhållen journalföring

Regeringens bedömning: Ospärrade uppgifter som en vårdgivare gjort tillgängliga för andra vårdgivare inom ramen för ett system med sammanhållen journalföring utgör en allmän handling hos sistnämnda vårdgivare om uppgifterna ingår i en s.k. färdig elektronisk handling eller om uppgifterna kan sammanställas med rutinbetonade åtgärder och utan användning av förbjudna sökbegrepp. Tryckfrihetsförordningen hindrar inte att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.

Utredningens bedömning: Överensstämmer med regeringens bedömning. Utredningen har dock inte tagit ställning fullt ut till i vilken utsträckning ospärrade uppgifter som en vårdgivare gjort tillgängliga för andra vårdgivare inom ramen för ett system med sammanhållen journalföring utgör allmänna handlingar hos sistnämnda vårdgivare.

Remissinstanserna: En majoritet av remissinstanserna har inget att erinra mot utredningens bedömning.

Kammarrätten i Stockholm anser att kombinationen av tryckfrihetsförordningen, sekretesslagen (1980:100) och dataskyddsdirektivet är förödande i ett begriplighetsperspektiv. Utredningen gör en föredömlig ansträngning att klara ut förhållandena men svårbegripligheten och otydligheten kvarstår, trots dessa ansträngningar. Frågan om de uppställda förutsättningarna i 6 kap.3 och 4 §§patientdatalagen utgör en sådan rättslig begränsning som avses i 2 kap. 3 § tredje stycket tryckfrihetsförordningen måste enligt kammarrättens mening klargöras innan förslaget om sammanhållen journalföring genomförs. Att, såsom utredningen gör, hänvisa till att allmänhetens möjlighet att få ut handlingar med stöd av tryckfrihetsförordningen på grund av sekretessregleringen är mycket små, anser kammarrätten inte är tillräckligt. Myndigheterna måste veta om en handling är förvarad hos dem eller inte för att därefter göra en sekretessprövning. Enligt kammarrättens mening bör villkoren i 6 kap.3 och 4 §§patientdatalagen utgöra en sådan rättslig begränsning som avses i tryckfrihetsförordningen 2 kap. 3 § tredje stycket.

Promemorians bedömning: Överensstämmer med regeringens. Remissinstanserna: Remissinstanserna har inget att erinra mot promemorians bedömning. Kammarrätten i Stockholm välkomnar att frågan hur begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen förhåller sig till förutsättningarna för en sammanhållen journalföring numera har belysts.

Skälen för regeringens bedömning

Gällande rätt

I den allmänna hälso- och sjukvården omfattas journalhandlingar och annan vårddokumentation av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar. Enligt 2 kap. 3 § första stycket tryckfrihetsförordningen förstås med en handling framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel. En handling är allmän, om den för det första förvaras hos en myndighet och för det andra enligt bestämmelserna i 2 kap. 6 § eller 7 §tryckfrihetsförordningen anses som inkommen till eller upprättad hos en myndighet. Detsamma gäller om vården bedrivs av kommunala företag enligt de förutsättningar som anges i 1 kap. 9 § sekretesslagen. När det i det följande talas om myndighet inkluderas även sådana företag.

Enligt 2 kap. 3 § andra stycket första meningen tryckfrihetsförordningen anses en upptagning förvarad hos en myndighet, om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som

myndigheten själv utnyttjar för överföring i sådan form att den kan avläsas, avlyssnas eller på annat sätt uppfattas. För förvaringskriteriet är det utan betydelse om förfogandet avser handlingar som genererats i myndighetens egen verksamhet eller som är inkomna t.ex. genom att myndigheten har direktåtkomst till andra organs elektroniska information.

Genom en ändring av 2 kap 3 § tryckfrihetsförordningen som trädde i kraft den 1 januari 2003 har det ur förvaringshänseende gjorts en åtskillnad mellan, å ena sidan, färdiga elektroniska handlingar och, å andra sidan, handlingar som utgör sammanställningar av uppgifter ur en upptagning för automatiserad behandling, också kallat potentiella handlingar. Någon legal definition av de båda handlingsslagen har dock inte införts. Åtskillnaden mellan handlingsslagen har betydelse för frågan om en upptagning är en allmän handling eller inte.

Från huvudregeln om när upptagningar ska anses förvarad hos en myndighet finns två undantag som bara tar sikte på sammanställningar av uppgifter ur en upptagning för automatiserad behandling. Undantagen, eller inskränkningarna, gör ingen skillnad mellan inkomna och upprättade handlingar. Det första undantaget föreskrivs i 2 kap. 3 § andra stycket andra meningen tryckfrihetsförordningen och innebär att en sammanställning av uppgifter ur en upptagning bara anses förvarad hos myndigheten, om myndigheten kan göra sammanställningen tillgänglig med rutinbetonade åtgärder. Sammanställningar som inte kan tas fram genom rutinbetonade åtgärder, anses däremot inte förvarade hos myndigheten och utgör alltså inte allmänna handlingar. Det andra undantaget i fråga om förvaringskriteriet föreskrivs i 2 kap. 3 § tredje stycket samma lag och innebär att en sammanställning av uppgifter ur en upptagning inte anses förvarad hos myndigheten, om sammanställningen innehåller personuppgifter och myndigheten enligt lag eller förordning saknar befogenhet att göra sammanställningen tillgänglig; den s.k. begränsningsregeln. Syftet med bestämmelsen är att allmänheten inte med stöd av offentlighetsprincipen ska kunna ta del av sammanställningar av uppgifter ur upptagningar som myndigheten av hänsyn till skyddet för enskildas integritet själv är rättsligen förhindrad att ta fram i sin egen verksamhet. Endast begränsningar i lag eller förordning – t.ex. förbud i s.k. registerförfattningar för en myndighet att använda vissa sökbegrepp eller att ta fram sammanställningar genom samkörning mellan olika register – är relevanta, prop. 1975/76:160 s. 87 f. och prop. 2001/02:70 s. 23. Begränsningsregeln gäller även om sammanställningen kan tas fram med rutinbetonade åtgärder.

Som nämnts omfattas färdiga elektroniska handlingar inte av någon av nämnda undantagsregler från huvudregeln. Sådana handlingar är alltid att anse som förvarade hos en myndighet även om det krävs mer än rutinbetonade åtgärder för att göra dem tillgängliga och även om de innehåller personuppgifter och det i lag eller förordning finns förbud för myndigheten att använda vissa sökbegrepp vid sökning efter handlingarna (prop. 2001/02:70 s. 38).

I 2 kap. 6 § tryckfrihetsförordningen anges när en handling anses inkommen till en myndighet. I fråga om upptagningar gäller att den anses inkommen i samma ögonblick som den är att anse som förvarad hos myndigheten på sätt som anges i 3 § andra stycket samma lag. Det krävs

emellertid att det är någon utanför myndigheten som har vidtagit den åtgärd som gjort handlingen tillgänglig för myndigheten. Är det någon vid den egna myndigheten som vidtagit åtgärden, får bedömas om handlingen är upprättad i enlighet med 2 kap. 7 § tryckfrihetsförordningens olika kriterier på när en handling är att anse som upprättad. Huvudregeln är att en handling anses upprättad först då den har expedierats eller annars föreligger i ett slutligt skick på sätt närmare anges i paragrafen. Från huvudregeln finns några undantag varav ett ofta ansetts vara tillämpligt på journalhandlingar som kan finnas i en patientjournal, se t.ex. prop. 1984/85:189 s. 15 f. Enligt detta undantag gäller för diarium, journal samt sådant register eller annan förteckning som förs fortlöpande, att en handling anses upprättad när den har färdigställts för anteckning eller införing, se 7 § andra stycket 1 samma lag.

Regeringens bedömning

Begreppet patientjournal är, som framgår av 2 § patientjournallagen, en sammanhållande term för den samling av sinsemellan fristående handlingar, journalhandlingar, som har det gemensamt att de i vidare mening berör vården av en enskild patient.

Då flera vårdgivares personal för journal i ett elektroniskt informationssystem som är tillgängligt för de samarbetande vårdgivarna, är det varje separat journalhandling och inte patientjournalen som sådan som utgör utgångspunkten för vad som ska anses höra till en myndighet och för vilken myndigheten ansvarar. Varje myndighet eller privata vårdgivare för vid sammanhållen journalföring in uppgifter i egna journalhandlingar. Likaså bör de separata journalhandlingarna utgöra utgångspunkten för vad som ska anses utgöra allmänna handlingar hos myndigheter som deltar i den sammanhållna journalföringen. Patientjournalen som sådan utgör alltså inte en enstaka allmän handling, om däri ingår journalhandlingar från flera olika myndigheter. Det sammanhänger med att varje allmän handling är antingen upprättad hos eller inkommen till en förvarande myndighet enligt tryckfrihetsförordningens regelverk. En enskild allmän handling kan alltså inte vara både och hos samma myndighet.

Endast sådana handlingar som framställs i en myndighets egen verksamhet kan vara upprättade hos den myndigheten. Om en befattningshavare som för in en uppgift i en journalhandling tillhör en myndighet, blir upptagningen en förvarad och upprättad allmän handling hos den egna myndigheten. För det fall en patient motsätter sig att uppgiften görs tillgänglig för andra vårdgivare genom sammanhållen journalföring, ska uppgiften spärras. Den får då inte göras elektroniskt tillgänglig för andra vårdgivare. Spärrade uppgifter blir alltså inte allmänna handlingar hos andra myndigheter som är anslutna till sammanhållen journalföring. Fortfarande är upptagningen dock en förvarad och upprättad allmän handling hos den myndighet som ansvarar för uppgiften.

Om uppgiften inte spärras utan görs tillgänglig för andra till informationssystemet anslutna myndigheter, blir uppgiften enligt huvudregeln i 2 kap. 3 § andra stycket första meningen tryckfrihetsförordningen att

anses som en förvarad och inkommen allmän handling hos varje ansluten annan myndighet redan genom den tekniska och potentiella möjlighet som dessa har att ta fram uppgiften. Även journalhandlingar och andra uppgifter som görs tillgängliga för myndigheter av privata vårdgivare, blir redan vid tillgängliggörandet inkomna allmänna handlingar hos alla anslutna myndigheter som tekniskt kan bereda sig tillgång till uppgifterna.

Det kan dock tänkas att system skapas där förvaringskriteriet möjligen inte bör anses uppfyllt på ett så tidigt stadium. T.ex. vid lösningar som innebär att patienten själv förfogar över ett åtkomstkort, ett smart card, som måste sättas in i en läsapparat eller liknande för att ge en myndighet möjligheter att läsa uppgifter som finns i andra vårdgivares journalhandlingar. I sådant fall kan det ifrågasättas om myndigheten verkligen disponerar över möjligheten att ta fram uppgiften i läsbar form. För att förvaringskriteriet ändå ska vara uppfyllt räcker det dock att en enda befattningshavare vid en myndighet, t.ex. tjänstgörande chefsläkare på en akutmottagning, har möjlighet att utan åtkomstkortet ta fram uppgiften.

Från huvudregeln om när en upptagning ska anses förvarad hos en myndighet finns, som framgått tidigare, två undantag som anges i 2 kap. 3 § andra stycket andra meningen och tredje stycket tryckfrihetsförordningen. Dessa undantag gäller, som tidigare nämnts, endast för sammanställningar av uppgifter ur en upptagning för automatiserad behandling. dvs. potentiella handlingar, men inte för s.k. färdiga elektroniska handlingar. Det kan diskuteras i vilken utsträckning elektroniska patientjournalsystem innehåller färdiga elektroniska handlingar. EKG-kurvor och signerade recept torde kunna tas som exempel på färdiga elektroniska journalhandlingar. Detsamma gäller signerade journalanteckningar som kan tas fram gång på gång. Regeringen har ingen möjlighet att här dra upp riktlinjer för den närmare gränsen mellan de båda handlingsslagen. Den avgränsningen får överlåtas åt rättstillämpningen.

Fråga är då i vilken mån den s.k. begränsningsregeln (2 kap. 3 § tredje stycket) är tillämplig på sammanställningar av ospärrade uppgifter i system för sammanhållen journalföring. I avsnitt 10.2 föreslås vissa bestämmelser som reglerar under vilka förutsättningar myndigheterna får behandla uppgifter i andra vårdgivares journalhandlingar eller annan vårddokumentation som de har direktåtkomst till (6 kap.3 och 4 §§patientdatalagen). De förutsättningar som måste vara för handen för att uppgifterna ska få behandlas är bl.a. att det ska finnas en aktuell patientrelation, att uppgifterna kan antas ha betydelse för vården av patienten och att patienten samtycker till användningen eller att patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård patienten oundgängligen behöver.

Utredningen framhöll att det från integritetssynpunkt vore bra om regler som föreskriver villkor för att en vårdgivare ska få behandla personuppgifter innebär att sammanställningen anses förvarad hos vårdgivaren endast om villkoren är uppfyllda. Samtidigt betonades att det för de intressen som bär upp offentlighetsprincipen är viktigt med en restriktiv tolkning av tryckfrihetsförordningens bestämmelser om när handlingar inte ska anses vara allmänna.

Pr Som framgått av redovisningen av gällande rätt ovan tar begränsningsregeln i 2 kap. 3 § tredje stycket tryckfrihetsförordningen sikte på förbud i lag eller förordning för en myndighet att göra vissa sammanställningar eller att använda vissa sökbegrepp. Bestämmelsen om förbjudna sökbegrepp i 2 kap. 8 § i den föreslagna lagen är ett exempel på en sådan inskränkning. När det gäller bestämmelser om s.k. ändamålsbegränsningar som finns i särskilda registerförfattningar, dvs. bestämmelser om för vilka ändamål personuppgifter får behandlas i en myndighets verksamhet, gäller enligt personuppgiftslagen, till den del den är tillämplig, den s.k. finalitetsprincipen. Denna princip innebär att personuppgifter inte får behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlats in (9 § första stycket d). I förarbetena till personuppgiftslagen har dock uttalats att en myndighets utlämnande av pesonuppgifter med stöd av offentlighetsprincipen inte kan anses oförenlig med de ändamål för vilka uppgifterna ursprungligen samlades in (prop. 1997/98:44 s. 44). Regler om ändamålsbegränsningar isärskilda registerförfattningar anses inte heller i sig inskränka myndigheters skyldighet enligt offentlighetsprincipen att sammanställa personuppgifter (SOU 2004:6 s. 246). Eventuellt samtycke från enskilda anses vidare generellt sakna betydelse för frågan om en handling är allmän eller inte. De aktuella villkoren för behandling av personuppgifter i 6 kap.3 och 4 §§patientdatalagen kan således inte anses utgöra sådana rättsliga begränsningar som bestämmelsen i 2 kap. 3 § tredje stycket tryckfrihetsförordningen avser. En sammanställning av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för en vårdgivande myndighet är således förvarad hos myndigheten, och därmed en allmän handling, i den mån sammanställningen kan göras tillgänglig med rutinbetonade åtgärder (se 2 kap. 3 § andra stycket andra meningen tryckfrihetsförordningen) och utan användning av förbjudna sökbegrepp (2 kap. 3 § tredje stycket tryckfrihetsförordningen och 2 kap. 8 § patientdatalagen).

op. 2007/08:126

En konsekvens av att ospärrade uppgifter i ett system med sammanhållen journalföring som huvudregel utgör allmänna handlingar hos alla anslutna myndigheter, alldeles oavsett vem som infört uppgifterna i systemet, är att en begäran att få del av sådana uppgifter kan göras hos vem som helst av de anslutna myndigheterna. En begäran att få ta del av en allmän handling måste vidare prövas av den eller de myndigheter hos vilken begäran görs, se 2 kap. 14 § tryckfrihetsförordningen. Myndigheter har dock vissa möjligheter att hänvisa sökanden till en annan myndighet, se 2 kap. 12 § andra stycket andra meningen tryckfrihetsförordningen. Om begäran avslås, får sökanden föra talan mot beslutet hos domstol, se 15 kap. 7 § sekretesslagen. Med tanke på den stränga sekretess som råder för uppgifterna i patientjournaler torde dock möjligheterna för allmänheten att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handlingar hos myndigheter inom hälso- och sjukvården vara mycket små.

Journaluppgifter, som hos offentliga vårdgivare utgör allmän handling, utgör inte allmän handling hos en privat vårdgivare, som är ansluten till systemet och har tillgång till uppgifterna. Frågan om samma journaluppgifts utlämnande kommer således att regleras på olika sätt, beroende på om begäran görs hos en offentlig eller en privat vårdgivare.

Enligt regeringens uppfattning utgör detta dock inte i sig något rättsligt hinder mot en för flera vårdgivare sammanhållen journalföring.

Sammanfattningsvis bedömer regeringen mot bakgrund av det sagda att 2 kap. tryckfrihetsförordningen inte utgör hinder mot att flera vårdgivare, offentliga eller privata, för journal i en gemensam patientdatabas eller liknande i ett system med sammanhållen journalföring.

Hänvisningar till S10-3

10.4. Sekretess och sammanhållen journalföring

Regeringens förslag: Två nya bestämmelser förs in i 7 kap. 1 c § sekretesslagen (1980:100). Dessa innebär att

1. hälso- och sjukvårdssekretess inte hindrar att uppgift får lämnas till annan myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet samt till enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen.

2. absolut sekretess ska gälla hos en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet för uppgifter som har gjorts tillgängliga hos myndigheten av en annan sådan myndighet eller av en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring (s.k. ospärrade uppgifter) – om förutsättningarna för att myndigheten ska få behandla uppgifterna enligt 6 kap. 3 eller 4 § patientdatalagen inte är uppfyllda. Om sådana förutsättningar föreligger eller om myndigheten tidigare behandlat sådana uppgifter med stöd av nämnda bestämmelser gäller hälso- och sjukvårdssekretess med samma styrka som vanligt dvs. med ett s.k. omvänt skaderekvisit.

Det införs bestämmelser i patientdatalagen av innebörd att ospärrade uppgifter om patienten vid sammanhållen journalföring ska göras tillgänglig för de vårdgivare som är anslutna till systemet. Vårdgivaren ska även införa en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Övriga vårdgivare ska kunna ta del av sistnämnda uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig och övriga uppgifters innehåll. Bestämmelsen medför att en myndighet som är ansluten till ett system med sammanhållen journalföring kan pröva om en begäran om utfående av en allmän handling avseende en viss person kan avslås redan på den grunden att det inte förvaras någon sådan handling hos myndigheten, utan att myndigheten behöver ta del av ospärrade uppgifter när förutsättningar härför saknas enligt patientdatalagen.

Någon särreglering behövs inte för de privata vårdgivarna.

Utredningens förslag: Överensstämmer delvis med regeringens förslag, med den ändringen att regeringen valt en annan lagteknisk lösning avseende den sekretessbrytande bestämmelsen. Utredningen har vidare inte lämnat något förslag om absolut sekretess för de fall en vårdgivare saknar befogenhet att ta del av ospärrade uppgifter enligt patientdatalagen. Utredningen har inte heller föreslagit att en vårdgivare, när denne för in ospärrade uppgifter avseende en viss person i ett system för sammanhållen journalföring, även ska föra in en uppgift om att sådana ospärrade uppgifter finns.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Justitieombudsmannen, JO, konstaterar att det, för att den vårdgivare som gör uppgifter tillgänglig för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra någon sekretessprövning i varje enskilt fall i förhållande till dessa vårdgivare, föreslås att det i sekretesslagen införs ett undantag från hälso- och sjukvårdssekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. I utredningens betänkande uttalas att något motsvarande undantag inte behövs för den enskilda hälso- och sjukvården. Utredningen har inte närmare motiverat sin uppfattning utan endast hänvisat till att det vid tolkningen av obehörighetsrekvisitet i bestämmelsen om tystnadsplikt i 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område har ansetts naturligt att söka ledning i sekretesslagens regler. Enligt JO:s uppfattning finns det anledning att överväga att införa ett motsvarande undantag i lagen om yrkesverksamhet på hälso- och sjukvårdens område.

Promemorians förslag: Överensstämmer med regeringens. Remissinstanserna: Har inget att erinra mot regeringens förslag.

Skälen för regeringens förslag

En ny bestämmelse som bryter sekretessen mellan vårdgivare enligt vad som föreskrivs om sammanhållen journalföring

Uppgifter inom den offentligt bedrivna hälso- och sjukvården omfattas av sekretesslagens bestämmelser. Sekretessen inom just hälso- och sjukvården regleras i främst 7 kap.1 c3 §§ och 6 §sekretesslagen, se beskrivning av sekretesslagen i avsnitt 5.6.

Redan då vårddokumentation förs in i den sammanhållna journalföringen utan att spärras, så att den är potentiellt tillgänglig för andra vårdgivare eller myndigheter, sker ett utlämnande i tryckfrihetsförordningens och sekretesslagens mening. Genom förslaget att vårddokumentationen ska få göras tillgänglig om den enskilde inte motsätter sig det, råder i praktiken en presumtion för att uppgifterna får lämnas ut. En förutsättning för att så ska kunna ske är dock att sekretesslagstiftningen inte hindrar utlämnandet.

Hälso- och sjukvårdssekretessen med sitt omvända skaderekvisitet förutsätter en prövning i varje särskilt fall av om vårddokumentationen kan lämnas ut utan men för den enskilde eller någon närstående till honom eller henne. Vidare kan utlämnande efter en sådan särskild menprövning normalt bara göras till en mottagare som har ett konkret vårdsyfte. I den sammanhållna journalföringen förutsätts emellertid utlämnandet ske i det närmaste rutinmässigt. Det förutsätts också att uppgifterna kan lämnas ut till ett större antal anslutna vårdgivare beträffande vilka det är högst osäkert vem eller vilka av dem som kommer att ha ett faktiskt behov av uppgifterna. Hälso- och sjukvårdssekretessen utgör således ett hinder mot sammanhållen journalföring. Inte heller är de sekretessbrytande undantagen som behandlats i avsnitt 5.6 möjliga att

rutinmässigt tillämpa då uppgifter lämnas ut vid sammanhållen journalföring. Det utlämnande som sker då journaluppgifter förs in i ett system för sammanhållen journalföring utan att spärras motiveras nämligen inte annat än möjligtvis i undantagsfall av att det skulle vara nödvändigt för den utlämnande myndighetens behov. Undantagsbestämmelsen i 1 kap. 5 § sekretesslagen ger alltså inte stöd för den sammanhållna journalföringen. Inte heller finns det någon sådan uppgiftsskyldighet som avses i 14 kap. 1 § sekretesslagen som legaliserar utlämnandet till andra myndigheter inom hälso- och sjukvården. Tillämpningsområdet för undantagsfallen i 14 kap. 2 § sekretesslagen är otillräckligt för den sammanhållna journalföringen och generalklausulen i 14 kap. 3 § sekretesslagen är inte tillämplig på hälso- och sjukvårdens område.

Det sekretessbrytande undantag i gällande rätt som det ligger närmast till hands att åberopa vid sammanhållen journalföring är bestämmelsen i 14 kap. 4 § sekretesslagen om att den enskilde kan efterge sekretessen. Regeringen instämmer dock i utredningens bedömning att patienten normalt kommer att göra ett passivt val som är alltför oklart och generellt för att kunna godtas som en sådan eftergift av sekretessen som avses i 14 kap. 4 § sekretesslagen. I sammanhanget måste beaktas att patientens ”samtycke” ofta är villkorat på så sätt att han eller hon gör valet utifrån vetskapen om att i ett senare skede, skede 2, kunna kontrollera vilken vårdgivare som tar del av uppgifterna. Vidare kan efter det att journaluppgifterna förts in, flera vårdgivare komma att anslutas till den sammanhållna journalföringen och få tillgång till uppgifterna. För tilltron till informationsutbytet är det av fundamental betydelse att det rättsliga stödet för detta inte kan sättas i fråga.

Som inledningsvis sagts måste sekretessprövningen göras redan då den journalförande vårdgivaren för in en uppgift i en journalhandling, om den därigenom blir tekniskt tillgänglig för andra vårdgivare i den sammanhållna journalföringen. Att en patient måhända i ett senare skede, skede 2, samtycker till att en annan vårdgivare tar del av uppgiften genom att slå fram uppgiften, kan alltså inte ha någon sekretessbrytande verkan enligt 14 kap. 4 § sekretesslagen, eftersom uppgiften redan är att anse som utlämnad i skede 1.

Sammanfattningsvis krävs ändringar i sekretessregleringen för att sammanhållen journalföring ska kunna ske. Regeringen föreslår att det görs en ändring i sekretesslagen av innebörd att hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § första stycket sekretesslagen inte hindrar att myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet får lämna uppgift till annan myndighet som bedriver sådan verksamhet samt till enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Förslaget innebär att den enda prövning som en vårdgivare behöver göra innan denne gör uppgifter om en patient tillgänglig för andra vårdgivare i ett system för sammanhållen journalföring är om den förutsättning som anges i patientdatalagen är uppfylld, dvs. att patienten inte motsätter sig att så sker. Regeringen anser att det är den lösning som leder till minst tillämpningsproblem för hälso- och sjukvården och som bäst främjar effektiviteten i verksamheten och en ökad patientnytta.

Vidare anser regeringen att det inte finns något bärande skäl från integritetssynpunkt mot denna lösning, eftersom förslaget ska ses till-

sammans med förslagen till integritetsgarantier i patientdatalagen. Patienten ges enligt förslagen en rätt att i förväg bestämma över den potentiella spridningen. Dessutom ges patienten en rätt att, frånsett nödsituationer och liknande, bestämma över den faktiska spridningen, då patienten vid senare vårdtillfällen får inflytande över om personal ska få eller inte få titta på ospärrad information.

Till detta kommer bl.a. de förslag som kommer att presenteras i det följande om patientens rätt att kontrollera vilken åtkomst som faktiskt förekommit till vårddokumentationen, se avsnitt 11.1. Det är regeringens uppfattning att dessa bestämmelser sammantaget ger ett fullgott integritetsskydd som klart uppväger den föreslagna lättnaden i sekretessen.

Utredningen har föreslagit att den nya sekretessbrytande bestämmelsen ska placeras i en ny paragraf i 7 kap. sekretesslagen. Av skäl som närmare utvecklas i avsnitt 13.1 anser regeringen att den bör placeras i 7 kap. 1 c § sekretesslagen.

En ny bestämmelse om absolut sekretess ska gälla i vissa fall inom systemet med sammanhållen journalföring

Tanken med den sammanhållna journalföringen är att öka patientsäkerheten med ett bibehållet integritetsskydd för patienten. Syftet är att patienterna ska känna ett så stort förtroende för den sammanhållna journalföringen som möjligt. Detta för att den sammanhållna journalföringen ska få ett fullgott genomslag. Som nämnts ovan föreslås en sekretessbrytande bestämmelse som innebär att den enda sekretessbedömning som en vårdgivare behöver göra innan denne gör uppgifter om en patient tillgängliga för andra vårdgivare i ett system med sammanhållen journalföring är att patienten inte motsätter sig att så sker. För att patienterna ska vara villiga att låta uppgifterna vara ospärrade är det viktigt att de integritetsgarantier som föreslås i patientdatalagen i förhållande till övriga vårdgivare som är anslutna till systemet verkligen fungerar.

Som nämnts ovan är en av de integritetsgarantier som föreslås i patientdatalagen beträffande ospärrade uppgifter att patienten ges en rätt att, frånsett nödsituationer och liknande, bestämma över den faktiska spridningen då patienten vid senare tillfällen söker vård genom att denne då ges möjlighet att neka vårdgivaren möjlighet att få titta på ospärrade uppgifter om patienten som en annan vårdgivare gjort tillgängliga för vårdgivaren. Förutom patientens samtycke krävs även att vissa andra förutsättningar är uppfyllda för att en vårdgivare ska få behandla ospärrade uppgifter t.ex. att det finns en aktuell patientrelation, att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården eller att patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård patienten oundgängligen behöver, se 6 kap.3 och 4 §§patientdatalagen.

Ett faktum som tidigare nämnts är att ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla myndigheter som är anslutna till den sammanhållna journalföringen, se avsnitt 10.3. Detta gäller dels om

det är fråga om färdiga elektroniska handlingar, dels om det är fråga om en sammanställning av ospärrade uppgifter som kan göras tillgänglig med rutinbetonade åtgärder och utan användning av förbjudna sökbegrepp. En konsekvens av detta är att en begäran att få del av allmänna handlingar med ospärrade uppgifter kan riktas till vem som helst av de anslutna myndigheterna. Som konstaterats tidigare torde visserligen allmänhetens möjligheter att med stöd av tryckfrihetsförordningens bestämmelser få del av allmänna handlingar hos myndigheter inom hälso- och sjukvården vara mycket små med tanke på den stränga sekretess som råder för uppgifter i patientjournaler. Syftet med de integritetsskyddande regler som föreslås i patientdatalagen och som tar sikte på sammanhållen journalföring är dock inte i första hand att skydda patientens integritet gentemot allmänheten utan att skydda patientens integritet gentemot alla de vårdgivare som är anslutna till systemet med sammanhållen journalföring. Eftersom hälso- och sjukvårdssekretessen inte är absolut utan gäller med en presumtion för sekretess måste en vårdgivare som är ansluten till ett sådant system, om någon begär att uppgifter i systemet lämnas ut, ta del av uppgifterna för att kunna pröva om de kan lämnas ut. Detta gäller även om det rör sig om ospärrade uppgifter som någon annan vårdgivare har gjort tillgängliga hos vårdgivaren och oavsett om de föreslagna förutsättningarna i 6 kap. 3 eller 4 § patientdatalagen – t.ex. att det ska finnas en aktuell patientrelation med den person uppgifterna rör och att patienten ska samtycka till behandlingen av uppgifterna – är uppfyllda eller inte. Eftersom de regler i patientdatalagen som syftar till att skydda den enskildes integritet beträffande ospärrade uppgifter i förhållande till andra vårdgivare i ett system för sammanhållen journalföring således i praktiken kan sättas ur spel genom att någon utomstående – en enskild eller en annan myndighet – begär att få tillgång till de allmänna handlingar som den sammanhållna journalen består av, har således patienten, när denne ska välja mellan att spärra uppgifterna och lämna dem ospärrade, i praktiken inte en sådan kontroll över uppgifternas vidare spridning inom ramen för den sammanhållna journalföringen som förutsätts i patientdatalagen. Regeringen befarar att denna ordning, om den inte justeras, kan leda till att förtroendet för systemet med sammanhållen journalföring rubbas.

En myndighet kan avslå en begäran att ta del av en allmän handling av huvudsakligen två skäl, antingen därför att det inte finns någon sådan allmän handling hos myndigheten eller därför att alla uppgifterna i handlingen omfattas av sekretess. Om en vårdmyndighet inte har eller har haft någon patientrelation med en person och det inte heller finns några ospärrade uppgifter om personen i systemet ska en begäran om utfående av allmän handling med uppgifter avseende den personen avslås på den grunden att det inte finns någon sådan allmän handling hos myndigheten. För att myndigheten ska kunna göra en sådan prövning utan att ta del av eventuella ospärrade uppgifter om personen när förutsättningar härför saknas, krävs att det tekniska systemet är uppbyggt så att myndigheten kan se om det över huvud taget finns ospärrade uppgifter om en viss person. Av detta skäl föreslår regeringen att det i patientdatalagen förs in en bestämmelse om att en vårdgivare, när denne gör uppgifter om en patient tillgänglig för andra vårdgivare i ett system med sammanhållen journalföring, även ska införa en uppgift i systemet

om att det finns ospärrade uppgifter om patienten i fråga. Övriga vårdgivare ska kunna ta del av en sådan uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig eller ta del av övriga uppgifters innehåll.

Problemet att ett bristande förtroende för sammanhållen journalföring kan uppkomma, om det föreligger en skyldighet för en vårdgivare att sekretesspröva ospärrade uppgifter om sådana begärs ut även om vårdgivaren saknar befogenhet att ta del av uppgifterna enligt patientdatalagen, kan lösas genom att en ny bestämmelse om sekretess förs in i sekretesslagen. En sådan bestämmelse bör i så fall innebära att absolut sekretess gäller hos en vårdgivande myndighet för uppgifter som en annan vårdgivare har gjort tillgänglig för myndigheten i ett system med sammanhållen journalföring i sådana situationer då de förutsättningar för behandling av uppgifterna som anges i 6 kap.34 §§patientdatalagen inte är uppfyllda. Om dessa förutsättningar är uppfyllda eller myndigheten tidigare har behandlat uppgifter om personen i fråga med stöd av nämnda bestämmelser bör hälso- och sjukvårdssekretessen gälla hos myndigheten för sådana uppgifter med samma styrka som vanligt, dvs. med ett omvänt skadrekvisit. En sådan ordning skulle innebära att om en begäran om utfående av allmän handling avseende en viss person riktas till en vårdgivande myndighet som inte har eller har haft en vårdrelation till personen i fråga och om en slagning i systemet för sammanhållen journalföring visar att det finns ospärrade uppgifter avseende den personen skulle myndigheten inte behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan. Eftersom myndigheten i en sådan situation saknar befogenhet enligt patientdatalagen att behandla uppgifterna skulle uppgifterna omfattas av absolut sekretess och myndigheten skulle inte behöva ta del av de närmare uppgifterna om personen för att kunna konstatera att så är fallet.

När det gäller den intresseavvägning som alltid ska göras mellan sekretessintresset och insynsintresset när en bestämmelse om sekretess övervägs, finner regeringen att nämnda lösning tillgodoser insynsintresset i tillräcklig mån eftersom förslaget innebär att uppgifter om en patient – på samma sätt som hittills – kommer att omfattas av sekretess med ett omvänt skadrekvisit hos en vårdgivare som har eller har haft en patientrelation med personen i fråga. Regeringen finner att övervägande skäl talar för att en sekretessbestämmelse med sådan konstruktion bör införas.

Bestämmelsen om absolut sekretess bör i likhet med den förslagna sekretessbrytande bestämmelsen placeras i 7 kap. 1 c § sekretesslagen. Som framgått av avsnitt 5.6 innehåller 14 kap. 2 § sekretesslagen vissa bestämmelser om undantag från sekretessen enligt 7 kap. 1 c §. En ändring bör därför göras i 14 kap. 2 § av innebörd att nämnda sekretessbrytande bestämmelser inte bryter den absoluta sekretess som föreslås i detta avsnitt.

När en ny bestämmelse om sekretess införs måste lagstiftaren överväga frågan om meddelarfriheten, dvs. rätten enligt 1 kap. 3 § tredje stycket tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att lämna uppgift i vilket ämne som helst för publicering i de medier som de båda grundlagarna omfattar, bör inskränkas. Vissa tystnadsplikter som har företräde framför meddelarfriheten anges direkt i tryckfrihets-

förordningen och yttrandefrihetsgrundlagen. I övrigt räknas de tystnadsplikter som har företräde framför meddelarfriheten upp i 16 kap. 1 § sekretesslagen. Den tystnadsplikt som följer av 7 kap. 1 c § sekretesslagen har enligt 16 kap. 1 § företräde framför meddelarfriheten såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke. Den tystnadsplikt som följer av den nya sekretessbestämmelsen bör inskränka meddelarfriheten i samma mån som den tystnadsplikt som följer av hälso- och sjukvårdssekretessen i övrigt. Eftersom den nya sekretessbestämmelsen placeras i 7 kap. 1 c § behöver 16 kap. 1 § inte ändras för att så ska bli fallet.

Som kommer att framgå av avsnitt 10.6 är tanken att en journalhandling som en vårdgivare har gjort tillgänglig i ett system med sammanhållen journalföring normalt inte bör laddas ned av en annan vårdgivare om denne med stöd av 6 kap. 3 eller 4 § patientdatalagen tar del av handlingen. En förutsättning för att en vårdgivande myndighet vid prövning av en begäran om utfående av allmän handling avseende en viss person ska kunna ställning till om myndigheten tidigare har behandlat ospärrade uppgifter avseende patienten med stöd av 6 kap 3 eller 4 § patientdatalagen är vid sådant förhållande att vårdgivarens egen åtkomstdokumentation, den s.k. egna behandlingshistoriken eller loggen, är sökbar. Att sådan åtkomstdokumentation ska göras hos en vårdgivare framgår av förslaget i 4 kap. 3 § patientdatalagen om kontroll av elektronisk åtkomst. Närmare föreskrifter om sådan dokumentation och kontroll förutsätts meddelas av Socialstyrelsen efter samråd med Datainspektionen. Vid sammanhållen journalföring ska samma principer om åtkomstkontroll tillämpas, se avsnitt 11. Bestämmelsen om förbud mot vissa sökbegrepp i den föreslagna 2 kap. 8 § hindrar inte att namn eller personnummer används som sökbegrepp.

Sammantaget anser regeringen att nu föreslagna bestämmelser är tillräckliga för att en myndighet inte ska behöva ta del av uppgifter i vidare omfattning än vad myndigheten har befogenhet till enligt patientdatalagen för att kunna pröva en fråga om utlämnande av allmänna handlingar.

Något om utlämnande från privata vårdgivare

Enligt den föreslagna bestämmelsen i 7 kap. 1 c § sjätte stycket 2 sekretesslagen hindrar sekretessen enligt paragrafens första stycke inte att uppgift lämnas till myndighet eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Sekretesslagen gäller bara för den allmänna hälso- och sjukvården. Som nämnts tidigare har personal inom enskild hälso- och sjukvård, dvs. hos privata vårdgivare, tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Tystnadsplikten innebär att den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Vid tolkningen av detta obehörighetsrekvisit har det

ansetts naturligt att söka ledning i sekretesslagens regler (se prop. 2005/06:141 s. 63 och prop. 2005/06:161 s. 82 och 93).

Med tanke på den föreslagna sekretessbrytande bestämmelsen samt på att regleringen i patientdatalagen anger förutsättningarna för den sammanhållna journalföringen, anser regeringen att tystnadsplikten i den enskilda hälso- och sjukvården inte utgör något hinder mot deltagande i sammanhållen journalföring. Några motsvarande särbestämmelser i lagen om yrkesverksamhet på hälso- och sjukvårdens område som de föreslagna nya bestämmelserna i sekretesslagen föreslås inte, eftersom regeringen förutsätter att ledning inom den enskilda hälso- och sjukvården söks i sekretesslagen även i detta sammanhang.

Lagrådet har anfört att det kan sättas i fråga om inte denna begränsning i den straffsanktionerade tystnadsplikten bör framgå av lag. Regeringen anser inte att systematiken bör frångås när det gäller att söka ledning i sekretesslagens bestämmelser vid tolkningen av obehörighetsrekvisitet inom den enskilda hälso- och sjukvården. Därmed föreslår regeringen inte något motsvarande undantag i anslutning till 2 kap. 8 § lagen om yrkesverksamhet inom hälso- och sjukvården.

Hänvisningar till S10-4

10.5. Personuppgiftsansvar vid sammanhållen journalföring

Regeringens förslag: Även vid sammanhållen journalföring ska patientdatalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför och att personuppgiftsansvaret omfattar sådan behandling som vårdgivaren utför när denne via direktåtkomst bereder sig tillgång till personuppgifter om patienter hos andra vårdgivare.

Regeringen eller den myndighet som regeringen bestämmer ska få meddela föreskrifter om personuppgiftsansvar när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.

Utredningens förslag: Överensstämmer med regeringens förslag dock med den ändringen att inte enbart regeringen utan även den myndighet som regeringen bestämmer får meddela föreskrifter om personuppgiftsansvar när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Socialstyrelsen tillstyrker utredningens förslag att vårdgivare som ansluter sig till ett system för sammanhållen patientjournal ska vara personuppgiftsansvarig för den personuppgiftsbehandling som den utför.

Däremot avstyrker Socialstyrelsen utredningens förslag att ansvaret för ”tekniska och organisatoriska säkerhetsåtgärder” ska vara solidariskt mellan de vårdgivare som är anslutna till ett dylikt system. Socialstyrelsen anser att det måste finns ett tydligt övergripande ansvar för förvaltningen av centrala tjänster och funktioner ett system för sammanhållen patientjournal mellan flera vårdgivare. Socialstyrelsen förslår att i ett sådant system ska vårdgivarna utse en vårdgivare som tar det över-

gripande ansvaret för att styra, förvalta, utveckla, uppgradera eller avveckla centrala tjänster och säkerhetsfunktioner i systemet.

Denne utsedde vårdgivare bör ha det övergripande ansvaret för skyddet av de behandlade personuppgifterna enligt 31 § personuppgiftslagen samt att systemförvaltningen är förenlig med kraven på en god och säker vård enligt hälso- och sjukvårdslagen dvs. uppfyller krav på tillgänglighet och riktighet. Vårdgivaren bör även ha det övergripande ansvaret för upphandling och beställning av gemensamma tjänster och hårdvara.

Datainspektionen har uppfattat att bestämmelsen i 6 kap. 6 § syftar till att klargöra personuppgiftsansvaret för att tekniska och organisatoriska säkerhetsåtgärder vidtas när det gäller det gemensamma tillgängliggörandet och den gemensamma åtkomsten till vårddokumentationen.

Datainspektionen föreslår därför att bestämmelsen förtydligas genom att ”frågor om” utgår.

Region Skåne betonar vikten av att informationssäkerheten blir tillräcklig vid direktåtkomst till den sammanhållna journalföringen. Krav på informationssäkerhet vid tillämpning av direktåtkomst och sammanhållen journalföring måste ställas och för att få en säkerställd nivå är det nödvändigt att anvisningar tas fram på myndighetsnivå, t.ex. av

Socialstyrelsen och Datainspektionen.

Skälen för regeringens förslag: Vid sammanhållen journalföring uppkommer frågor om hur personuppgiftsansvaret ska fördelas mellan de samarbetande vårdgivarna och om det behövs särreglering av personuppgiftsansvaret vid sådant samarbete.

Regeringens utgångspunkt i denna fråga är att en detaljreglering med utpekande av en personuppgiftsansvarig i och för sig skulle vara önskvärd från integritetssynpunkt. En enskilds möjligheter att ta till vara sina rättigheter underlättas om det direkt i en författning klart framgår vem han eller hon ska vända sig till med krav eller klagomål, t.ex. för det fall bristfällig information lämnats om vem som är personuppgiftsansvarig för behandling av personuppgifter som avser honom eller henne. En ordning som t.ex. innebär att varje myndighet eller privat vårdgivare som samverkar i sammanhållen journalföring har ett solidariskt ansvar för all personuppgiftsbehandling som förekommer eller en ordning som innebär att en viss på förhand utsedd vårdgivare ges ett ensamt ansvar skulle undanröja risken för att en enskild behöver vända sig till mer än en vårdgivare med klagomål. Regeringens förslag innebär emellertid att det överlämnats åt de privata vårdgivarna, landstingen och kommunerna att inom lagens ramar närmare bestämma samarbetsformer, teknisk organisering, omfattning och andra parametrar vid sammanhållen journalföring. Redan mot den bakgrunden ter det sig på nuvarande stadium olämpligt att peka ut vem som bör vara personuppgiftsansvarig för behandlingar som kan komma att förekomma i de olika slags system för sammanhållen journalföring som kommer att byggas upp.

Övervägande skäl talar enligt regeringens mening för att regleringen i stället bör ta sin utgångspunkt i att det vid sammanhållen journalföring är den som har faktisk möjlighet att påverka om och hur en enskild personuppgiftsbehandling ska företas, som bör vara personuppgiftsansvarig för den behandlingen. Enligt 2 kap. 6 § i patientdatalagen föreslås redan att varje vårdgivare ska vara personuppgiftsansvarig för den behandling av personuppgifter som den utför och att personuppgifts-

ansvaret ska omfatta sådan behandling som vårdgivaren utför när denne via direktåtkomst bereder sig tillgång till personuppgifter om patienter hos andra vårdgivare. Regeringen anser därför att bestämmelsen även ska vara tillämplig vid sammanhållen journalföring.

I detta sammanhang bör understrykas att det är av stor vikt att parterna i ett samarbete med sammanhållen journalföring träffar avtal vari de närmare formerna för samarbetet preciseras.

Ibland kan det finnas behov både av organisatoriska skäl och av integritetshänsyn med en tydlig reglering av personuppgiftsansvaret för övergripande frågor. Att nu ange i vilka sådana fall en särreglering behövs är inte möjligt, eftersom det inte kan förutses i vilken omfattning och i vilka former sammanhållen journalföring utvecklas. Regeringen föreslår därför en bestämmelse som ger regeringen eller den myndighet som regeringen bestämmer möjligheter att vid behov närmare reglera personuppgiftsansvaret i övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder. En sådan reglering kan ta sikte på såväl generella förhållanden som förhållanden vid en viss sammanhållen journalföring, exempelvis personuppgiftsansvaret för övergripande frågor avseende en läkemedelsjournal som etableras i en nationell databas.

I de fall då en personuppgiftsansvarig vårdgivare, som deltar i samarbetet, upphör med sin verksamhet och denna verksamhet överförs till en annan vårdgivare kan denne vårdgivare överta journaluppgifterna i fråga, om patienterna går med på det. Likaså kan en myndighets hälso- och sjukvårdsverksamhet upphöra och övertas av en privat vårdgivare, ett enskilt organ, exempelvis på grund av bolagisering. Myndighetens journaler får då överlämnas till den privata vårdgivaren, om journalerna behövs i dennes verksamhet, se 2 kap. 17 § tryckfrihetsförordningen och lagen (1994:1383) om överlämnande av allmänna handlingar till andra organ än myndigheter för förvaring. Även det omvända kan förekomma; att en privat verksamhet, inklusive patienter och journaler, återgår till ett landsting eller en kommun vid upphörd entreprenad.

För den fortsatta behandlingen och tillgängliggörandet i den sammanhållna journalen av övertagna journaluppgifter i fall som de nu berörda, kommer den nye (eller nygamla) vårdgivaren (eller myndigheten) att ha motsvarande personuppgiftsansvar som den förre vårdgivaren i den mån den nye vårdgivaren också deltar i den sammanhållna journalföringen.

När det däremot gäller verksamhet som inte överförs utan helt enkelt upphör, anser regeringen att journaluppgifter från sådan verksamhet efter avvecklingen inte längre bör ingå i den sammanhållna journalföringen, dvs. vara elektroniskt tillgänglig för övriga vårdgivare. Någon särbestämmelse om detta behövs dock inte. Det finns helt enkelt inte längre någon vårdgivare som kan göra de ifrågavarande journaluppgifterna tillgängliga för de andra. Det är dock bra om det framgår genom en uppgift i ett system för sammanhållen journalföring att det finns arkiverade journaler.

I sammanhanget kan nämnas att då allmän verksamhet inte övertas, gäller som huvudregel enligt 14 § arkivlagen (1990:782) att journalerna ska överlämnas till en arkivmyndighet. Socialstyrelsen har i sina föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen föreskrivit, när det gäller motsvarande situation i enskild verksamhet, att

vårdgivaren ska göra anmälan till Socialstyrelsen för beslut enligt 11 § patientjournallagen om omhändertagande av patientjournaler. Omhändertagna patientjournaler ska förvaras avskilda hos en arkivmyndighet.

Hänvisningar till S10-5

10.6. Arkivlagstiftning och andra bevarandefrågor vid sammanhållen journalföring

Regeringens förslag: En journalhandling eller annan handling ska bevaras hos den myndighet eller privata vårdgivare som ansvarar för handlingen. Övriga myndigheter får gallra handlingen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Swedish Medtech anför angående rätten för övriga myndigheter att gallra handlingen att detta enbart kan gälla pappersjournaler, eftersom den myndighet som inte ansvarar för journalhandlingen, och därmed får gallra bort handlingen, inte lagrar handlingen i datasystemet. Myndigheten har bara fått möjlighet att titta på journalhandlingen, antingen direkt i den ansvarige vårdgivarens system eller via någon form av gemensam journalöversikt. Det finns därför inget att gallra bort eftersom myndigheten inte har någon faktisk information lagrad. Lydelsen i 6 kap 8 § måste därför ändras för att anpassas till detta.

Reumatikerförbundet utgår ifrån att journalförande vårdgivare ansvarar för att lagra data på ett säkert och lättillgängligt sätt. Med lättillgängligt menar förbundet enkelt att, för den eller de som har behörighet att ta del av journalen, också få tag i uppgifter som eftersöks.

Sveriges läkarförbund påpekar att det bör betänkas att elektroniska journaler kanske inte är så beständiga eftersom nya program, journalsystem och operativsystem ständigt utvecklas och gamla system byts ut.

Tekniska lösningar kring åtkomsten av data från tidigare system måste således också utarbetas. Rutiner och överenskommelser för var journaler kan slutförvaras, t.ex. för de fall där en vårdgivare går i konkurs eller inte får förlängt avtal med landstinget behövs likaså.

Skälen för regeringen förslag

Gällande rätt

Huvudregeln enligt arkivlagen är att allmänna handlingar ska bevaras. En myndighets arkiv bildas i huvudsak av de allmänna handlingarna från myndighetens verksamhet. För handlingar som omfattas av den s.k. journalregeln i 2 kap. 7 § andra stycket 1 tryckfrihetsförordningen, blir varje anteckning arkiverad i och med att den har gjorts, 3 § arkivförordningen (1991:446).

För elektronisk information gäller till en början en undantagsregel som är av särskilt intresse när det gäller för flera vårdgivare sammanhållen journalföring. Upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla

dessa myndigheter, ska bilda arkiv endast hos en av myndigheterna, 3 § första stycket andra meningen arkivlagen. Samma upptagning ska alltså inte bevaras och bilda arkiv hos alla myndigheterna. Ett annat undantag från huvudregeln om att myndigheters allmänna handlingar ska bevaras är bestämmelsen om att allmänna handlingar får gallras, 10 § arkivlagen. Med gallring kan avses att information i sin helhet förstörs. Så måste dock inte ske för att det ska vara fråga om gallring. Gallring av elektronisk information kan t.ex. ske genom att informationen skrivs ut på papper som bevaras varefter informationen raderas från datamediet. Gallring kan också innebära att information överförs från ett datamedium till annat datamedium som medför sämre sammanställnings- eller sökmöjligheter, sämre möjligheter att kontrollera handlingars autencitet m.m.

Gallring görs av den arkivbildande myndigheten. En kommunal myndighet får dock inte på egen hand avgöra vad som ska gallras ur dess arkiv av patientjournalhandlingar. Gallringsföreskrifter för sådana myndigheter fattas av kommunfullmäktige respektive landstingsfullmäktige. Deras föreskriftsrätt begränsas dock av att hänsyn ska tas till att återstående material ska tillgodose arkivbildningens syften. Dessutom får gallringsföreskrifter inte strida mot nyss nämnda bestämmelser i 8 § patientjournallagen och i andra författningar om minsta bevarandetid för patientjournalhandlingar. Avvikande gallringsbestämmelser i lag eller förordning tar över arkivlagens regler om bevarande och gallring. Någon avvikande bestämmelse om att patientjournaler eller vårdregister ovillkorligen måste gallras finns emellertid inte.

I 10 § vårdregisterlagen anges visserligen att det utöver vad som följer av personuppgiftslagen finns särskilda bestämmelser om bevarande och gallring i patientjournallagen. Patientjournallagen föreskriver dock ingen skyldighet att gallra i journaler. Inte heller torde någon ovillkorlig gallringsskyldighet följa av personuppgiftslagen.

OSEK har i sitt delbetänkande Ordning och reda bland allmänna handlingar (SOU 2002:97) föreslagit en ny lag som samordnar regleringen i arkivlagen med bestämmelserna i 15 kap. sekretesslagen om registrering och utlämnande av allmänna handlingar m.m.; lag om hantering av allmänna handlingar. Förslaget har remissbehandlats och bereds för närvarande i Regeringskansliet.

Regeringens förslag

Det är i dag inte möjligt att förutse i vilken omfattning eller med vilka tekniska eller organisatoriska lösningar vårdgivare närmare kommer att bygga upp system för sammanhållen journalföring över vårdgivargränser. Det är därför knappast möjligt att göra några säkra bedömningar i fråga om vad arkivlagstiftningen och andra regler om bevarande av journalhandlingar konkret innebär i det enskilda fallet av sammanhållen journalföring.

För att de öppnade möjligheterna till sammanhållen journalföring ska få genomslagskraft är det emellertid angeläget att reglerna inte medför att sammanhållen journalföring leder till omfattande arkivbildning m.m. som är ekonomiskt och administrativt belastande för de deltagande

aktörerna eller som får negativa konsekvenser från integritetssynpunkt. Inte heller bör bevarandet av allmänna handlingar försämras.

Enligt regeringens uppfattning talar övervägande skäl för att sådana negativa konsekvenser avvärjs med en huvudprincip som innebär att varje vårdgivare som deltar i ett sammanhållet journalföringssystem ansvarar för bevarandet av de journalhandlingar eller annan vårddokumentation som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. De andra deltagande vårdgivarna bör inte få ett sådant ansvar enbart på den grund att de har en potentiell tillgång till dessa handlingar.

Regeringen har i avsnitt 9.6 föreslagit en kortaste bevarandetid på 10 år. Arkivansvar eller annat ansvar för bevarande bör följa verksamhetsansvar och personuppgiftsansvar för den enskilda personuppgiftsbehandlingen och en journalhandling eller annan handling bör därför bara bevaras och bilda arkiv hos en myndighet eller en privat vårdgivare. För att tydliggöra detta föreslås det i lagen att bestämmelser i patientdatalagen eller i annan lag eller förordning om att journalhandlingar ska bevaras viss minsta tid, inte är tillämpliga på sådana journalhandlingar som har gjorts tillgängliga genom sammanhållen journalföring hos andra vårdgivare och som dessa vårdgivare endast har en potentiell tillgång till. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren.

Vidare föreslås en generell bestämmelse om att sådana potentiella handlingar får gallras. Som nämnts ska, enligt 3 § första stycket andra meningen arkivlagen, upptagningar för automatisk behandling som är tillgängliga för flera myndigheter så att de utgör allmänna handlingar hos alla dessa myndigheter, bilda arkiv endast hos en av myndigheterna. En sådan gallringsregel behövs därför bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna ska bli arkivansvarig för privata vårdgivares journalhandlingar m.m. som de potentiellt sett har tillgång till och som utgör allmänna handlingar hos vårdgivare som är myndigheter, se avsnitt 10.3. Handlingar som en myndighet de facto inte tar del av har ingen betydelse för myndighetens verksamhet. Regeringen menar därför att förslaget i denna del inte strider mot arkivväsendets syften.

Vad som därefter bör gälla i de fall då en vårdgivare faktiskt bereder sig tillgång till annan införande vårdgivares journalhandling är en inte helt okomplicerad fråga och har behandlats i utredningens förslag. Vid sammanhållen journalföring bör enligt utredningen en tidigare journalhandling hos annan vårdgivare normalt inte laddas ned i form av en kopia som tillfogas och lagras i den egna journalföringen såsom en ny journalhandling. Kraven på att journalen ska innehålla de uppgifter som behövs för en god och säker vård – se 3 § patientjournallagen som i denna del överförs oförändrad till patientdatalagen – innebär inget krav i sig på att varje vårdgivare vid sammanhållen journalföring måste ha ”kompletta” uppgifter. En av poängerna med den sammanhållna journalföringen är ju att dubbeldokumentation ska kunna undvikas. Det är också

önskvärt från integritetssynpunkt att uppgifter inte hålls tillgängliga på mer än ett ”ställe”. Normalt bör det enligt utredningen vara fullt tillräckligt för vårdsyftet att vårdpersonal tar del av den tillgängliga informationen. Regeringen instämmer i utredningens bedömning. Med tanke på de förslag som lämnas i fråga om åtkomstdokumentation m.m., se avsnitt 11, går en sådan personuppgiftsbehandling alltid att rekonstruera i efterhand. Det finns således inget behov av att kopiera informationen för att i händelse av befarat rättsligt efterspel visa vad man gjort eller liknande.

Det finns alltså inte finns något krav på myndigheter som är anslutna till en sammanhållen journalföring att de laddar ner och lagrar kopior av andra vårdgivares journalhandlingar som får betydelse i den egna patientvården. I 15 kap. 14 § sekretesslagen föreskrivs visserligen att en upptagning som används för handläggningen av ett mål eller ärende ska tillföras handlingarna i målet eller ärendet. Den bestämmelsen gäller dock inte – annat än i speciella undantagsfall vid tvångsvård – journalföring i faktisk hälso- och sjukvård.

Å andra sidan kan det vara svårt att helt undvara nedladdning av kopior. Att den tidigare informationen bifogas den egna journalinformationen kan i undantagsfall vara av helt avgörande betydelse för en god och säker vård hos den senare vårdgivaren. Sker en nedladdning, innebär det att en ny handling framställts, på motsvarande sätt som vid manuell hantering av en patientjournal när en papperskopia på en journalhandling, som en vårdgivare fått från en annan vårdgivare, bifogas patientjournalen. Ett annat exempel är att det av någon anledning behöver göras en sammanställning av olika uppgifter som hämtas från flera olika vårdgivares journalhandlingar. Även i det sist nämnda exemplet har en helt ny journalhandling framställts. I sammanhanget kan framhållas att det självfallet inte är tillåtet att ladda ned och lagra information som inte är nödvändig nu men som ”kan vara bra att ha”. Inte heller får det göras bara därför att informationen kan komma till nytta i den egna verksamhetsuppföljningen eller liknande. Det följer av kravet på att det ska finnas ett konkret och aktuellt vårdsyfte varje gång direktåtkomsten används, se avsnitt 10.

Särskilt i den form av sammanhållen journalföring som innebär att lokalt lagrade journalhandlingar knyts samman i ett gemensamt informationsöverföringssystem tror regeringen i likhet med utredningen att behov av att komplettera den egna journalföringen ibland kommer att finnas. Efter hand som gemensamma databaser kan komma att växa fram är det dock troligt att behovet av denna s.k. dubbeldokumentation minskar. Under alla förhållanden anser utredningen att förfarandet inte bör förbjudas. Regeringen instämmer i utredningens bedömning. För att den sammanhållna journalföringen verkligen ska skapa administrativa vinster för hälso- och sjukvården ligger emellertid ett viktigt ansvar på sjukvårdshuvudmännen och andra vårdgivare att ta fram regler och rutiner som förhindrar att den sammanhållna journalföringen skapar en ny form av onödig överdokumentation som går tvärt emot en av intentionerna med den sammanhållna patientjournalföringen. En sådan överdokumentation är också negativ från integritetssynpunkt.

I de fall när journalhandlingar blir en ”ny” journalhandling hos en senare vårdgivare bör hanteringen och bevarandet av den nya journal-

handlingen följa samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.

Hänvisningar till S10-6

10.7. Kraven på patientjournalföringen och sammanhållen journalföring

Regeringen förslag: Förslagen om sammanhållen journalföring påkallar, med ett undantag, inga särregler i förhållande till den reglering av patientjournalföringen som föreslagits i avsnitt 9 och som i dag finns i patientjournallagen. Bestämmelsen i 3 kap. 11 § patientdatalagen – om att när en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som är mottagare och när handlingen har lämnats ut – ska inte gälla vid utlämnande genom direktåtkomst.

I övrigt föreslås inga särbestämmelser vad gäller sammanhållen journalföring.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Remissinstanserna har inte haft något att erinra mot utredningens förslag.

Skälen för regeringens förslag: Regeringens förslag om sammanhållen journalföring innebär ingen förändring av det grundläggande systemet med patientjournalföring inom hälso- och sjukvården.

Det förhållandet att olika yrkesutövares journalföring kan knytas samman i stora informationssystem gemensamma för flera vårdgivare innebär alltså i huvudsak ingen förändring av systemet som sådant angående huruvida, av vem och hur journaler ska föras eller hur de ska hanteras. Varje journalförare kommer även framgent att ha det medicinska yrkesansvaret för sina anteckningar och varje vårdgivare kommer, precis som vid traditionell journalföring, att ha det övergripande ansvaret för de journalhandlingar som framställs i den egna verksamheten. Det sagda gäller även om samtliga vårdgivares journalhandlingar skulle lagras i samma databas. Någon rätt att över vårdgivargränserna bearbeta, rätta, gallra osv. i varandras journalhandlingar inryms inte i regeringens förslag. Det behövs dock inga uttryckliga bestämmelser om detta i patientdatalagen.

Däremot anser regeringen att det behövs ett undantag från bestämmelsen om att det i journalen ska antecknas om en journalhandling, en avskrift eller en kopia har lämnats ut till någon. Enligt bestämmelserna om sammanhållen journalföring anses en journalhandling utlämnad redan i och med att den görs tekniskt eller potentiellt tillgänglig för anslutna vårdgivare. Regeringen anser att det medför ett orimligt administrativt merarbete för journalförarna, om det varje gång en ny anteckning görs i journalen även ska noteras vilka vårdgivare som är anslutna till den sammanhållna journalföringen och alltså i strikt mening är mottagare av den nya informationen.

Enligt regeringens förslag i 4 kap. 3 § patientdatalagen kommer elektronisk åtkomst, även användning av direktåtkomst, alltid att dokumenteras, loggas, i elektroniska informationssystem. Genom de bestäm-

melserna kommer det vid ärenden om journalförstöring att finnas tillräckligt bra verktyg att spåra kopior av journalhandlingar, som ska förstöras enligt beslut av Socialstyrelsen. Mot bakgrund av detta föreslås att utlämnande genom direktåtkomst vid sammanhållen journalföring inte behöver dokumenteras i journalen.

Inom enskild hälso- och sjukvård är det den privata vårdgivare som ansvarar för en journalhandling som prövar frågor om utlämnande av just den handlingen på begäran av patienten.

I övrigt anser regeringen att förslagen om sammanhållen journalföring inte påkallar särreglering i förhållande till de krav på patientjournalföring som i dag finns i patientjournallagen och som i huvudsak oförändrade föreslås föras över till patientdatalagen.

Hänvisningar till S10-7

11.1. Inledning

Avsnitt 10 handlar om hur vårdgivare ska kunna utveckla gränsöverskridande IT-lösningar som bl.a. leder till bättre samordning och samarbete kring vården av en patient samtidigt som möjligheterna förenas med en reglering som är ägnad att bibehålla ett gott integritetsskydd och upprätthålla allmänhetens förtroende för hälso- och sjukvårdens informationshantering. Förtroendet för integritetsskyddet i informationshanteringen har dock relevans inte bara när det gäller den yttre sekretessen gentemot utomstående och vid överföring av personuppgifter mellan vårdgivare. Även inom en sådan verksamhet måste det finnas ett integritetsskydd avseende hanteringen av uppgifter om enskilda dvs. som har med den s.k. inre sekretessen att göra.

Inre sekretess är inget juridiskt definierat eller helt avgränsat begrepp. Ofta menas härmed i vad mån personal inom en verksamhet får – muntligen eller på annat sätt – lämna ut uppgifter som omfattas av sekretess till arbetskamrater. Begreppet inre sekretess används dock i det följande som ett vidare begrepp som inrymmer ett flertal frågeställningar om hur känsliga uppgifter om enskildas hälsa och andra personliga förhållanden bör handhas inom en verksamhet för att motverka risker för obefogade intrång i den personliga integriteten.

11.2. Nuvarande reglering

Det finns ett antal bestämmelser i hälso- och sjukvårdslagstiftningen som har direkt eller indirekt betydelse när det gäller hanteringen av journalinformation och annan patientdokumentation inom en vårdgivares verksamhet.

Av grundläggande betydelse är 2 a § hälso- och sjukvårdslagen (1982:763) som bl.a. slår fast att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Det sagda har även bäring på hanteringen av information om patienten. JO har uttalat att det

följer av den angivna bestämmelsen i hälso- och sjukvårdslagen att en patients uttryckliga önskemål om att journaler inte lämnas till andra kliniker på samma sjukhus ska respekteras, JO 1986/87 s. 199.

Enligt 7 § första stycket patientjournallagen (1985:562) ska varje journalhandling hanteras och förvaras så, att obehöriga inte får tillgång till den. Regeln slår fast en inre sekretess som kompletterar det integritetsskydd som sekretesslagen (1980:100) och lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område ger i fråga om utlämnande av uppgifter från hälso- och sjukvården. Journaler får enligt denna bestämmelse inte vara fritt tillgängliga inom en vårdgivares verksamhet. I förarbetena uttalas att det endast är en begränsad del av personalen på en klinik som i sitt arbete behöver tillgång till patientens journal. Respekten för patientens integritet kräver att ingen utanför denna krets får tillgång till journalen. De är att se som obehöriga i bestämmelsens mening. Läsning i en patientjournal av ren nyfikenhet kan aldrig godtas, prop. 1984/85:189 s. 43 f. Enligt förarbetena avser bestämmelsen såväl upprättade som ingivna journalhandlingar, t.ex. inlånade patientjournaler. Med hantering avses närmast den vardagliga användningen av journalen i arbetet. När det gäller elektroniska journalhandlingar angavs i förarbetena att ADB-system måste förses med någon form av individuell behörighetskontroll och andra säkerhetsspärrar, t.ex. terminallåsning för att uppfylla lagens krav. Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen anger att endast den personal vid en enhet som är engagerad i vården av patienten har rätt att ta del av patientjournalen.

Enligt 8 § lagen (1998:544) om vårdregister (vårdregisterlagen) får endast den som för de ändamål som anges i 3 och 4 §§ behöver ha tillgång till uppgifterna för att kunna utföra sitt arbete ha direktåtkomst till uppgifter i ett vårdregister. Åtkomsten får endast avse de uppgifter som behövs för arbetets utförande. Enligt förarbetena är bestämmelsen om direktåtkomst tänkt att motsvara innehållet i 7 § patientjournallagen. Vårdregisterlagen har emellertid ett vidare tillämpningsområde, eftersom ett vårdregister kan innehålla annan patientdokumentation än journalhandlingar, se prop. 1997/98:108 s. 99. Vidare anges i förarbetena att administrativ personal inte får ges direktåtkomst till samtliga uppgifter i ett vårdregister, om detta förs för bl.a. patientjournalföring. Den personuppgiftsansvarige får därför göra en bedömning mot bakgrund av 7 § patientjournallagen och 2 a § hälso- och sjukvårdslagen när det ska bestämmas vilka uppgifter olika befattningshavare behöver tillgång till. Befattningshavarens behov måste falla in under tillåtna ändamål enligt 3 och 4 §§ vårdregisterlagen.

Bestämmelserna i patientjournallagen och vårdregisterlagen om inre sekretess gäller både i den allmänna och den enskilda hälso- och sjukvården.

Av betydelse för gällande rätt om inre sekretess är vidare att olovligt intrång och olovligt efterforskande i elektroniska informationssystem, t.ex. ett vårdregister, kan vara straffbart enligt straffbestämmelsen om dataintrång. Den som olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upptagning döms enligt 4 kap. 9 c § brottsbalken för dataintrång till böter eller fängelse i högst två år. Bestämmelsen är

tillämplig då någon använder sig av sin behörighet till åtkomst till ett elektroniskt journalsystem för att läsa uppgifter om en patient utan att detta behövs från arbetssynpunkt, t.ex. på grund av nyfikenhet. Även läsning i utbildningssyfte för att eftersöka förebilder på lämpliga formuleringar har i rättspraxis bedömts i och för sig kunna utgöra dataintrång, se RH 2002:36, det s.k. Blommanfallet. Någon motsvarande straffbestämmelse om olovligt intrång i pappersjournaler finns inte.

11.3. Regeringens överväganden

Regeringens förslag:

1. Nuvarande reglering i 7 § första stycket patientjournallagen om att varje journalhandling ska hanteras och förvaras så att obehöriga inte får tillgång till den ska behållas men

a) dels vidgas till att omfatta alla dokumenterade personuppgifter om patienter eller andra enskilda registrerade, dvs. även annan vårddokumentation, kvalitetsregisteruppgifter m.m. som behandlas enligt patientdatalagen,

b) dels förtydligas genom tillägget att den som arbetar hos en vårdgivare får ta del av sådana uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen omfattar både manuellt och elektroniskt behandlade patientuppgifter, och även uppgifter om avlidna.

2. När det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation ska en vårdgivare bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Bestämmelsen motsvarar delvis nuvarande reglering i 8 § vårdregisterlagen men ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Närmare bestämmelser meddelas av regeringen eller, efter bemyndigande, av Socialstyrelsen efter samråd med Datainspektionen. Vid sammanhållen journalföring ska behörighet tilldelas enligt samma principer.

3. En ny bestämmelse införs som innebär en skyldighet för vårdgivaren att dokumentera sådana uppgifter om patienter som förs automatiserat samt att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter förekommer. Närmare bestämmelser meddelas av regeringen eller, efter bemyndigande, av Socialstyrelsen efter samråd med Datainspektionen. Vid sammanhållen journalföring ska samma principer om åtkomstkontroll tillämpas.

4. Den enskilde patienten ges rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som ska ges till patienten meddelas

av regeringen eller, efter bemyndigande, Socialstyrelsen efter samråd med Datainspektionen.

5. Den enskilde patienten ges rätt att begära att vårddokumentation spärras från tillgänglighet genom elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser. Spärren ska med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren ska också kunna hävas om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Vid en sådan akut nödsituation ska uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna göras tillgängliga. Därefter får endast sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga. Ett undantag från föregående regel föreslås dock när det gäller vårdnadshavare möjlighet att spärra uppgifter i sina barns vårddokumentation. Undantaget innebär att vårdnadshavare inte har rätt att spärra sina barns uppgifter. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna.

6. I patientdatalagen införs ett särskilt kapitel om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, vari bestämmelserna enligt punkterna 1 b)–3 och 5 tas in. Bestämmelsen i punkten 1 a) tas in i patientdatalagens inledande kapitel. Bestämmelsen i punkten 4 om patientens rätt att få information om direktåtkomst och elektronisk åtkomst som förekommit hos en vårdgivare, tas in i ett kapitel om rättigheter för den enskilde.

Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag. Regeringens förslag innebär att det inte är möjligt för vårdnadshavare att spärra sina barns vårddokumentation. I takt med barnets stigande ålder och utveckling får dock barnet själv spärra uppgifterna.

Uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna får göras tillgänglig för andra vårdenheter eller vårdprocesser vid en akut nödsituation.

Remissinstanserna: En majoritet av remissinstanserna har inget att erinra mot utredningens förslag och framhåller att detta kommer innebära en förbättring av patientsäkerheten.

Flera remissinstanser har som tidigare redovisats i avsnitt 10.2 uttryckt farhågor om att vårdnadshavare kan missbruka sin rätt att spärra uppgift i sina barns journal för att dölja att barnet far illa och därmed försvåra för vårdpersonalen att upptäcka detta och om anmälan ska göras enligt socialtjänstlagen.

Ytterligare några remissinstanser också såsom redovisats under avsnitt 10.2 uttryckt önskemål om att s.k. varningsinformation, t.ex. information om smitta eller allergi ska undantas från möjligheten att spärra. Motivet för detta är dels att skydda personal och andra patienter från smitta men också att bättre kunna vårda en patient med t.ex. allergi. Sveriges läkar-

förbund anser t.ex. att det bör göras tekniskt möjligt att information om varningar, överkänslighet och smittorisk ska framgå. Carelink å sin sida tror inte att den så kallade opt-out modellen kommer att utgöra någon fara för patientsäkerheten annat än i mycket få särfall och anser att medicinsk varningsinformation möjligen skulle kunna undantas från spärrmöjlighet. Socialstyrelsen anser att patienten inte ska kunna spärra uppgifter som tillförts vårddokumentationen om förhållningsregler och andra åtgärder till skydd mot smitta. Reumatikerförbundet anser i detta sammanhang att det borde kunna skapas ett ”emergency-tecken” i journalen med direktåtkomst till viktiga fakta kring t ex. läkemedel, sjukdom, funktionsstörningar i hjärt-lungverksamhet, uppgifter som kan vara av avgörande betydelse för vård i kristillstånd.

Vidare påpekar en del remissinstanser, t.ex. Sveriges Pensionärers

Riksförbund, vikten av att patienten får stöd i att tolka informationen i journalen och att patienten i vissa fall där det handlar om känslig information bör få denna i första hand direkt av läkaren innan den görs elektroniskt åtkomlig i journalen. Sveriges läkarförbund ger också uttryck för denna åsikt och framhåller att det noga bör tänkas igenom vilka uppgifter som kan omfattas och när uppgifterna bör göras tillgängliga.

Några remissinstanser, t.ex. Västra Götalands läns landsting och

Sahlgrenska Universitetssjukhuset, Sveriges läkarförbund, Riksförbundet för social och mental hälsa, anser att förslaget att patienten ska få ta del av loggar om vem som läst journalen, är bra men att det behövs utvecklade rutiner runt detta. Sveriges läkarförbund anser att patientens rätt till loggfiler är självklar men att rutiner måste utarbetas för de fall där hälso- och sjukvårdspersonal utsatts för hot/våld från patienter och anhöriga. Därutöver behövs rutiner för hur de fall ska hanteras där personalen lever med skyddad personidentitet. Riksförbundet för social och mental hälsa anser att det är viktigt att vårdgivaren får en skyldighet att dokumentera och kontrollera elektronisk åtkomst - och att dokumentera i journalen löpande vem som varit inne i journalen och när. Dessa loggar måste följas upp kontinuerligt, och patienten ska ha rätt att ta del av vilka som har tittat i hans eller hennes journal och även i övrigt ha möjligt att se innehållet i sin journal.

Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset anser bl.a. att utredningens förslag om skyldighet att dokumentera elektronisk åtkomst samt fortlöpande kontrollera eventuell obehörig åtkomst, är bra men att det bör övervägas att i lagen ta in bestämmelser om att Socialstyrelsen efter samråd med Datainspektionen ska meddelar föreskrifter angående omfattningen av åtkomstdokumentationen samt hur länge den ska sparas.

Ytterligare några instanser, bland annat Vetenskapsrådet, Västra

Götalands läns landsting och Sahlgrenska Universitetssjukhuset, Svenska Läkaresällskapet samt Svenska föreningen för barn- och ungdomspsykiatri, uttrycker önskemål om att medicinstuderande, även om de inte är ansvariga för vården av patienten, ändå vid utbildningstjänstgöring ska få till gång till uppgifter i journalen som en del i deras utbildning.

Några instanser har också synpunkter på utformningen av regelverket och de begrepp som används. Socialstyrelsen tillstyrker i huvudsak utredningens förslag men föreslår bl.a. beträffande behovet av före-

skrifter kring tekniska, fysiska och administrativa skyddsåtgärder att myndigheten ska få ett uttryckligt bemyndigande att meddela föreskrifter om informationssäkerhet i hälso- och sjukvård m.m. samt att det införs ytterligare bestämmelser i lagen om bl.a. krav på att en vårdgivares informationshantering ska vara organiserad så att den tillgodoser patientsäkerhet och kvalitet samt främjar kostnadseffektivitet.

Datainspektionen anser att användargränssnittet i ett system för vårddokumentation ska ha ett utgångsläge som innebär att användaren inte kan se om patienten är aktuell i någon annan verksamhet hos vårdgivaren än den där användaren själv är verksam. Datainspektionen anser därför att modellen med elektronisk åtkomst bör utformas så att vårdgivarens anställda inte får tillgång till information om att patienten över huvud taget förekommer i en annan vårdenhet eller vårdprocess innan förutsättningarna för åtkomsten är uppfyllda. Datainspektionen anser att detta är möjligt att åstadkomma med föreskrifter om behörighetstilldelning samt inom ramen för de övriga tekniska och organisatoriska säkerhetsåtgärder som vårdgivaren ska vidta enligt personuppgiftslagen för att skydda de personuppgifter som behandlas. Vidare anser Datainspektionen när det gäller utgångspunkten för de föreskrifter som Socialstyrelsen förutsätts meddela enligt 8 kap. 5 § andra stycket att det inte framgår av lagtexten om informationen ska innehålla personuppgifter om anställda hos vårdgivarna. Datainspektionen har uppfattat att det inte finns något behov av att namnge vårdpersonal eller att presentera andra uppgifter som indirekt kan hänföras till en fysisk person, dvs. det är tillräckligt att för detta ändamål ange från vilken avdelning, klinik eller motsvarande enhet som åtkomsten härrör. Om personuppgifter om anställda hos vårdgivarna ändå ska ingå behöver det klargöras och det krävs i sådant fall ställningstaganden i integritetsfrågor som rör de anställda.

Landstinget Västmanland framhåller att det finns risk för begreppsförvirring i och med att begreppet direktåtkomst används i vårdregisterlagen och där inte har den innebörd som framförs i förslaget.

Ytterligare några instanser har väckt frågan om disciplinpåföljd för personal som bryter mot den inre sekretessen. Förbundet Sveriges arbetsterapeuter anser att det saknas ett förtydligande om huruvida hälso- och sjukvårdspersonal som bryter mot den inre sekretessen kan bli föremål för disciplinpåföljd enligt bestämmelser i lagen om yrkesverksamhet på hälso- och sjukvårdens område och Sveriges

Psykologförbund anser att det bör tas fram föreskrifter om när vårdpersonal har rätt att ta del av journaler från andra vårdenheter och konstaterar att utredningen inte har berört möjligheten att ålägga den som bryter mot bestämmelsen disciplinansvar enligt sistnämnda lag.

Skälen för regeringens förslag: Den inom hälso- och sjukvården djupt rotade etiska principen om förtroendesekretess för uppgifter som kommer fram i kontakten mellan hälso- och sjukvårdspersonal och patient utgör självklart en stark motkraft mot att skvallra om patienter eller annars sprida uppgifter på ett oacceptabelt sätt bland arbetskamrater.

Detsamma gäller i fråga om benägenheten att ta reda på uppgifter om patienter som vårdas på arbetsplatsen men som man inte själv har en yrkesmässig relation till. Med tanke på hälso- och sjukvårdens omfattning och det stora antalet anställd hälso- och sjukvårdspersonal,

omkring 300 000 personer bara i kommunernas och landstingens hälso- och sjukvård, kan man emellertid inte utgå från att sådant inte alls förekommer.

Utvecklingen mot gemensamma brett tillgängliga elektroniska journalsystem inom de stora vårdgivarnas verksamhet innebär samtidigt ökade risker för integritetsintrång. Om den ökade potentiella tillgängligheten till journaluppgifter inte hanteras på ett bra sätt så att patienterna kan känna sig säkra på att känslig information inte läses av obehöriga, finns det stor risk för att patienterna väljer att stå utanför system med elektronisk åtkomst.

Det behövs en blandning av preventiva och reaktiva åtgärder för att patientuppgifter inte ska hanteras på ett oacceptabelt sätt. Patientdatalagen ska emellertid tillämpas av hela det spektrum av olika slags verksamheter som bedrivs av små och stora vårdgivare och som täcks in i begreppet hälso- och sjukvård. Detsamma gäller de bestämmelser som enbart rör journalföring, som ska kunna tillämpas också av dem som även framgent för en manuell journal eller i ett elektroniskt journalföringsprogram av blygsam omfattning. Det är därför knappast möjligt att i lagen formulera alla de krav som bör ställas på olika slags verksamheter. Det finns också en risk för att detaljerade bestämmelser i lag visar sig olämpliga på sikt på grund av t.ex. en strukturell eller teknisk utveckling inom områden som inte nu kan överblickas. Möjligheterna att lagstifta om olika åtgärder är begränsade.

En mer lämplig väg att gå är att regleringen sker på en lägre nivå, där möjligheterna är större att anpassa kraven till de aktuella och organisatoriska eller informationstekniska behov och förutsättningar som finns. Berörda myndigheter bör därför utrustas med tydliga krav och befogenheter att meddela närmare föreskrifter i frågor som rör den inre sekretessen. Såsom framgått av avsnitt 9.6 kommer regeringen och efter vidaredelegation Socialstyrelsen även i fortsättningen kunna meddela föreskrifter om journalhandlingars hantering och förvaring på samma sätt som gäller i dag. Men även med sådana föreskrifter kommer det att ligga ett ansvar på vårdgivarna att utveckla goda rutiner och adekvata metoder för uppfyllande av de mål och krav som följer av författningarna.

När det gäller frågan hur man i patientdatalagen bör reglera hanteringen av och tillgängligheten till journaler och annan dokumentation om patienter kan man konstatera att redan de nuvarande bestämmelserna i 7 § första stycket patientjournallagen och 8 § vårdregisterlagen egentligen uttrycker det man vill uppnå, nämligen att obehöriga inte får tillgång till den integritetskänsliga informationen och att en anställd inte ska ges åtkomst till elektroniska journaler m.m. i vidare omfattning än vad han eller hon behöver för sitt arbete.

I den komplexa hälso- och sjukvårdsverksamheten är det dock naturligt att sådana allmänt hållna bestämmelser ger utrymme för olika tolkningar. Frågan är i vad mån det går, med beaktande av det tidigare sagda, att förtydliga bestämmelserna på ett sätt som kan passa i alla de verksamheter vars informationshantering regleras av patientdatalagen.

I det följande redogörs för den reglering som behövs och som bör gälla både för manuellt och elektroniskt hanterad information.

Bestämmelser om inre sekretess avseende både manuellt och elektroniskt hanterade uppgifter

Regeringen anser att bestämmelsen i 7 § första stycket patientjournallagen om journalens hantering och förvaring är väsentlig för det inre sekretesskyddet. Bestämmelsen bör därför vara kvar men vidgas i sitt tillämpningsområde till att omfatta alla dokumenterade personuppgifter om en patient eller om annan enskild registrerad som behandlas enligt patientdatalagen. Regeringen föreslår således en bestämmelse som uttryckligen anger detta.

Det införs inte något förbud mot manuell journalföring eller annan manuell behandling av personuppgifter. Det är bl.a. därför relevant att i bestämmelsen tala om förvaring utöver hantering. Det kan noteras att bestämmelsen, även om den främst har betydelse för den inre sekretessen, inte enbart riktar sig mot obehöriga inom en vårdgivares organisation. Kravet på hanteringen och förvaringen gäller även i förhållande till övriga patienter och andra utomstående. Inom den allmänna hälso- och sjukvården följer detta redan av sekretesslagens och arkivlagens (1990:782) bestämmelser. För den enskilda hälso- och sjukvården finns dock ingen motsvarande reglering annat än den nämnda bestämmelsen i patientjournallagen.

Särskilt när det gäller den inre sekretessen är det viktigt att det klargörs att en befattningshavare är behörig att ta del av patientuppgifter endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Beträffande frågan om disciplinpåföljd för hälso- och sjukvårdspersonal som bryter mot bestämmelserna om inre sekretess t.ex. genom att en person som tillhör hälso- och sjukvårdspersonalen obehörigen har tagit del av uppgifter i en patientjournal kan den personen bli föremål för disciplinpåföljd enligt lagen om yrkesverksamhet på hälso- och sjukvårdens område.

Dessutom är 48 § personuppgiftslagen (1998:204) tillämplig, se 10 kap. 1 § patientdatalagen, om den personuppgiftsansvariges skyldighet att betala skadestånd till den enskilde för viss behandling av personuppgifter som skett i strid mot patientdatalagen.

Tilldelning av behörighet för elektronisk åtkomst

Regeringen föreslår att det i lagen ska införas en bestämmelse som föreskriver ett ansvar för den verksamhetsansvariga vårdgivaren att närmare bestämma villkoren för personalens elektroniska åtkomst till uppgifter om patienter.

Behörighet för personalens elektroniska åtkomst till uppgifter om patienter ska begränsas till vad befattningshavaren behöver för att kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. Däri ligger bl.a. att behörigheter ska följas upp och förändras eller inskränkas efter hand som ändringar i den enskilde befattningshavarens arbetsuppgifter ger anledning till det. Bestämmelsen motsvarar i princip 8 § vårdregisterlagen. Syftet med bestämmelsen är att inpränta skyldigheten för den ansvariga vårdgivaren att göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personal-

kategorier och olika slags verksamheter behöver. Men det behövs inte bara behovsanalyser. Även riskanalyser måste göras där man tar hänsyn till olika slags risker som kan vara förknippade med en alltför vid tillgänglighet avseende vissa slags uppgifter. Skyddade personuppgifter som är sekretessmarkerade, uppgifter om allmänt kända personer, uppgifter från vissa mottagningar eller medicinska specialiteter är exempel på kategorier som kan kräva särskilda riskbedömningar.

Generellt sett kan sägas att ju mer omfattande ett informationssystem är, desto större mängd olika behörighetsnivåer måste det finnas. Avgörande för beslut om behörighet för t.ex. olika kategorier av hälso- och sjukvårdspersonal till elektronisk åtkomst till uppgifter i patientjournaler bör vara att behörigheten ska begränsas till vad befattningshavaren behöver för ändamålet en god och säker patientvård. En mer vidsträckt eller grovmaskig behörighetstilldelning bör – även om den skulle ha poänger utifrån effektivitetssynpunkt - anses som en obefogad spridning av journaluppgifter inom en verksamhet och bör som sådan inte accepteras.

Vidare bör uppgifter lagras i olika skikt så att mer känsliga uppgifter kräver aktiva val eller annars inte är lika enkelt åtkomliga för personalen som mindre känsliga uppgifter. När det gäller personal som arbetar med verksamhetsuppföljning, statistikframställning, central ekonomiadministration och liknande verksamhet som inte är individorienterad torde det för flertalet befattningshavare räcka med tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som direkt pekar ut enskilda patienter bör på detta område kunna vara starkt begränsad till enstaka personer.

Att i generella termer reglera hur behörighetstilldelning till hälso- och sjukvårdspersonal och andra befattningshavare bör utformas ter sig dock inte möjligt, i vart fall inte lagstiftningsvägen. Närmare riktlinjer och föreskrifter bör därför meddelas på myndighetsnivå. Regeringens förslag är att det ska ankomma på Socialstyrelsen att efter samråd med Datainspektionen meddela föreskrifter i ämnet.

Vid sammanhållen journalföring bör behörighet tilldelas enligt samma principer, nämligen att varje vårdgivare prövar sin personals elektroniska åtkomst till andra vårdgivares vårddokumentation som finns tillgänglig för vårdgivaren i den sammanhållna journalföringen, se 6 kap. 8 § patientdatalagen.

Kontroll av elektronisk åtkomst

Enligt både patientjournallagen och vårdregisterlagen följer ett ansvar för den verksamhetsansvariga vårdgivaren att självmant följa upp hur behörighetssystem fungerar och i vad mån obehörig intern åtkomst skett. Enligt uppföljning av Datainspektionen tycks flera vårdgivare dock inte vara helt införstådda med sina skyldigheter i dessa avseenden. Därför föreslår regeringen en uttrycklig bestämmelse om skyldighet för vårdgivaren att dokumentera all elektronisk åtkomst.

För att främja patientsäkerheten bör vårdgivarna vidare åläggas att systematiskt och fortlöpande företa kontroller av om obehörig åtkomst

till uppgifter om patienter förekommer. Regeringen föreslår att detta uttryckligen föreskrivs som ett krav i patientdatalagen. En sådan bestämmelse innebär inte bara att faktiska dataintrång med större säkerhet kommer att kunna konstateras och beivras. Bestämmelsen bör också få en starkt avhållande verkan på personal som, om risken för upptäckt är liten, kan frestas att olovligen läsa uppgifter.

Av samma skäl som nämnts i det föregående bör även i dessa frågor närmare föreskrifter meddelas på myndighetsnivå. Med tanke på Socialstyrelsens ställning, som central förvaltningsmyndighet för hälso- och sjukvårdsverksamhet, anser regeringen att denna myndighet lämpligen bör ansvara för att föreskrifter meddelas, dock efter samråd med Datainspektionen.

Vid sammanhållen journalföring ska samma principer om åtkomstkontroll tillämpas, se 6 kap. 8 § patientdatalagen. Med det avses att en vårdgivare har samma skyldigheter när det gäller elektronisk åtkomst till andra vårdgivares patientuppgifter genom sammanhållen journalföring.

En rätt för patienten att få information om direktåtkomst och elektronisk åtkomst

Inom den allmänna hälso- och sjukvården utgör logglistorna allmänna handlingar som patienter kan begära utlämnade med stöd av 2 kap. tryckfrihetsförordningens bestämmelser. Någon sekretess torde normalt inte kunna anföras som skäl mot att lämna ut sådana listor.

Någon rätt för patienter att få logglistor från den enskilda hälso- och sjukvården finns inte.

Regeringen instämmer i utredningens uppfattning att allmänhetens förtroende för hälso- och sjukvårdens informationshantering förstärks om den enskilde får klar och tydlig information om vilken åtkomst som förekommit till uppgifter om honom eller henne. För den patient som oroar sig för att någon obehörig läst journalen är bearbetade logglistor med förklaringar givetvis ett utmärkt verktyg att själv kunna konstatera om oron varit befogad eller inte. Liksom när det gäller förslaget om att åtkomstkontroller ska göras systematiskt och fortlöpande, torde vetskapen om patientens rätt att själv kontrollera åtkomsten ha en starkt avhållande verkan.

Mot bakgrund av detta föreslår regeringen en bestämmelse om att patienter ska ha rätt att på begäran få information om vilken direktåtkomst och elektronisk åtkomst till uppgifter om honom eller henne som förekommit. Bestämmelsen omfattar både den allmänna och enskilda hälso- och sjukvården.

Datainspektionen har anfört att det inte finns något behov av att namnge vårdpersonal eller att presentera andra uppgifter som indirekt kan hänföras till en fysisk person, dvs. det är tillräckligt att för detta ändamål ange från vilken avdelning, klinik eller motsvarande enhet som åtkomsten härrör. Regeringen instämmer i Datainspektionens bedömning och anser att sådana uppgifter inte bör lämnas ut till den enskilde. Regeringen anser det dock vara lämpligast att överlämna frågan om den information som ska ges till patienten att regleras mera i detalj på

föreskriftsnivå. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela dessa föreskrifter.

Inre spärrar – patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

För en del patienter kommer det inte att räcka med en möjlighet att i efterhand kontrollera vilken åtkomst som förekommit. Det förekommer redan i dag att patienter önskar att journaluppgifter spärras från elektronisk tillgänglighet utanför en avdelning, klinik eller motsvarande, men varken vårdregisterlagen eller personuppgiftslagen ger patienten något inflytande över tillgängligheten till hans eller hennes patientjournal inom en vårdgivares verksamhet. Att en patient har möjlighet att begära sådana spärrar är enligt regeringens uppfattning i linje med de grundläggande principerna som slås fast i 2 a § hälso- och sjukvårdslagen (1982:763) om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt som möjligt utföras och genomföras i samråd med patienten.

Regeringen föreslår mot bakgrund av detta en bestämmelse som slår fast de principer som uttrycks i den anförda bestämmelsen i 2 a § hälso- och sjukvårdslagen när det gäller elektronisk tillgänglighet inom en vårdgivares individinriktade patientverksamhet. Bestämmelsen innebär att den enskilde patienten ges rätt att begära att vårddokumentation spärras från tillgänglighet genom elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör, s.k. inre spärrar. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser.

Utan en sådan spärrmöjlighet kan inte uteslutas att patienter håller inne med känslig men viktig information av rädsla för att informationen sprids. Det kan heller inte uteslutas att enskilda yrkesutövare av hänsyn till patienten börjar föra anteckningar vid sidan av journalen, om det inte finns möjligheter att spärra uppgifterna för läsbarhet utanför en snävare krets av hälso- och sjukvårdspersonalen. Sådan parallell ”sidojournalföring” bör inte förekomma, eftersom det i förlängningen får negativa återverkningar på patientsäkerheten. Den föreslagna bestämmelsen motsvarar i stort patientens opt-out möjlighet i fråga om tillgängliggörande av journaluppgifter för andra vårdgivare vid sammanhållen journalföring, jfr. kapitel 10 för en närmare beskrivning.

Liksom i fråga om den sammanhållna journalföringen handlar den inre spärren inte om huruvida uppgifter om en patient alls bör få utbytas mellan olika kliniker eller olika sjukhus m.m. hos en och samma vårdgivare. Det sagda reglerar bara sättet för utbytet; elektronisk åtkomst. Några nya interna sekretessgränser föreslås alltså inte. Inte heller ges patienten genom förslaget en rätt att hindra vårdgivaren från att använda uppgifter om honom eller henne vid t.ex. uppföljning och kvalitetssäkring av den egna verksamheten.

Det är vårdgivaren som på förhand har att definiera vilka vårdenheter alternativt vårdprocesser som finns inom vårdgivarens individinriktade hälso- och sjukvård och därmed vilka spärrar som kan tillhandahållas. Det krävs alltså inte att vårdgivare ska kunna tillmötesgå varje patients

individuella önskemål. Förslagen om patientens rätt att spärra information innebär alltså ingen inskränkning av vårdgivarnas skyldigheter att utifrån bl.a. behovs- och riskanalyser begränsa den elektroniska tillgängligheten till elektroniska patientuppgifter inom sin verksamhet. Patientens rätt till inre spärrar utgör bara ett komplement till vårdgivarnas ansvar härvidlag.

Med patientens samtycke ska dessa s.k. inre spärrar få hävas av en behörig befattningshavare vid en annan vårdenhet eller vårdprocess som patienten besöker. Patienten ska också kunna vända sig till vårdgivaren och begära en mer varaktigt hävning.

Vidare föreslår regeringen att spärren ska kunna hävas av en annan vårdenhet alternativt annan vårdprocess, t.ex. akutmottagningen, om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver och ett samtycke inte kan inhämtas, t.ex. därför att patienten är medvetslös, eller liknande och situationens allvar motiverar att spärren hävs. Då möjligheten att häva en spärr vid en sådan akut nödsituation kan upplevas som känslig för patienten är det viktigt att systemet är utformat så att det både tillgodoser patientens bästa i vårdsituationen men också så långt som möjligt skyddar patientens integritet genom att andra spärrade uppgifter som inte kan antas ha betydelse för den vård som patienten oundgängligen behöver inte per automatik görs tillgängliga vid en akut nödsituation.

För att säkerställa detta får en behörig befattningshavare bereda sig tillgång till en annan vårdenhets alternativt annan vårdprocess spärrade uppgifter om en patient vid en akut nödsituation endast om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Systemet ska vara uppbyggt på så sätt att befattningshavaren i steg 1 får tillgång till information om vid vilken eller vid vilka vårdenheter eller vårdprocesser som det finns spärrade uppgifter. Befattningshavaren kan i detta skede endast se uppgiften vid vilken eller vid vilka vårdenheter eller vårdprocesser som spärrar har gjorts, inte specifikt typ av behandling som spärrats hos annan vårdenhet eller inom annan vårdprocess. Steg två innebär att befattningshavaren, genom att denne kan se vid vilken eller vid vilka vårdenheter eller vårdprocesser uppgifter har spärrats, kan bedöma om det spärrade uppgifterna kan antas ha betydelse för vården av patienten. Endast uppgifter som kan antas ha en sådan betydelse får hävas.

Regeringen anser att det är av fundamental betydelse att gå försiktigt fram vid införandet av ny lagstiftning som öppnar upp möjligheterna till spridning av känslig information. De patienter som till varje pris vill behålla en hemlighet måste kunna vända sig till svensk hälso- och sjukvård i den trygga förvissningen om att kunna få gehör för sin klart uttalade vilja om hur spridd den elektroniska tillgängligheten till information om honom eller henne ska vara.

Flera av experterna i utredningen och en majoritet av remissinstanserna har dock uttryckt oro för att utredningens förslag, som också innebär att en vårdgivare har rätt att spärra uppgifter i sina barns journal, kan missbrukas för att dölja att barnet far illa och försvåra för vårdpersonalen att upptäcka fall där anmälningsskyldighet föreligger enligt socialtjänstlagen. Experterna och remissinstanserna har därför föreslagit att ett

undantag bör införas som innebär att vårdnadshavare inte ges möjlighet att spärra uppgifter i sina barns journal.

Utredningen tog upp frågan om undantag från spärrmöjligheten i betänkandet men fann inte skäl att föreslå undantag. Utredningen motiverade detta med att det är en bit kvar innan heltäckande journalsystem för all journalföring blir vanliga hos stora myndigheter inom den landstingsbedrivna vården och att utredningen därför var tveksam till om förslagen om inre spärr kommer att innebära någon verklig försämring jämfört med de möjligheter man i realiteten har i dag när det gäller att identifiera utsatta patientkategorier. Vidare anförde utredningen att de inte haft möjlighet att inom ramen för uppdraget närmare kartlägga omfattningen av vilka problem som i dag finns på området och att det inte är lätt att överblicka vilka konsekvenser ett undantag från rätten att spärra vårddokumentation kan få.

Mot bakgrund av vad som framförts av experterna i utredningen och av remissinstanserna har regeringen dock kommit till slutsatsen att skyddet för barnet i dessa fall väger tyngre än skyddet för den enskildes integritet. Regeringen föreslår därför en regel som innebär att vårdnadshavare inte har rätt att spärra uppgifter i sina barns journal. I takt med barnets stigande ålder och mognad får dock barnet själv spärra uppgifterna.

Beträffande bedömning av mognadsgrad bör barn och tonåringar hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och mognad ska allt större hänsyn tas till barnets önskemål och vilja vad t.ex. gäller om uppgifter om honom eller henne ska få göras tillgängliga för andra vårdgivare eller inte och vad gäller samtycke vid ospärrade uppgifter, jfr. 6 kap. 11 § föräldrabalken.

Det går inte att nu göra annat än antaganden om hur många som kommer att välja att spärra uppgifter och varför eller anledningen till att patienter inte spärrar uppgifter. Den nyordning som regeringen föreslår bör därför utvärderas så snart som det finns underlag för en utvärdering. Visar det sig vid en framtida utvärdering att många patienter spärrar sina uppgifter och att det leder till problem utifrån patientsäkerhetssynpunkt vad det gäller andra områden än barn som far illa, som exempelvis smitta, kan det finnas skäl att överväga ytterligare lagändringar som gör undantag från den ordning som regeringen nu föreslagit.

Hänvisningar till S11-3

12. Patientens rätt att ta del av handlingar m.m.

12.1. Patientens rätt att ta del av sin journal

Regeringens förslag: I fråga om skyldigheten för en myndighet inom allmän hälso- och sjukvård att till patienten lämna ut journalhandlingar och andra handlingar och uppgifter görs i patientdatalagen en hänvisning till bestämmelserna i tryckfrihetsförordningen och sekretesslagen.

Patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård förs över oförändrade till patientdatalagen med ett undantag. Undantaget innebär att även en närstående till patienten har rätt att få sin begäran att få ta del av en journalhandling inom enskild hälso- och sjukvård prövad.

Utredningens förslag: Överensstämmer i huvudsak med regeringens förslag med den ändringen att även en närstående till patienten har rätt att få sin begäran att få ta del av en journalhandling inom enskild hälso- och sjukvård prövad.

Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot utredningens förslag.

Barnombudsmannen tillstyrker förslagen men vill dock understryka att barn, i relation till deras ålder och mognad, har rätt till en viss självbestämmanderätt i förhållande till sina vårdnadshavare. Detta torde även gälla när barn och unga vill ta del av sina journalhandlingar.

Landstinget i Norrbotten anser att det bör bli tydligare vad informationen till patienten ska innehålla vid ett registerutdrag. Landstinget anser att informationen till patienten inte ska innehålla medicinsk information eller andra personliga uppgifter, utan bara vilka typer av uppgifter som journalen innehåller. Att få del av dessa uppgifter ska inte förväxlas med att ta del av innehållet i journalen, vilket ska betraktas som en begäran av allmän handling i enlighet med Tryckfrihetsförordningen 2 kap 1 §. Svenska Läkaresällskapet anser att patienten bör kunna få tillgång till sin journal, men att det inte ska vara en skyldighet för vårdgivaren att bevilja detta. Motivet är att skydda patienten mot andras krav på patienten att få ut journalen. eHälsoinstitutet anser att förslaget är ett viktigt första steg mot att göra journaluppgifter tillgängliga för patienter men att detta arbete måste vidareutvecklas gärna med stöd av olika e-hälsotjänster.

Den långsiktiga målsättningen måste enligt eHälsoinstitutet vara att patienten har rätt att äga informationen om sig själv. Sveriges Läkarsekreterarförbund anser att det behövs till en förstärkt patienträtt då man i dagens läge fortfarande rätt ofta ifrågasätter patienters förfrågan om att få ut sina journalhandlingar och dessutom dröjer det lång tid innan patienten får sina handlingar. Socialstyrelsen framhåller att patienten enligt 16 § första stycket patientjournallagen ges rätt att på begäran och efter att ha fått saken prövad få ta del av sin journal inom hälso- och sjukvården. Det är emellertid inte ovanligt att en yrkesutövare inom hälso- och sjukvården får en begäran från t.ex. en närstående som önskar ta del av en avliden patients journalhandlingar. Närstående som önskar ta del av en avliden patients journalhandlingar nekas dock av Socialstyrelsen till sådan åtkomst av det enkla skälet att sökanden inte är

”patient” enligt vad som anges i 16 § första stycket patientjournallagen. Socialstyrelsen önskar därför att det övervägs ett förtydligande i 8 kap. 2 § patientdatalagen som gör det lättare för myndigheten att fullgöra lagstiftarens intentioner. Styrelsen föreslår en bestämmelse som ger närstående till en patient en rätt att få sin behörighet prövad att få ta del av patientens journal.

Skälen för regeringens förslag: Regeringen har tidigare föreslagit att patientdatalagen ska innehålla ett särskilt kapitel om rättigheter för den enskilde. Bestämmelser om patientens rätt att ta del av sin journal bör tas in i det kapitlet.

Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient följer av bestämmelserna i tryckfrihetsförordningen och sekretesslagen. Till dessa författningar hänvisar 15 § patientjournallagen (1985:562) såvitt gäller journalhandlingar inom den allmänna hälso- och sjukvården. Bestämmelsen i 15 § patientjournallagen ska föras över till patientdatalagen. Regeringen föreslår därför att det även i patientdatalagen görs en hänvisning till bestämmelserna i tryckfrihetsförordningen och sekretesslagen.

Av tryckfrihetsförordningen och sekretesslagen följer att en patient i princip alltid har rätt att ta del av uppgifter om sig själv. Undantag gäller dock för uppgifter om hans eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne, 7 kap. 3 § sekretesslagen (1980:100). Vidare gäller undantag för anmälan eller annan utsaga av enskild om patientens hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs för patienten, 7 kap. 6 § sekretesslagen.

I den mån något undantag inte är tillämpligt, ska journalen på begäran lämnas ut till patienten. Om ett undantag är tillämpligt endast för delar av journalen, ska journalen lämnas ut i övriga delar.

Enligt sekretesslagen föreligger som huvudregel en presumtion om att sekretess gäller för journalhandlingar inom den allmänna hälso- och sjukvården om annan än den enskilde, exempelvis en närstående till en patient, önskar få ta del av journalhandlingarna, om det inte står klart att uppgift i journalhandlingarna kan röjas utan att den enskilde eller någon närstående till den enskilde lider men, 7 kap. 1 c § sekretesslagen. Sekretessen gäller därmed med ett s.k. omvänt skaderekvisit. I 7 kap. 1 c § sista stycket sista meningen sekretesslagen finns en undantagsbestämmelse från hälso- och sjukvårdssekretessen. Det gäller utlämnande till enskild enligt vissa angivna lagar som har det gemensamt att lättnaden i sekretessen motiverats av hänsyn till den mottagande personens starka och berättigade intresse av att få del av informationen. Patienten kan också efterge sekretessen helt eller delvis till förmån för exempelvis en närstående till patienten.

Regeringen föreslår att patientjournallagens bestämmelser om patientens rätt att ta del av journalhandlingar inom enskild hälso- och sjukvård förs över oförändrade till patientdatalagen dock med ett undantag. Undantaget föranleds av socialstyrelsens synpunkter och innebär att

även en närstående till patienten har rätt att få sin begäran att få ta del av en journalhandling inom enskild hälso- och sjukvård prövad. Vid prövningen förutsätts att ledning söks i sekretesslagens bestämmelser. Bestämmelsen om överklagande av Socialstyrelsens beslut förs in i ett särskilt kapitel, se avsnitt 18.

Hänvisningar till S12-1

12.2. Direktåtkomst för patienten

Regeringens förslag: En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Den enskilde får under samma förutsättningar medges direktåtkomst till dokumentation om den åtkomst till uppgifter som förekommit om den enskilde (logglistor). Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: En majoritet av remissinstanserna instämmer i utredningens förslag. Samtidigt framhåller flera remissinstanser vikten av säkra rutiner för hur åtkomst sker och på vilket sätt informationen förmedlas.

Datainspektionen har anfört när det gäller utgångspunkten för de föreskrifter som Socialstyrelsen förutsätts meddela enligt 5 kap. 5 § andra stycket patientdatalagen att det inte framgår av lagtexten om informationen ska innehålla personuppgifter om anställda hos vårdgivarna. Datainspektionen har uppfattat att det inte finns något behov av att namnge vårdpersonal eller att presentera andra uppgifter som indirekt kan hänföras till en fysisk person, dvs. det är tillräckligt att för detta ändamål ange från vilken avdelning, klinik eller motsvarande enhet som åtkomsten härrör. Om personuppgifter om anställda hos vårdgivarna ändå ska ingå behöver det klargöras och det krävs i sådant fall ställningstaganden i integritetsfrågor som rör de anställda. Handikappförbundens samarbetsorgan påpekar att när systemet för direktåtkomst byggs upp är det viktigt att ta med tillgänglighetsaspekter för personer med olika typer av funktionsnedsättningar så att till exempel personer med synnedsättning kan använda sina datorprogram för att ta del av vad som står i journalen. Karlskrona kommun instämmer i förslaget men påpekar att direktåtkomst för patienten ställer stora krav på säkerhet och tydlighet i vad som gäller för direktåtkomst. Kommunen hänvisar till behovet av att regering eller någon myndighet meddelar föreskrifter om krav på säkerhetsåtgärder. Östersunds kommun anser att direktåtkomst till egen journal kräver särskilda föreskrifter till vårdgivarna. Dessa föreskrifter ska styra vad som får lämnas ut genom direktåtkomst och på vilket sätt. Kommunen anser att direktåtkomst för enskild kan innebära att information feltolkas och att information görs tillgänglig utan nödvändig dialog med hälso- och sjukvårdspersonal samt att obehörig kan få tillgång till information. Föreskrifter avseende direktåtkomst bör därför enligt kommunen prioriteras.

Landstinget i Kalmar län understryker betydelsen av att direktåtkomst sker med den försiktighet som utredningen anger i betänkandet. Detta gäller bl. a. personer med skyddade personuppgifter, unga kvinnor med invandrarbakgrund och andra grupper där risk för påtryckningar kan finnas. Ett öppnare förhållningssätt får enligt landstinget inte äventyra rätten till insynsskydd och integritet för enskilda patienter. Landstinget delar också utredningens uppfattning att det torde krävas vissa säkerhetsåtgärder för att vårdgivare ska kunna ge patienter direktåtkomst till deras egna uppgifter, bl. a. avseende identifieringen av den som efterfrågar uppgifterna samt avseende möjligheter att spärra vissa uppgifter som patienten inte medges ta del av på grund av sekretess.

Landstinget framhåller vidare att en uttrycklig skyldighet för vårdgivare att dokumentera all elektronisk åtkomst till patientuppgifter gör det möjligt för den enskilde patienten att kunna få klar och tydlig information om vilken åtkomst som förekommit till dennes uppgifter. Liksom utredningen är landstinget övertygat om att allmänhetens förtroende för hälso- och sjukvården förstärks genom möjligheterna för patienten att, utöver tillgången till egna journaluppgifter, även få tillgång till information om hur dessa hanteras inom vården.

Landstinget i Östergötland delar utredningens slutsats att det vore olämpligt att ändra förutsättningarna så att patienten framöver skulle sägas äga sin egen journal. Däremot bör patientens inflytande över vården lyftas fram och detta görs bl.a. genom att patienten tillåts ha direktåtkomst till sin journal. Genom direktåtkomst till sin patientjournal och även till loggar tror landstinget att patientens förtroende för vården kommer att öka. Även patientens engagemang i vården torde öka, eftersom fler patienter kommer ta del av sina journaluppgifter.

Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset har inget att invända mot att patienterna på ett smidigt sätt kan ta del av informationen i patientjournalerna och tillhörande åtkomstdokumentation men anser att det kan ifrågasättas om direktåtkomst över

Internet är värt de risker som det innebär för att obehöriga kommer åt uppgifterna. Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset anser vidare att vårdgivarna bör undanta vissa journalhandlingar eller i andra fall fördröja patientens åtkomst, t.ex. för att först kunna få en personlig kontakt med patienten. Regionen och sjukhuset vill också fästa uppmärksamhet på att informationsflödet mellan vård och patient kommer att ske i båda riktningarna och att kraven på säkerhetslösningar måste likställas.

Landstinget Gävleborg anser att förslaget ger ökade möjligheter för patienten att i större utsträckning ta ansvar för sin egen hälsa. En patient med god kunskap om sin egen sjukdomsbild underlättar en säkrare vård.

Landstinget anser vidare att patientens möjlighet att ta del av loggar behöver lyftas fram ytterligare för att stärka patientens integritet och medbestämmande.

Svenska föreningen för barn- och ungdomspsykiatri delar utredningens uppfattning att patienterna på ett smidigt sätt ska kunna ta del av sin journal. Föreningen påpekar att direktåtkomst över Internet är angelägen men kräver ett säkert krypterat informationsutbyte. Utvecklingen går raskt i riktning mot interaktiv vård via Internet som exempelvis innebär behandlingsuppföljning via frågeformulär på hemdatorn. Föreningen

anser vidare att vårdgivarna bör ha möjlighet att undanta visst journalmaterial.

Skälen för regeringens förslag: Användningen av Internet blir allt mer utbredd i Sverige och allt fler använder sig av elektroniska tjänster.

Inom hälso- och sjukvården kan patienter söka information om sjukdomar och behandlingar via Internet. I flera landsting kan patienter också boka tider, förnya recept eller ställa frågor via Internet.

Mot bakgrund av den ökade Internetanvändningen framstår det som naturligt att patienter ges möjlighet att få direktåtkomst till sådana patientuppgifter som får lämnas ut till dem.

Önskemål om direktåtkomst till journaluppgifter har också framförts till utredningen från företrädare för ett antal patient- och anhörigorganisationer. Vidare visar den enkätundersökning som utredningen låtit Statistiska centralbyrån göra att 71 procent vill kunna ta del av sin patientjournal via Internet. Även om resultat från sådana undersökningar måste tolkas försiktigt, visar undersökningen att det finns ett stort intresse bland allmänheten att kunna ta del av sina journaluppgifter på detta sätt.

Patienter har också genom bestämmelser i hälso- och sjukvårdslagen och lagen om yrkesverksamhet på hälso- och sjukvårdens område getts rätt till information, delaktighet och medinflytande. Att ge patienter direktåtkomst till sina patientuppgifter bidrar till deras möjligheter att på ett bättre sätt aktivt delta i sin vård. Patienterna skulle t.ex. kunna bli mer informerade om sitt hälsotillstånd. Vidare skulle de kunna kontrollera att uppgifter som de lämnat till hälso- och sjukvårdspersonalen uppfattats på ett korrekt sätt. De skulle även kunna titta på resultat från provtagningar, vilket framför allt skulle spara tid för patienter som det regelbundet tas prover på och som ständigt behöver övervaka sitt sjukdomsförlopp. Direktåtkomst skulle också kunna vara ett sätt att låta journalen följa patienten genom att denne då kan låta en vårdgivare som han eller hon besöker för första gången, ta del av uppgifterna.

Regeringens förslag är mot bakgrund av detta att patienter bör ges möjlighet att ta del av uppgifter om sig själva via Internet och detta oavsett om vårdgivaren deltar i sammanhållen journalföring eller ej. Någon rättighet för enskilda att ha direktåtkomst till sina uppgifter bör dock inte införas för närvarande. Konsekvenserna av införandet av en sådan rättighet kan nämligen inte till fullo överblickas. En sådan rättighet skulle också innebära att alla vårdgivare som för elektroniska patientjournaler skulle vara skyldiga att ge sina patienter en sådan åtkomst. I nuläget saknas det förutsättningar att ålägga samtliga vårdgivare en sådan skyldighet.

Det kan naturligtvis inträffa att en patient som har getts direktåtkomst till sina patientuppgifter och som på egen hand tar del av dessa missförstår uppgifterna. Det kan emellertid hända även i dag när en patient får en utskrift av sin journal och väljer att läsa denna på egen hand. Det får nämligen inte, annat än i undantagsfall, uppställas som villkor för utlämnande av en journal att en läkare finns med och förklarar innehållet. Risken för missförstånd kan i viss mån motverkas om vårdgivarna erbjuder de patienter som ges direktåtkomst till sina uppgifter möjlighet att få hjälp att tyda dem.

Direktåtkomsten bör avse sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som omfattas av personuppgiftsbehandling för ändamålet vårddokumentation. Det är dock vårdgivaren som avgör i vilken utsträckning sådana uppgifter ska göras tillgängliga för patienterna. Datainspektionen har anfört att det inte finns något behov av att namnge vårdpersonal eller att presentera andra uppgifter som indirekt kan hänföras till en fysisk person, dvs. det är tillräckligt att för detta ändamål ange från vilken avdelning, klinik eller motsvarande enhet som åtkomsten härrör. Regeringen instämmer i Datainspektionens bedömning och anser att sådana uppgifter inte bör lämnas ut till den enskilde.

Regeringen har i tidigare avsnitt framhållit betydelsen av att patienter kan få information om vilken elektronisk åtkomst som förekommit till uppgifter om honom eller henne. En bestämmelse som ger patienter rätt att på begäran få information om sådan åtkomst har också föreslagits. De skäl som tidigare anförts för en sådan bestämmelse talar också för att det bör vara tillåtet för vårdgivare att ge sina patienter direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om dem.

Ett skäl som har anförts mot att ge patienter direktåtkomst till sina patientuppgifter är risken för att patienterna utsätts för påtryckningar från t.ex. anhöriga eller blivande arbetsgivare att visa dem uppgifterna. Det går naturligtvis inte att helt bortse från risken att några patienter kan komma utsättas för sådana påtryckningar. En sådan risk finns emellertid redan nu. En person kan t.ex. förmå en anhörig att ge honom eller henne fullmakt att begära ut journaluppgifter beträffande denne.

Ett sätt att begränsa denna risk är att göra uppgifterna inte alltför lätt tillgängliga. Uppgifter om en patient behöver inte med automatik finnas tillgängliga för denne via Internet enbart därför att en vårdgivare erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter. Tillgängligheten bör i stället förutsätta att patienten inledningsvis på något sätt framfört önskemål till vårdgivaren om att få direktåtkomst till sina uppgifter. Denna förutsättning kommer sannolikt även innebära att det framför allt är de lite mer intresserade patienterna som kommer att ha direktåtkomst till sina patientuppgifter. En framställan om ett önskemål förutsätter ju överväganden från den enskildes sida och ett aktivt handlande. Det ger även vårdgivaren tillfälle att informera patienten om t.ex. vart han eller hon kan vända sig för att få hjälp att tyda uppgifterna. För tydlighetens skull kan tilläggas att det inte är regeringens mening att det ska krävas en formell ansökan från patienten som utmynnar i ett slags tillstånd. Alla patienter som framför önskemål till en vårdgivare som erbjuder sina patienter möjlighet att få direktåtkomst till patientuppgifter ska alltså kunna få sådan åtkomst.

Regeringens förslag i avsnitt 7.6 om att direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara får förekomma i den utsträckning som anges i lag eller förordning, innebär att för att den nu föreslagna direktåtkomsten ska bli tillåten krävs att en bestämmelse om detta tas in i patientdatalagen. Regeringen föreslår därför att det i patientdatalagen anges att en vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde som behandlas för det ändamål som i avsnitt 7.1 betecknar vårddokumentation. För att understryka att en sekretessprövning är nödvändig i samband med att uppgifter

görs tekniskt åtkomliga för patienten anges att det är fråga om uppgifter som får lämnas ut till den enskilde. Vidare får den enskilde under samma förutsättningar medges direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om den enskilde.

Det är regeringens uppfattning att det krävs säkerhetsåtgärder för att vårdgivare ska kunna medge sina patienter direktåtkomst till patientuppgifter. Det måste t.ex. finnas tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Vidare bör det finnas tekniska lösningar för att spärra uppgifter som inte kan lämnas ut till en patient på grund av att de är sekretessbelagda eller omfattas av tystnadsplikt i förhållande till patienten. Det är inte möjligt att i lag precisera de krav som bör ställas. Regeringen föreslår därför att regeringen, eller efter bemyndigande, Socialstyrelsen efter samråd med Datainspektionen får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst för enskilda.

Enligt 7 § andra stycket patientjournallagen ska det antecknas i patientjournalen om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon. I sådant fall ska det antecknas vem som har fått handlingen och när denna har lämnats ut. Regeringens förslag innebär att bestämmelsen förs över oförändrad till patientdatalagen, se avsnitt 9.7. Som framgått av avsnitt 10.7 föreslår regeringen att bestämmelsen inte ska gälla vid utlämnande genom elektronisk åtkomst. Detta gäller även i fråga om patienters direktåtkomst.

Hänvisningar till S12-2

13. Överföring av personuppgifter i individinriktad verksamhet

13.1. Sekretessfrågor

Regeringens förslag: Två nya sekretessbrytande bestämmelser införs i sekretesslagen. De syftar till att underlätta samarbetet i den individinriktade patientverksamheten. Innebörden av bestämmelserna är följande.

– Hälso- och sjukvårdssekretess hindrar inte att en uppgift lämnas från en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting.

– Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en uppgift lämnas ut, hindrar hälso- och sjukvårdssekretess inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

Regeringens bedömning: Det bör inte införas någon bestämmelse om att det inte finns någon sekretessgräns mellan hälso- och sjukvårds-

verksamheter som bedrivs inom samma myndighet eftersom det skulle strida mot sekretesslagens systematik att införa ett sådant förtydligande.

Utredningens förslag: Utredningens förslag överensstämmer i sak med regeringens förslag och bedömning med den ändringen att regeringen valt en annan lagteknisk lösning.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Sahlgrenska Universitetssjukhuset, SU, tillstyrker utredningens förslag till ändring i sekretesslagen. SU anser att förslaget gör det möjligt att organisera olika delar av ett landstings hälso- och sjukvård under olika politiska nämnder och samtidigt bibehålla tillgången till vårdinformation i vårdkedjor. Det ger också förutsättningar att samordna t.ex. radiologiverksamhet i landstinget även om patienterna finns vid olika sjukhus.

Ett genomförande av utredningens förslag i denna del är enligt SU en absolut förutsättning för att vården ska kunna tillgodogöra sig de möjligheter till ökad patientsäkerhet och effektivitet som den moderna informationstekniken ger. Självfallet måste patienternas behov av skydd för den personliga integriteten beaktas men detta ska inte vara beroende av hur den politiska organisationen utformas i ett landsting. Utredningen lägger fram förslag på hur patienternas integritet i stället ska skyddas genom möjlighet till spärrar samt kontroller av att obehörig läsning av patientjournaler inte sker.

Justitieombudsmannen, JO, ställer sig tveksam till utredningens föreslag att hälso- och sjukvårdssekretessen inte ska hindra att en uppgift lämnas från en myndighet inom hälso- och sjukvården till en annan sådan myndighet i samma kommun eller landsting. JO anför att utredningens förslag innebär att sekretessområdet inom hälso- och sjukvården blir mycket stort. Inom ett landsting kommer sekretessen inte att gälla mellan t.ex. psykiatrin, folktandvården, verksamhet som rör smittsamma sjukdomar, missbrukarvården eller den somatiska vården. JO ifrågasätter mot bakgrund av detta lämpligheten i förslaget och anser att konsekvenserna behöver belysas ytterligare. JO anför vidare att om förslaget leder till lagstiftning vill JO ifrågasätta om inte bestämmelsen, med hänsyn till den nuvarande sekretesslagens struktur, bör införas i lagens första kapitel. JO hänvisar vidare till det yttrande som JO lämnade över Offentlighets- och sekretesskommitténs (OSEK) betänkande där JO inte avvisade möjligheterna att lämna ut uppgifter, men påtalade att undantagsregler på detta område måste utformas efter noggranna överväganden där den enskildes berättigade krav på integritet och självbestämmande tillmäts särskild tyngd. JO konstaterar att patientdatautredningen har anslutit sig till

OSEK:s bedömning att det av patientsäkerhetsskäl behövs en bestämmelse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild ska kunna få nödvändig vård, omsorg etc. Till skillnad från OSEK föreslår dock patientdatautredningen att det i bestämmelsen uttryckligen anges att sekretessgenombrottet ska gälla bara om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgifter lämnas ut. Att detta tydligt framgår i lagtexten anser JO är en förbättring men det hindrar inte att den uppfattning som JO gav uttryck för i sitt yttrande över OSEK:s betänkande i allt väsentligt

kvarstår. Om förslaget leder till lagstiftning anser JO att det finns skäl att diskutera om inte bestämmelsen bör införas i 14 kap. 2 § sekretesslagen.

Skälen för regeringens förslag och bedömning

Sekretess inom hälso- och sjukvårdsmyndighet

Som nämnts i avsnitt 5.6 har OSEK i betänkandet Ny sekretesslag (SOU 2003:99) berört frågor om uppgiftsutbytet inom hälso- och sjukvården och mellan hälso- och sjukvården och andra verksamheter. Enligt 1 kap. 3 § andra stycket sekretesslagen (1980:100) gäller sekretess mellan olika verksamhetsgrenar inom samma myndighet när de är att betrakta som självständiga i förhållande till varandra. OSEK har gjort bedömningen att all hälso- och sjukvårdsverksamhet inom en myndighet utgör en och samma slags verksamhet. OSEK anser vidare att övervägande skäl talar för att även övrig medicinsk verksamhet som anges i 7 kap. 1 c § första stycket sekretesslagen bör utgöra samma sorts verksamhet. OSEK gör därför bedömningen att det inte uppkommer några sekretessgränser beträffande hälso- och sjukvård som bedrivs inom samma myndighet, dvs. sådan hälso- och sjukvård som lyder under samma nämnd inom ett landsting eller en kommun (aa s. 273). Det innebär att någon prövning enligt sekretesslagen inte behöver göras när uppgifter överförs mellan olika vårdinrättningar, t.ex. från ett sjukhus till en vårdcentral, så länge som dessa sorterar under samma nämnd. Detsamma gäller om det handlar om överföring av uppgifter från en psykiatrisk klinik till en somatiskt inriktad vårdenhet inom samma myndighet.

Patientdatautredningen har anslutit sig till OSEK:s bedömning i detta avseende (SOU 2006:82 s. 330 och s. 394). Patientdatautredningen anser att det inte bör införas någon bestämmelse i den nuvarande sekretesslagen som klargör att det inte finns någon sekretessgräns mellan hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. Patientdatautredningen menar att det redan följer av gällande rätt att så är fallet och att en sådan uttrycklig bestämmelse skulle strida mot den nuvarande sekretesslagens systematik.

Frågan under vilka förutsättningar en sekretessgräns uppstår mellan verksamheter inom samma myndighet har behandlats i ett flertal olika propositioner på senare år, bl. a propositionen Anpassningar med anledning av en ny statlig myndighet för socialförsäkringens administration (prop. 2003/04:152 s. 249 f.), propositionen Kriminalvården - en myndighet (prop. 2004/05:176 s. 55 f.), propositionen En kronofogdemyndighet i tiden (2005/06:200 s. 146 f.) och propositionen Utredningar avseende barn som avlidit av brott m.m. (prop. 2006/07:108 s. 43 f.). Av nämnda lagstiftningsärenden framgår att om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser får de anses utgöra olika verksamhetsgrenar i sekretesslagens mening, jfr t.ex. Skatteverkets fiskala verksamhet (9 kap.1-3 §§sekretesslagen) i förhållande till dess brottsbekämpande verksamhet (5 kap. 1 § och 9 kap. 17 §sekretesslagen) samt den kriminalvårdsspecifika delen av Kriminalvårdens verksamhet, t.ex. häktes-, anstalts- och frivårdsverksamheten (7 kap. 21 § sekretesslagen) i förhållande till den hälso-

och sjukvård som bedrivs inom Kriminalvården (7 kap.1-3 och 6 §§sekretesslagen). Först om olika delar av en myndighets verksamhet har att tillämpa olika sekretessbestämmelser finns det skäl att även ta ställning till om de olika verksamhetsgrenarna är att betrakta som självständiga i förhållande till varandra. Som exempel kan nämnas det allmänna ombudet hos Försäkringskassan. I lagstiftningsärendet rörande anpassningar till inrättandet av Försäkringskassan uttalades att ombudet skulle komma att inta en sådan särställning inom myndigheten och ha en sådan egen beslutsbefogenhet att handlingar som skulle komma att utväxlas mellan ombudet och andra organ inom Försäkringskassan sannolikt i stor utsträckning skulle komma att bli allmänna (jfr 2 kap. 8 § tryckfrihetsförordningen). Det konstaterades dock att någon sekretessgräns inte skulle uppstå mellan det allmänna ombudet och Försäkringskassans övriga organisation eftersom såväl ombudet som organisationen i övrigt hade att tillämpa samma sekretessbestämmelser (prop. 2003/04:152 s. 250 f.).

Samtliga verksamheter, som utgör hälso- och sjukvård eller annan medicinsk verksamhet, inom den offentliga sektorn har att tillämpa sekretessen enligt 7 kap. 1 c § sekretesslagen. Härav följer att all hälso- och sjukvård som lyder under samma nämnd inom ett landsting eller en kommun utgör en och samma verksamhetsgren i sekretesslagens mening. Regeringen delar Patientdatautredningens bedömning att det inte bör införas någon särskild bestämmelse om att det inte finns någon sekretessgräns mellan hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. Något sådant förtydligande finns inte i sekretesslagen beträffande andra sekretessområden och får anses vara överflödigt.

Det sagda innebär inte att det är fritt fram för hälso- och sjukvårdspersonal som arbetar inom samma myndighet att utbyta sekretessbelagda uppgifter. Som anges i flera av de nämnda lagstiftningsärendena har Justitieombudsmannen uttalat att det torde stå klart att en befattningshavare inte har någon obegränsad frihet att lämna uppgifter som omfattas av sekretess till sina arbetskamrater. Å andra sidan är det tydligt att sekretesslagen inte heller kan utgöra hinder mot att en handläggare rådfrågar andra befattningshavare om ett ärende, åtminstone inte om det framstår som objektivt försvarbart. Vidare måste uppgifter fritt kunna lämnas till dem som på ett eller annat sätt deltar i beredandet och avgörandet av ett ärende (JO 1983/84 s. 262). Den enskildes integritet kan vidare skyddas av andra typer av bestämmelser än sekretessbestämmelser. På hälso- och sjukvårdsområdet är, som framgått av avsnitt 11.2, 2 a § hälso- och sjukvårdslagen (1982:763) av grundläggande betydelse. Enligt den bestämmelsen ska verksamheten bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Mot bakgrund av den bestämmelsen har JO uttalat att en patients uttryckliga önskemål om att journaler inte ska lämnas till andra kliniker på samma sjukhus ska respekteras utom i rena nödsituationer (JO 1986/87 s. 199). Det anges vidare i 7 § patientjournallagen (1985:562) att varje journalhandling ska hanteras och förvaras så att obehöriga inte får tillgång till den. Som framgått av avsnitt 11.3 har nämnda bestämmelse inarbetats i förslaget till ny patientdatalag och vidgats till att omfatta inte bara journaluppgifter utan alla dokumenterade personuppgifter om patienter eller andra enskilda

registrerade. Såvitt gäller uppgifter om patienter har bestämmelsen vidare förtydligats så att det framgår av lagtexten att den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgiften för sitt arbete inom hälso- och sjukvården. Därutöver föreslår regeringen ytterligare bestämmelser som stärker skyddet för den enskildes integritet såvitt gäller uppgifter som behandlas elektroniskt, t.ex. bestämmelser om behörighetstilldelning, skyldighet för vårdgivaren att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter förekommer och en rätt för den enskilde patienten att på begäran få information om vilken direktåtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne, se vidare avsnitt 11.

En ny bestämmelse som bryter sekretessen mellan olika hälso- och sjukvårdsmyndigheter inom en kommun eller ett landsting

Tidigare fanns det i princip en kommunal nämnd för varje verksamhetsområde. Införandet av den fria kommunala nämndorganisationen har inneburit att en kommun eller ett landsting har möjlighet att indela t.ex. hälso- och sjukvården på flera sektorer som organisatoriskt hör till olika nämnder. Hälso- och sjukvården kan t.ex. sortera under olika distriktsnämnder. Likaså kan t.ex. tandvård tillhöra en nämnd, psykiatri en annan, sjukhusvård en tredje osv. Vidare kan viss hälso- och sjukvård ha bolagiserats i sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen. Eftersom huvudregeln enligt 1 kap. 3 § första stycket sekretesslagen är att det gäller sekretess mellan olika myndigheter gäller sekretess mellan olika nämnders vårdinrättningar samt mellan dem och kommunala företags vårdinrättningar. De kan alltså inte utbyta uppgifter utan en föregående sekretessprövning.

När den fria kommunala nämndorganisationen infördes diskuterades i lagstiftningsärendet vilka konsekvenser en friare nämndorganisation skulle få för sekretesslagstiftningens tillämpning. Man konstaterade att sekretessreglerna inte hindrade en sådan ordning, men att en översyn av sekretesslagen var påkallad (prop. 1990/91:117 s. 43-44 och bet. 1990/91:Ku38 s. 36). Om en kommun eller ett landsting av olika skäl, som saknar relevans för sekretessfrågan, väljer att organisatoriskt dela upp en verksamhet på t.ex. olika distriktsnämnder uppstår nya sekretessgränser inom den aktuella verksamheten till den del den hanteras av olika nämnder trots att verksamheterna tidigare ansetts utgöra en enhet från sekretessynpunkt. Om en kommun väljer att hantera flera sakligt sett olika verksamheter inom samma nämnd, t.ex. en distriktsnämnd, kan det vidare ifrågasättas om dessa verksamheter i den nya organisationen är tillräckligt självständiga i förhållande till varandra för att det ska gälla sekretess mellan dessa verksamheter (se SOU 2003:99 s. 256-258).

OSEK har lämnat förslag som syftar till att lösa de sekretessproblem som uppkommit genom den fria nämndorganisationen. Förslagen är dock inarbetade i utredningens förslag till ny sekretesslag som f.n. bereds i Regeringskansliet. Patientdatautredningen, som utifrån sina direktiv har begränsat sig till hälso- och sjukvårdsområdet, har föreslagit att det i den

befintliga sekretesslagen bör införas en sekretessbrytande bestämmelse av innebörd att hälso- och sjukvårdssekretessen inte ska hindra att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till annan sådan myndighet i samma kommun eller landsting. JO har ställt sig tveksam till detta förslag. JO anför att utredningens förslag innebär att sekretessområdet inom hälso- och sjukvården blir mycket stort. Inom ett landsting kommer sekretessen inte att gälla mellan t.ex. psykiatrin, folktandvården, verksamhet som rör smittsamma sjukdomar, missbrukarvården eller den somatiska vården. JO ifrågasätter mot bakgrund av detta lämpligheten i förslaget och anser att konsekvenserna behöver belysas ytterligare.

Som framgått av vad som anförts tidigare finns det inte någon sekretessgräns mellan hälso- och sjukvårdsverksamheter som bedrivs inom samma myndighet. En kommun eller ett landsting kan organisera sin verksamhet så att all hälso- och sjukvård lyder under samma nämnd. I ett sådant fall gäller inte sekretess mellan de verksamheter som JO nämner. Införandet av den fria kommunala nämndorganisationen har dock medfört att nya sekretessgränser kan uppstå beroende på hur en kommun eller landsting väljer att organisera sin verksamhet, även om de överväganden som ligger till grund för vald organisationsform inte har någon relevans för sekretessfrågan. Bestämmelsen om att det gäller sekretess mellan myndigheter (1 kap. 3 § första stycket sekretesslagen) får förstås ha samma effekt även beträffande andra sekretessområden, t.ex. på det statliga området, i de fall hanteringen av en verksamhet som omfattas av en sekretessreglering delas upp på flera olika myndigheter. De flesta sekretessbestämmelser är dock försedda med ett s.k. rakt skadrekvisit, dvs. presumtionen är att uppgifterna är offentliga. Vidare är den s.k. generalklausulen, som stadgar att sekretess inte hindrar att en uppgift lämnas till en myndighet om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda (14 kap. 3 § första stycket sekretesslagen), tillämplig på de flesta sekretessområden. En av de aspekter som ska beaktas vid tillämpningen av sistnämnda bestämmelse är om uppgifterna blir sekretessbelagda hos den mottagande myndigheten i samma utsträckning som hos den utlämnande myndigheten (Sekretesslagen. En kommentar. Regner m.fl. s. 14:26). Det sagda innebär att om en verksamhet delas upp på flera myndigheter har dessa i de flesta fall goda möjligheter att utbyta uppgifter i de fall det behövs. Några få sekretessområden, bl.a. hälso- och sjukvårdssekretessen och socialtjänstsekretessen, är dock undantagna från generalklausulens tillämpningsområde (14 kap. 3 § andra stycket sekretesslagen). Detta innebär att de sekretessgränser som mot bakgrund av 1 kap. 3 § sekretesslagen i kombination med den fria kommunala nämndorganisationen kan uppstå, har skapat särskilda problem inom bl.a. hälso- och sjukvården såvitt gäller t.ex. verksamhetsuppföljning i de fall en kommun eller ett landsting har valt att dela upp hälso- och sjukvårdsverksamheten på flera myndigheter. Såväl OSEK:s som patientdatautredningens förslag innebär att samma sekretessgränser ska gälla inom hälso- och sjukvården oavsett hur en kommun eller ett landsting väljer att organisera denna verksamhet. Med hänsyn till hur nämnderna var organiserade innan den fria kommunala nämndorganisationen

infördes innebär förslaget från sekretessynpunkt i praktiken en återgång till den tidigare gällande ordningen.

Som anförts tidigare innebär det faktum att det inte gäller några sekretessgränser inom en hälso- och sjukvårdsmyndighet inte att det är fritt fram för hälso- och sjukvårdspersonalen att utbyta uppgifter hur som helst. Detsamma gäller förstås även mellan olika myndigheter inom en kommun eller landsting. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i samma landsting eller kommun måste t.ex. en patients uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas till en annan myndighet inom kommunen eller landstinget normalt respekteras på motsvarande sätt som gäller t.ex. mellan olika kliniker inom en myndighet. Som framgått av avsnitt 11.3 torde det vidare räcka för flertalet befattningshavare som arbetar med t.ex. verksamhetsuppföljning att de får tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som pekar ut enskilda patienter bör på detta område kunna vara starkt begränsade till enstaka befattningshavare.

Sammantaget anser regeringen att övervägande skäl talar för att detta förslag bör genomföras.

Patientdatautredningen har gjort bedömningen att det inte krävs något förtydligande i lag av vad som ska gälla mellan hälso- och sjukvårdsmyndigheter i ett kommun eller landsting och sådana kommunala hälso- eller sjukvårdsföretag som avses i 1 kap. 9 § sekretesslagen i samma kommun eller landsting eftersom sådana företag anses jämställda med myndigheter vid tillämpning av sekretesslagen. Regeringen delar denna uppfattning.

En ny sekretessbrytande regel för de fall hälso- och sjukvårdssekretessen hindrar att en enskild får nödvändig vård, omsorg, behandling eller annat stöd

Hälso- och sjukvårdssekretessen enligt 7 kap. 1 c § sekretesslagen är försedd med ett s.k. omvänt skaderekvisit. Det innebär att uppgift om enskilds personliga förhållanden bara får lämnas ut om det står klart att den enskilde inte lider men av utlämnandet. Enligt förarbetena står det klart att skadrekvisitet medger att uppgift lämnas från en läkare till en annan eller från en sjukvårdsinrättning till en annan, om uppgiften behövs i rent vårdsyfte. Visst utrymme sägs också finnas att lämna uppgifter till en annan vårdsektor i syfte att bistå en patient. När det gäller möjligheten att lämna uppgifter från den allmänna sjukvården till en privatpraktiserande läkare eller en företagsläkare har det ansetts att uppgiften kan lämnas ut om den i trängande fall behövs för medicinsk behandling av den som uppgiften rör (prop. 1979/80:2 Del A s. 168).

OSEK har ifrågasatt om förarbetsuttalanden till 7 kap. 1 c § verkligen kan anses vara i överensstämmelse med innebörden av det omvända skaderekvisitet. JO har uttalat att man – när det gäller somatiska journaler – i normalfallet kan utgå från att det inte är till men för patienten om hans journal på begäran överlämnas till en annan myndighet inom hälso- och sjukvården. Enligt JO är dock förutsätt-

ningarna annorlunda när det gäller psykiatriska journaler och somatiska journaler med särskilt känsligt innehåll, t.ex. gynekologijournaler. I de fall man har anledning att ifrågasätta om patienten skulle anse det vara till men för honom att journalen överlämnas till annan sjukvårdsmyndighet så ska patientens egen uppfattning inhämtas. Motsätter sig patienten att journalen lämnas ut ska detta respekteras även om läkaren anser att ett utlämnande inte är till men för patienten. Detta beror på att begreppet ”men” i sekretesslagen ska tolkas med utgångspunkt från den enskildes värdering. Inom den frivilliga hälso- och sjukvården blir det därför enligt JO inte aktuellt att göra en egentlig menprövning annat än i sådana fall, där det gäller en journal med känsligt innehåll och det av praktiska skäl inte är möjligt att inhämta patientens egen uppfattning. Som nämnts tidigare anser JO vidare att ett önskemål från en patient att hans eller hennes journaler inte ska lämnas till annan sjukvårdsmyndighet måste respekteras utom i rena nödsituationer (JO 1986/87 s. 198 f.).

På senare år har det blivit alltmer vanligt att kommunen eller landstingen efter upphandling överlåter driften av en verksamhet till en privat aktör. Patienterna har också stora möjligheter att välja mellan olika vårdgivare. Detta innebär att uppgifter om en patient kan komma att spridas på en mängd aktörer, vilket kan vara vanskligt från patientsäkerhetssynpunkt.

Vissa personer har vidare sammansatta vård- och stödbehov som inbegriper insatser från både hälso- och sjukvården och socialtjänsten. Ett antal reformer med betydelse för vård- och omsorgsområdet genomfördes under 1990-talet, t.ex. ädelreformen, handikappreformen samt psykiatrireformen. Huvudmannaskapet för hälso- och sjukvården är sedan dess delat mellan landstingen och kommunerna. Ett av syftena med reformerna har varit att skapa ett bättre och mer samlat omhändertagande av äldre och andra personer med sammansatta behov av både medicinska och sociala insatser. Samtidigt har det sedan reformerna infördes påtalats fortsatta brister i omhändertagandet. En av flera brister som framhållits rör svårigheter i informationsutbytet inom vården och omsorgen med anledning av att ett gott och samlat omhändertagande ofta är beroende av stöd och insatser från både landsting och kommuner samt privata vårdgivare eller privata entreprenörer som driver särskilda äldreboenden m.m. Ett kvarstående problem är de sekretessgränser som finns mellan hälso- och sjukvårdverksamheter som bedrivs av de inblandade aktörerna. Ett ytterligare problem är också att socialtjänstverksamhet, som utgör ett annat sekretessområde, inbegrips i vården och omsorgen.

Som nämnts tidigare gäller sekretess inom en myndighet mellan olika verksamhetsgrenar när de är att anse som självständiga i förhållande till varandra. Hälso- och sjukvården och socialtjänsten är olika verksamhetsgrenar i sekretesslagens mening. När det gäller verksamhet enligt den s.k. Ädelreformen anförde föredragande statsrådet att den kommunala hälso- och sjukvården och socialtjänsten i detta fall inte är att betrakta som självständiga i förhållande till varandra i sekretesslagens mening därför att det inte var fråga om verksamheter av skilda slag. Någon ändring av uppdelningen i självständiga verksamhetsgrenar i sekretesslagens mening mellan den kommunala socialtjänsten och övriga fall då hälso- och sjukvården bedrevs inom socialtjänsten avsågs dock inte (prop.

1990/91:14 s. 85). Enligt OSEK är skälet till att det inte uppstår sekretess i en nämnd mellan integrerad verksamhet som omfattas av Ädelreformen snarare att hälso- och sjukvårdsverksamheten och socialtjänstverksamheten i sådana situationer inte är självständiga i förhållande till varandra än att det skulle vara fråga om verksamhet av samma slag. Detta reser enligt OSEK i sin tur frågan hur det förhåller sig med andra verksamheter där hälso- och sjukvård och socialtjänst integreras och hanteras av samma nämnd (SOU 2003:99 s. 257).

Som nämnts tidigare är generalklausulen inte tillämplig på hälso- och sjukvårdssekretessen. Om en menprövning hindrar ett utlämnande av en uppgift och det saknas samtycke från den enskilde saknas som huvudregel möjlighet att lämna ut uppgifter från en myndighet inom hälso- och sjukvården till en annan sådan myndighet i en annan kommun eller ett annat landsting eller till socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område, såvida inte nödbestämmelsen enligt 24 kap. 4 § brottsbalken är tillämplig. Det finns dock en sekretessbrytande bestämmelse med ett begränsat tillämpningsområde i 14 kap. 2 § nionde stycket sekretesslagen. Enligt den bestämmelsen hindrar sekretess enligt 7 kap.1 c och 4 §§sekretesslagen inte att uppgift om enskild, som inte fyllt 18 år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntande barnet. Denna bestämmelse tar således sikte på särskilt utsatta personer. I förarbetena betonas att detta undantag från sekretessen bör användas med urskiljning och varsamhet. Endast i de situationer där det framstår som direkt påkallat att bistå en enskild eller ett väntat barn bör undantaget utnyttjas. En förutsättning bör normalt vara att den berörda personen kan antas direkt motsätta sig att uppgifter lämnas eller att saken brådskar så att det inte finns tid att inhämta samtycke. I första hand bör samtycke utvecklas (prop. 1990/91:111 s. 41).

Mot bakgrund av de patientsäkerhetsaspekter som gör sig gällande när vårduppgifter om en enskild i allt större utsträckning sprids på allt fler vårdgivare och de brister i omhändertagandet som finns i integrerade verksamheter, därför att information om den enskilde på grund av sekretessen inte alltid kan förmedlas mellan de olika verksamheterna i tillräcklig utsträckning, har såväl OSEK som Patiendatautredningen föreslagit att det bör införas ytterligare en sekretessbrytande bestämmelse. Förslaget innebär att sekretess inte ska hindra att uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. Patientdatautredningen har därutöver föreslagit att det av lagtexten ska framgå att sekretessgenombrottet bara gäller ”om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att uppgifter lämnas ut”. Förslaget tar med detta tillägg i huvudsak sikte på patienter som på grund av hälsorelaterat skäl

inte kan samtycka eller som annars inte har beslutsförmåga. Viljan hos den patient som klart och utan inflytande av en allvarlig psykisk störning eller liknande motsätter sig ett uppgiftsutlämnande ska däremot respekteras. Patientdatautredningen anser att förslaget är väl förenligt med bestämmelsen i 2 a § hälso- och sjukvårdslagen om att hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och integritet samt att vården och behandlingen så långt möjligt ska utformas och genomföras i samråd med patienten. Regeringen delar denna bedömning och anser att förslaget bör genomföras.

Lagteknisk lösning

Patientdatautredningen har föreslagit att de befintliga sekretessbrytande bestämmelserna i förhållande till enskild i 7 kap. 1 c § femte stycket och de föreslagna nya sekretessbrytande bestämmelserna ska placeras i en ny paragraf (7 kap. 1 d §). Utredningen har vidare föreslagit att bestämmelsen i nuvarande 7 kap. 1 c § tredje stycket, som dels stadgar viss sekretess i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård, dels innehåller en sekretessbrytande bestämmelse avseende sådana uppgifter, ska placeras i ytterligare en ny paragraf (7 kap. 1 e §).

JO har ifrågasatt om inte en av de nya sekretessbrytande bestämmelserna – med hänsyn till den nuvarande sekretesslagens struktur – bör införas i lagens första kapitel och om inte en annan av de nya sekretessbrytande bestämmelserna bör införas i 14 kap. 2 § sekretesslagen.

Utredningens förslag innebär från lagteknisk synpunkt en principiell nyordning i sekretesslagen på så vis att det f.n. inte finns några paragrafer som enbart innehåller sekretessbrytande bestämmelser i 7–9 kap. sekretesslagen. Sådana bestämmelser har hittills antingen infogats i respektive sekretessbestämmelse eller samlats i 14 kap. Den sekretessbrytande bestämmelsen om nödvändigt utlämnande i 1 kap. 5 § sekretesslagen utgör ett undantag från denna systematik. Utredningens förslag får vidare till följd att det kommer att finnas två paragrafer mellan bestämmelsen om sekretess i 7 kap. 1 c § och de undantag från denna sekretess som görs i 7 kap. 2 §. Förslaget innefattar vidare ingen hänvisning till den bestämmelse i 14 kap. 2 § nionde stycket sekretesslagen enligt vilken sekretessen enligt 7 kap. 1 c § bryts under vissa förutsättningar. Sammantaget anser regeringen att de nya bestämmelserna i större utsträckning bör inordnas i sekretesslagens nuvarande systematik. För att sekretessregleringen ska bli så lättillämpad som möjligt bör såväl de befintliga som de nya sekretessbrytande bestämmelserna inarbetas i 7 kap. 1 c § i en tydlig struktur. De sekretessbrytande bestämmelserna bör införas dels i en punktuppräkning i ett omarbetat sjätte stycke, dels i ett nytt sjunde och åttonde stycke. Vidare bör i ett nytt nionde stycke en hänvisning göras till de befintliga sekretessbrytande bestämmelserna i 14 kap. 2 § sekretesslagen. En sådan lösning innebär att regleringen samlas på ett överskådligt sätt samtidigt som regleringen överensstämmer med sekretesslagens nuvarande systematik. Paragrafen blir visserligen relativt lång. Det är dock inte ovanligt med långa paragrafer i

sekretesslagen (jfr 9 kap. 17 § och 14 kap. 2 §). Vidare bereds f.n. OSEK:s förslag till en ny sekretesslag inom Regeringskansliet. Det finns bättre förutsättningar att tillskapa kortare paragrafer som överensstämmer med den övriga systematiken i det lagstiftningsärendet.

Hänvisningar till S13-1

  • Prop. 2007/08:126: Avsnitt 21.2

13.2. Elektroniskt utlämnande av personuppgifter m.m.

Regeringens förslag: En bestämmelse införs i patientdatalagen som anger att myndigheter inom samma landsting eller kommun får ha direktåtkomst till sina respektive patienters personuppgifter.

Elektroniskt utlämnande genom direktåtkomst ska inte gälla enligt förslaget för uppgifter som lämnas från hälso- och sjukvård till socialtjänst. Regeringens tidigare förslag om annat utlämnande av personuppgifter än direktåtkomst, exempelvis genom medium för automatiserad behandling, se avsnitt 7.6, innebär däremot att personuppgifter får lämnas elektroniskt från hälso- och sjukvården till bl.a. sådan socialtjänst som avses i 7 kap. 4 § tredje stycket sekretesslagen, förutsatt att utlämnandet som sådant är en tillåten personuppgiftsbehandling.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Justitiemannen, JO, framhåller 5 kap. 4 § andra stycket patientdatalagen där det föreskrivs att myndigheter som bedriver hälso- och sjukvård i ett landsting får ha direktåtkomst till varandras personuppgifter. Motsvarande gäller för myndigheter som bedriver hälso- och sjukvård i en kommun. I betänkandet s. 559, uttalas att bestämmelsen i denna del innebär ett klargörande av att hälso- och sjukvårdsmyndigheter inom en vårdgivare kan ha elektronisk tillgång till varandras personuppgifter. JO anser att begreppet direktåtkomst synes ha använts på ett – i förhållande till övriga relevanta bestämmelser i patientdatalagen – inkonsekvent sätt då det i bestämmelsen är fråga om elektronisk åtkomst inom samma landsting eller kommun, dvs. inom samma vårdgivares organisation, se även JO:s synpunkter i avsnitt 7.6.

Sveriges Kommuner och Landsting, SKL, framhåller att en vårdinrättning som omfattas av 1 kap 9 § sekretesslagen i patientdatalagen bör behandlas som landstingsdriven/kommundriven vårdverksamhet. Det finns inga sakliga skäl att göra skillnad mellan verksamheter som drivs i förvaltningsform och verksamheter som drivs i annan form och som omfattas av 1 kap 9 § sekretesslagen. Avgörande för vilken verksamhetsform en vårdinrättning ska ha är enbart en fråga om politiska val av driftform. Mellan verksamheter i förvaltningsform gäller reglerna om interna journaler. Mellan verksamheter i bolagsform och mellan verksamhet i förvaltningsform och bolagsform föreslås däremot reglerna om sammanhållna journaler gälla. SKL anser det inte acceptabelt att hälso- och sjukvårdens informationsförsörjning inom ett landsting eller inom en kommun ska behandlas på olika sätt beroende på val av driftform. All sådan verksamhet ska betraktas som intern inom landstinget/kommunen. Malmö tingsrätt och Länsrätten i Uppsala framför liknande synpunkter. Statens medicinsk-etiska råd, SMER, ifrågasätter förhållandet att förut-

sättningarna för direktåtkomst skiljer sig beroende på om patienten befinner sig i sitt eget landsting eller hos en annan vårdgivare.

Skälen för regeringens förslag

Direktåtkomst mellan nämnder i samma landsting eller samma kommun

Av avsnitt 7.6 framgår att när det gäller personalens möjligheter att elektroniskt och automatiskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga inom en myndighets eller enskild verksamhets organisation används i regeringens förslag begreppet elektronisk åtkomst. Till skillnad från hur begreppet används i vårdregisterlagen ska begreppet direktåtkomst enligt patientdatalagen användas för en viss form av elektroniskt utlämnande till en extern mottagare (se avsnitt 7.6). Direktåtkomst kan tekniskt och organisatoriskt lösas på lite olika sätt som kan vara mer eller mindre lika den lösning för elektronisk åtkomst som finns inom en myndighets eller enskild vårdgivares organisation. Gemensamt för olika möjliga lösningar för direktåtkomst är att den utlämnande vårdgivaren inte fattar ett beslut om överföring och gör en sekretessprövning varje gång mottagaren tar del av en uppgift genom användning av direktåtkomsten.

Som anförts tidigare är direktåtkomst en form av elektroniskt utlämnande som är särskilt integritetskänslig. Direktåtkomst till personuppgifter som behandlas enligt patientdatalagen får därför enligt regeringens förslag bara förekomma i den utsträckning som anges i lag eller förordning. När det gäller annat elektroniskt utlämnande än direktåtkomst får det ske, om utlämnandet som sådant är en tillåten personuppgiftsbehandling.

Regeringen har i avsnitt 13.1 föreslagit att en ny sekretessbrytande bestämmelse förs in i sekretesslagen som innebär att hälso- och sjukvårdssekretess inte hindrar att en uppgift lämnas ut från en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller samma landsting.

En särskild bestämmelse som tillåter nämnderna att ha direktåtkomst till varandras personuppgifter är i konsekvens med motiven till sekretessgenombrottet och innebär att patientdatalagen inte parallellt med förslaget i sekretessdelen uppställer nya hinder för uppgiftsutbytet inom sådana landsting och kommuner som valt att dela upp hälso- och sjukvårdsverksamheten mellan olika nämnder. Stora tillämpningsproblem torde i annat fall kunna uppstå. Då skulle uppgiftsflöde genom direktåtkomst mellan nämnderna i ett sådant landsting eller kommun enbart få ske med stöd av regeringens förslag om sammanhållen journalföring. Vad skulle då gälla när ett landsting, som satsat på att införa ett elektroniskt journalsystem under en nämnd, av organisatoriska eller politiska skäl senare väljer att dela upp verksamheten i flera nämnder? Sannolikt skulle det kräva en reglering för sådana fall av huruvida all befintlig vårddokumentation ska presumeras vara spärrad mellan nämnderna tills varje patients inställning klargjorts eller huruvida presumtionen ska vara omvänd. Man kan fråga sig om en reglering med

sådana konsekvenser för informationshanteringens villkor inte låser fast nämndstrukturen i landsting och kommuner på ett olyckligt sätt. Regeringens förslag innebär att det i praktiken inte kommer att vara någon väsentlig skillnad i patientdatahanteringen om ett landsting eller en kommun bedriver hälso- och sjukvård genom en eller flera myndigheter.

Det faktum att direktåtkomst ska tillåtas mellan nämnder i samma landsting eller samman kommun innebär dock inte att det kan vara fritt fram för hälso- och sjukvårdspersonalen att utbyta vilka uppgifter som helst. Även om direktåtkomst är tillåtet för att lämna ut uppgifter mellan nämnder i samma landsting eller samma kommun måste t.ex. vårdpersonalen vara behörig att ta del av uppgifterna om patienten, se 4 kap. 2 § patientdatalagen. Patientens uttryckliga önskemål om att uppgifter om honom eller henne inte fritt ska lämnas till en annan myndighet inom kommunen eller landstinget ska även normalt respekteras på motsvarande sätt som gäller t.ex. mellan olika kliniker inom en myndighet (jfr den enskildes möjligheter att begära att uppgifter spärras i förhållande till en annan vårdenhet eller vårdprocess hos samma vårdgivare enligt 4 kap. 4 § patientdatalagen).

När det gäller de kommunala företagen, det vill säga sådana som avses i 1 kap. 9 § sekretesslagen, anser regeringen att de inte bör få ha direktåtkomst till landstingets personuppgifter under andra förutsättningar än de som följer av bestämmelserna om sammanhållen journalföring.

SKL har ställt sig tveksam till detta förslag. SKL anför att en vårdinrättning som omfattas av 1 kap. 9 § sekretesslagen i patientdatalagen bör behandlas som landstingsdriven/kommundriven vårdverksamhet. SKL anser att det inte finns några sakliga skäl att göra skillnad mellan verksamheter som drivs i förvaltningsform och verksamheter som drivs i annan form och som omfattas av 1 kap 9 § sekretesslagen. Regeringen föreslår visserligen att sekretessen ska rivas mellan kommunala företag och myndigheter i enlighet med förslaget om sekretessgenombrott mellan nämnder och kommunala företag i samma landsting eller kommun, se avsnitt 13.1. Skälet till att regeringen dock anser att de kommunala företagen ska följa bestämmelserna om sammanhållen journalföring till skillnad från nämnderna är främst att direktåtkomst är, som nämnts, en utlämnandeform som är speciellt integritetskänslig. Särskild återhållsamhet är därför påkallad, bl.a. därför att de kommunala företagen kan ha andra intressenter som äger delar av företagen, t.ex. kan kommunala aktiebolag ägas till 49 procent av privata intressenter eller andra sjukvårdshuvudmän, vilket gör situationen avvikande från den då ett och samma landsting eller en kommun organiserat den egna hälso- och sjukvården att bedrivas genom flera myndigheter. SKL:s synpunkter kan dock anses vara särskilt befogade vad det gäller exempelvis kommunala företag som ägs till 100 procent av en kommun eller ett landsting. Frågan är varför i dessa fall olika bestämmelser ska vara tillämpliga beroende på valet av driftsform. Regeringens förslag om sammanhållen journalföring innebär dock en nyordning i sig och medför ingen försämring i förhållande till vad som gäller i dag. Tvärtom torde förslagen innebära att uppgiftsutbytet mellan vårdgivarna kommer att underlättas. Det är därför av allmän synpunkt viktigt att gå stegvis fram. Regeringen anser således att det i nuläget inte

finns tillräckliga skäl att föreslå att även kommunala företag ska få ha direktåtkomst till landstingets personuppgifter under andra förutsättningar än dem som följer av bestämmelserna om sammanhållen journalföring.

Uppgiftsutbyte inom området vård och omsorg

När det gäller överföring av uppgifter från kommunal hälso- och sjukvård till socialtjänst inser regeringen att det många gånger finns behov av att socialtjänstpersonal får del av vårddokumentation om patienter i den vardagliga vården och omsorgen om äldre eller funktionshindrade som också inbegriper stöd eller andra insatser inom socialtjänsten. Frågan är på vilket sätt det ska få ske.

Utlämnande genom direktåtkomst är en särskilt integritetskänslig form av utlämnande. Regeringen finner inte skäl att i nuläget föreslå bestämmelser om gränsöverskridande direktåtkomst för utlämnande av uppgifter från hälso- och sjukvård till socialtjänst. Även elektronisk åtkomst inom en myndighet är att betrakta som integritetskänslig. Av regeringens förslag i avsnitt 11 framgår att endast de som behöver sådan åtkomst för sitt arbete inom hälso- och sjukvården ska få ha sådan elektronisk åtkomst till journalhandlingar och andra personuppgifter som behandlas enligt patientdatalagen. Regeringen lämnar därför inga förslag i dessa delar.

Regeringen utesluter inte att en närmare analys och genomgång av förhållandena på området vård och omsorg leder till andra slutsatser. Det bör i så fall lämpligen göras i särskild ordning. En utredning har tillsatts med uppdrag att analysera om ett nationellt system för öppna jämförelser mellan bl.a. den vård och omsorg som bedrivs inom socialtjänsten och sådan vård som bedrivs inom hälso- och sjukvården är möjligt (se kommittédirektiv nr S 2007:92, Översyn av behandlingen av personuppgifter inom socialtjänsten m.m.) Utredaren ska redovisa uppdraget senast den 31 mars 2009.

Samtidigt vill regeringen peka på förslaget i avsnitt 7.6 om att slopa de nuvarande särskilda begränsningarna i fråga om annat elektroniskt utlämnande än direktåtkomst. Det förslaget undanröjer vissa av de rättsliga hinder som i dag finns när det gäller uppgiftslämnande från hälso- och sjukvård till socialtjänst. Observera att det sagda bara gäller sättet för överföringen. Andra bestämmelser reglerar om uppgifterna alls får lämnas från hälso- och sjukvård till socialtjänst, bl.a. i sekretesslagen.

Hänvisningar till S13-2

14. Verksamhetsuppföljning

Regeringens bedömning: Förslagen i tidigare avsnitt innebär förbättrade möjligheter till verksamhetsuppföljning inom hälso- och sjukvården.

Även uppföljning av hälso- och sjukvårdens samverkan med kommunernas omsorgsverksamhet underlättas.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens bedömning.

Skälen för regeringens bedömning

Bakgrund

Verksamhetsuppföljning är ett begrepp som kommit att bli centralt i diskussionerna kring hälso- och sjukvårdens utveckling och informationshantering. Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kostnadseffektivitet, produktivitet m.m. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården; kliniken, vårdinrättningen, distriktsnämnden, landstinget, sjukvårdsregionen eller nationen. Verksamhetsuppföljning är inget självändamål, dess syfte är att generera kunskap som i sin tur används för att på olika sätt förbättra eller förändra verksamheten i fråga.

Utredningen har bl.a. vid samråd med företrädare för Socialstyrelsen och Sveriges Kommuner och Landsting samt med Nationell psykiatrisamordning funnit att nuvarande lagstiftning försvårar samverkan mellan kommun och landsting när det främst gäller äldre och de med psykiska funktionshinder eller sjukdom vilka behöver stöd och insatser i form av både hälso- och sjukvård och socialtjänst. Utredningen anför att bristande legala möjligheter till gemensam verksamhetsuppföljning baserad på personuppgifter, enligt Socialstyrelsen och Sveriges Kommuner och Landsting, utgör en tillbakahållande faktor när det gäller skapande av gemensamma nämnder eller andra former av samverkansorgan över huvudmannagränser. Samtidigt har huvudmännen i andra författningar ålagts ett ansvar att samverka och tillsammans skapa ett förbättrat omhändertagande av dessa patientkategorier. De legala kraven på samverkan går inte ihop med de legala förutsättningarna för samverkan.

Enligt vad utredningen erfarit finns ett behov av att utforma en ny lagstiftning för behandling av personuppgifter inom vård och omsorg. Såväl sekretesslagstiftningen som vårdregisterlagen begränsar landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst.

Regeringens överväganden

Av förslaget till ändamålsbestämmelser i patientdatalagen framgår att personuppgifter som primärt samlas in därför att de behövs i den individinriktade patientverksamheten, dvs. vårddokumentation, ska få lov att användas för verksamhetsuppföljning på ett mer eller mindre övergripande plan inom en vårdgivares verksamhet även utan krav på samtycke från den enskilde. Så gäller redan i dag enligt vårdregisterlagens ändamålsbestämmelser. Som framgått av avsnitt 7.1. ska verksamhetsuppföljning (uppföljning, utvärdering och kvalitetssäkring) vara primära

ändamål. Vidare har föreslagits att de nuvarande begränsningarna i fråga om samkörning av vårdregister med andra register avskaffas.

Förslagen undanröjer de oklarheter som i dag anses gälla i fråga om de rättsliga förutsättningarna för myndigheter inom hälso- och sjukvården och privata vårdgivare att behandla personuppgifter för ändamålet att följa upp sin egen verksamhet.

Det kommer dock inte heller med dessa förslag att vara tillåtet att basera verksamhetsuppföljningen på personuppgifter, dvs. uppgifter som direkt eller indirekt kan hänföras till en enskild person, om det är tillräckligt att använda avidentifierade uppgifter. Vidare innebär begränsningen i 9 § första stycket f personuppgiftslagen, om att inte fler personuppgifter får behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen, att personuppgifter som endast indirekt pekar ut den enskilde i första hand ska användas.

När det gäller frågan om att förbättra landstingens och kommunernas möjligheter att göra gemensamma uppföljningar av sådana insatser som involverar både hälso- och sjukvård och socialtjänst så utreds detta för närvarande av Socialtjänstdatautredningen (S2007:92). Utredaren ska överlämna förslag på en sammanhållen reglering av området senast den 31 mars 2009.

Regeringen delar utredningens bedömning att verksamhetsuppföljning inte medför någon nämnvärd spridning av personuppgifter inom en vårdgivares verksamhet, bl.a. därför att själva personuppgiftshanteringen vid verksamhetsuppföljning normalt engagerar endast en liten krets av anställda. Med tanke härpå och med tanke på vikten av att verksamhetsuppföljningen är baserad på ett heltäckande och korrekt material, instämmer regeringen i utredningens bedömning att det inte bör införas någon rätt för patienten att begränsa användningen av uppgifterna för verksamhetsuppföljning som skulle kunna sägas motsvara den rätt som föreslås i avsnitt 11 om att patienten ska kunna få uppgifter spärrade från åtkomlighet för en större krets av hälso- och sjukvårdpersonal. I detta fall väger vårdgivarens och det allmännas intresse tyngre än den enskildes intresse av största möjliga integritetsskydd. Det föreslås således ingen rätt för den enskilde patienten att motsätta sig att uppgifter om honom eller henne används vid uppföljning av en vårdgivares egen verksamhet.

Förslagen i patientdatalagen i förening med förslaget om slopade sekretesshinder mellan myndigheter inom hälso- och sjukvården i samma landsting eller kommun innebär att sjukvårdshuvudmännen och privata vårdgivare får avsevärt förbättrade rättsliga möjligheter att utan patienternas samtycke företa verksamhetsuppföljning baserad på patientdata jämfört med vad som följer av gällande rätt. Exempelvis innebär förslagen att olika journal- och patientadministrativa system som kan finnas utspridda i landstinget kan samköras även om något system hör till ett landstingskommunalt företag och alldeles oavsett att syftet är något slag av verksamhetsuppföljning. De förbättrade möjligheterna inom ramen för en sjukvårdshuvudmans eller annan vårdgivares hälso- och sjukvårdsverksamhet gäller alldeles oavsett om det närmare syftet med att följa upp verksamheten tar sikte på t.ex. den medicinska kvaliteten i vården eller på verksamhetens kostnadseffektivitet.

Sammantaget förbättrar regeringens samlade lagförslag kommunernas, landstingens och de privata vårdgivarnas möjligheter att ur olika aspekter

följa upp sin verksamhet genom uppföljning baserad på individbunden patientdata.

15. Kvalitetsregister

Hänvisningar till S15

  • Prop. 2007/08:126: Avsnitt 21.1

15.1. Förslag

Regeringens förslag: Vissa särbestämmelser som bara gäller för nationella och regionala kvalitetsregister förs in i patientdatalagen. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Med ett nationellt eller ett regionalt kvalitetsregister avses ett kvalitetsregister till vilket personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Malmö tingsrätt anför att definitionen i 7 kap. 1 § av ”kvalitetsregister” bör finnas i 1 kap. 3 §. Svenska Diabetesförbundet stödjer samtliga de förslag som utredningen lägger fram i kapitlet om kvalitetsregister men beklagar att utredningen inte haft till uppgift att överväga om deltagande i nationella kvalitetsregister ska göras till en obligatorisk uppgift för hälso- och sjukvårdens aktörer. Förbundet anser även att nationella myndigheter borde vara ansvariga för registerhållningen. De anser vidare att kvalitetsregistren måste författningsregleras och anser att finansieringen bör komma från statligt håll. Förbundet framhåller också att det ur patientsäkerhetssynpunkt är oerhört viktigt att de förslag som utredningen lägger fram genomförs fullt ut. Karolinska Institutet, KI, anser det angeläget att författningsregleringen av regionala och nationella kvalitetsregister kommer till stånd. KI anser att sådana register kan komma att utgöra en ovärderlig källa för forskning och vara till stor nytta för patienterna.

Skälen för regeringens förslag: Nationella kvalitetsregister är en särskild kategori uppgiftssamlingar som finns inom hälso- och sjukvården, främst inom medicinska specialiteter. De har oftast byggts upp genom frivilliga initiativ av specialistföreningar för att användas som stöd för kvalitetsutveckling i det kliniska arbetet. Gemensamt för kvalitetsregistren är att inrapporteringen sker till följd av ett frivilligt åtagande från vårdgivarnas sida. De äldsta registren som fortfarande är i drift startades inom ortopedin redan på 1970-talet. Från 1990-talet och framåt har etableringen av nationella kvalitetsregister ökat väsentligt och i dag finns ett drygt åttiotal register.

Dagens reglering

Personuppgiftsbehandling i kvalitetsregister omfattas inte av någon särreglering i förhållande till personuppgiftslagen. I förarbetena till vårdregisterlagen uttalades att kvalitetsregister förs för mer avgränsade ändamål än patientjournalen. Vidare anfördes att personuppgifter regelmässigt inte kommer att spridas från registren i identifierbart skick. Regeringen fann bl.a. därför inte skäl att föreslå någon särreglering (prop. 1997/98:108 s. 67). Det sagda innebär att personuppgiftslagen gäller fullt ut för behandling av personuppgifter i såväl nationella kvalitetsregister som för sådana som förs av vårdgivare inom en av landets sex sjukvårdsregioner eller inom ett landstingsområde. På lokal nivå, inom en vårdgivares verksamhet, kan kvalitetssäkringsarbete ofta ske genom bearbetning av uppgifter i ett vårdregister. Då är vårdregisterlagen tillämplig. Handlar det däremot om att vårdgivaren inrättar ett särskilt register för kvalitetsarbete är vårdregisterlagen inte tillämplig utan bara personuppgiftslagen. Någon klar gräns för när vårdregisterlagen är tillämplig eller inte är i praktiken svår att dra. Även bestämmelser i sekretesslagen eller lagen om yrkesverksamhet på hälso- och sjukvårdens område aktualiseras då personuppgifter inrapporteras till ett nationellt kvalitetsregister.

Regeringens överväganden

Inom hälso- och sjukvården förs kvalitetsregister på flera olika nivåer. De kan föras lokalt inom en offentlig eller privat vårdgivares verksamhet och de kan föras nationellt med hela landet som upptagningsområde. I de nationella kvalitetsregistren samlas ofta personuppgifter och annan information som rapporteras till registret från flera vårdgivare utspridda inom ett landsting, inom en eller flera av landets sex sjukvårdsregioner eller i hela landet.

Datoriserade register vari lagras känsliga personuppgifter som härrör från ett flertal vårdgivares patientverksamhet får anses som mer integritetskänsliga än lokala motsvarigheter. Det finns därför anledning att kringgärda den aktuella personuppgiftshanteringen med vissa specialbestämmelser rörande några för integritetsskyddet viktiga förhållanden. En tydligare reglering genom specialbestämmelser kan också ha den goda effekten att allmänhetens förtroende för registerverksamheten bevaras på en hög nivå. Av samma skäl kan en reglering i bästa fall motverka bortfall genom att enskilda patienter blir mindre benägna att utnyttja rätten att motsätta sig registrering i ett nationellt eller regionalt kvalitetsregister.

Mot bakgrund av det sagda föreslår regeringen bestämmelser som gäller för nationella och regionala kvalitetsregister men inte för lokala register. De lokala kvalitetsregistren omfattas alltså inte av dessa särbestämmelser. De ska i stället regleras av patientdatalagens allmänna bestämmelser, se bl.a. 2 kap. 4 § 4. Bestämmelserna som gäller för nationella och regionala kvalitetsregister omfattar båda typerna av register, eftersom utredningen inte har funnit någon avgörande skillnad i integritetskänslighet mellan sådana register som förs i samarbete mellan flera vårdgivare inom ett landsting, en sjukvårdsregion eller sådana som

omfattar flera eller alla regioner. Inte heller är den omständigheten att ett kvalitetsregister får statligt bidrag till stöd för driften av någon nämnvärd betydelse i integritetshänseende. Bestämmelserna för nationella och regionala kvalitetsregister är oberoende av vilka kvalitetsregister som i bidragshänseende är etablerade som nationella kvalitetsregister.

För att särskilja nationella och regionala kvalitetsregister från lokala register bör av patientdatalagen framgå att särbestämmelserna bara gäller för ett kvalitetsregister till vilket personuppgifter samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå. I lagförslaget används således registerbegreppet för att skilja ut kvalitetssäkringsarbete i särskilt inrättade uppgiftssamlingar från annan kvalitetssäkring som också avses omfattas av lagens tillämpningsområde, t.ex. sådan kvalitetssäkring som sker hos en vårdgivare genom sammanställning eller annan bearbetning av personuppgifter som finns i ett elektroniskt journalsystem.

15.2. Kvalitetsregisters ändamål

Regeringens förslag: Personuppgifter får samlas in och behandlas för det övergripande och primära syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för ändamålen framställning av statistik eller forskning inom hälso- och sjukvårdsområdet. Personuppgiftsbehandling får vidare ske genom utlämnande till mottagare som ska använda uppgifterna för något av de nämnda ändamålen. Därutöver får utlämnande ske enligt 2 kap. tryckfrihetsförordningen samt enligt sådan särskilt föreskriven uppgiftsskyldighet som föreskrivs i lag eller förordning.

Det är med ett undantag inte tillåtet att behandla personuppgifter i nationella och regionala kvalitetsregister för andra ändamål än ovannämnda angivna. Undantaget innebär att det ska vara möjligt att behandla personuppgifterna i kvalitetsregister för andra ändamål än de här angivna om ett särskilt och uttryckligt samtycke till det föreligger från de enskilda registrerade.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: En majoritet av remissinstanserna har inget att anföra mot utredningens förslag.

Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset, SU, tillstyrker utredningens förslag till lagreglering av kvalitetsregister. Regionen och sjukhuset föreslår också att det ska göras möjligt att i vissa fall hämta uppgifter från ett kvalitetsregister för att användas för en enskild patients vård och behandling men påpekar samtidigt att uppgifter i ett kvalitetsregister aldrig får ersätta anteckningar i patientjournalen. Möjlighet till sådan uppgiftshämtning anser regionen och SU borde kunna ges utan att en sammanblandning av patientjournal och kvalitetsregister riskeras. Svenska Läkaresällskapet anser i likhet med

Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset att det vore en fördel om de nationella kvalitetsregistren kan integreras i journalföringen.

Läkemedelsindustriföreningen, LIF, Framhåller att olika myndigheter ställer krav på läkemedelsföretagen att ta fram data gällande säkerhet och effekt efter att ett läkemedel släppts på marknaden. LIF anser att Sverige därför bör sträva efter att vara ett föregångsland internationellt i arbetet med att kartlägga biverkningar och effekter av behandling efter läkemedels godkännande. LIF anser att Sverige genom sina nationella register, grundade på personnummer, har en unik möjlighet till läkemedelsuppföljning genom att kunna koppla ihop information i olika datakällor. För att kunna utnyttja den möjligheten till fullo anser LIF att informationen i kvalitetsregistren bör kunna samköras med informationen i de hälsodataregister som förs av Socialstyrelsen. Informationen i nationella kvalitetsregister behöver även kvalitetssäkras och nya sådana register behöver komma till stånd inom de terapiområden där det i nuläget saknas register. LIF anser därför att det är nödvändigt att det finns nationell samordning och tydlig infrastruktur när det gäller kvalitetsregistren.

Skälen för regeringens förslag

Primärt ändamål

För att upprätthålla allmänhetens förtroende för nationella och regionala kvalitetsregister är det av avgörande betydelse att det av lagen klart framgår för vilka ändamål personuppgifterna i registren får användas. Redan tidigare har framgått att det övergripande ändamålet för kvalitetsregistren ska vara kvalitetssäkring, dvs. systematisk och fortlöpande utveckling och säkring av vårdens kvalitet. Det primära syftet ska vara att följa upp medicinsk och annan kvalitet i själva vårdinsatserna. Med vård avses individinriktad patientverksamhet, dvs. vård, undersökning och behandling inom hälso- och sjukvården. Som framgår i det följande föreslår regeringen att detta syfte också ska vara bestämmande för vilka personuppgifter som får behandlas i nationella och regionala kvalitetsregister.

Självklart måste detta primära ändamål i sin tur brytas ner i mer preciserade ändamål som är anpassade för varje särskilt register och det medicinska specialområde eller motsvarande som avses täckas med registret.

Sekundära ändamål

Regeringen anser att det är befogat att redan insamlade personuppgifter, på motsvarande sätt som i dag, får behandlas också för vissa andra, sekundära ändamål, nämligen sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet samt för forskning inom hälso- och sjukvårdsområdet. Ett ändamål är även att uppgifterna i vissa fall får lämnas ut till tredje man, i huvudsak mottagare som ska använda uppgifterna för något av de redan nämnda ändamålen. Därutöver får utlämnande av personuppgifter ske enligt 2 kap. tryckfrihetsförordningen utan att det särskilt behöver föreskrivas. Det följer av principen om grundlags företräde framför vanlig lag och anges dessutom uttryckligen i

8 § personuppgiftslagen (1998:204), som också gäller vid behandling av personuppgifter enligt den föreslagna lagen.

Vidare bör personuppgifter kunna lämnas ut om det följer av en särskilt föreskriven uppgiftsskyldighet som exempelvis avses i 14 kap. 1 § sekretesslagen (1980:100) eller 2 kap.8 och 9 §§ lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Ett exempel är att uppgifter lämnas ut enligt 43 § personuppgiftslagen i samband med Datainspektionens tillsyn över personuppgiftsbehandlingen eller att uppgifter levereras till hälsodataregister via ett kvalitetsregister. Utrymmet för att lämna ut personuppgifter från kvalitetsregistren är således väsentligen mera snävt än vad som föreslagits i stort när det gäller personuppgifter inom hälso- och sjukvården där det räcker att utlämnandet sker i överensstämmelse med lag eller förordning.

Dock talar skäl mot att exempelvis tillåta utlämnande med stöd av 15 kap. 5 § sekretesslagen, som föreskriver att en myndighet på begäran av en annan myndighet ska lämna ut uppgift som den förfogar över i den mån inte hinder möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Det är nämligen svårt att överblicka vilket uppgiftsutlämnande som en tillämpning av 15 kap. 5 § sekretesslagen kan leda till.

Av hänsyn till enskildas personliga integritet bör dock inga andra ändamål vara tillåtna. Det innebär att det inte är tillåtet att behandla personuppgifterna för andra ändamål även om dessa inte är oförenliga med det ändamål för vilket uppgifterna har samlats in, dvs. kvalitetssäkring. Personuppgiftslagens finalitetsprincip gäller alltså inte vid behandling av personuppgifter i nationella eller regionala kvalitetsregister.

När det gäller det särskilda ändamålet statistik om hälso- och sjukvård kan anmärkas att inrapporterade data sammanställs statistiskt i de återrapporteringar m.m. som framställs i kvalitetssäkringsarbetet. Sådan statistikframställning omfattas av det primära ändamålet kvalitetssäkring. Det särskilda statistikändamålet tillåter därutöver att personuppgifter behandlas särskilt för att framställa statistik som kan användas för andra ändamål än att förbättra vårdens kvalitet.

Det särskilda efterkommande ändamålet forskning medger att personuppgifter, som samlats in för kvalitetssäkringsändamål, också ska få används i forskning inom hälso- och sjukvårdsområdet. Med forskning avses även epidemiologiska studier. Det ska dock observeras att ändamålet inte utgör något undantag från etikprövningslagen och dess krav på etikprövning då forskning innefattar behandling av känsliga personuppgifter m.m. Har den enskilde inte uttryckligen samtyckt till personuppgiftsbehandlingen för ett specifikt forskningsprojekt, krävs godkännande av etikprövningsnämnd vid all forskning avseende personuppgifter i kvalitetsregister.

Av hänsyn till enskildas integritet bör personuppgifter få lämnas ut till tredje man bara om mottagaren ska använda uppgifterna för att själv bedriva kvalitetssäkring av hälso- och sjukvård, för forskning inom hälso- och sjukvårdsområdet eller för att framställa statistik.

Modellen att specifikt beskriva tillåtna utlämnanden innebär ett starkt integritetsskydd för den enskilde. Av patientdatalagen framgår tydligt när uppgifter, som är insamlade för kvalitetssäkring, kan lämnas ut till tredje man.

Viktigt att framhålla är också att det kommer att vara möjligt att behandla personuppgifterna för andra ändamål än de här nämnda, om ett särskilt och uttryckligt samtycke till det föreligger från de enskilda registrerade. Det framgår av förslag om verkan av den enskildes uttryckliga samtycke till personuppgiftsbehandling utöver den som tillåts i patientdatalagen, se avsnitt 7.4.

Hänvisningar till S15-2

15.3. Personuppgiftsansvar

Regeringens förslag: För sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå ska endast myndigheter inom hälso- och sjukvården få vara personuppgiftsansvariga. Regeringen eller den myndighet som regeringen bestämmer ska få besluta om att även annan får vara personuppgiftsansvarig.

Patientdatalagens huvudregel ska gälla vid kvalitetsregisterrapporteringen om att varje myndighet inom hälso- och sjukvården eller privata vårdgivare är personuppgiftsansvarig för den personuppgiftsbehandling som den utför.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset ser det dock som angeläget att endast myndigheter ska kunna vara personuppgiftsansvariga för personuppgiftsbehandlingen i nationella och regionala kvalitetsregister som sker på central nivå. Landstinget i Jönköping påpekar å sin sida att mycket av arbetet med kvalitetsregistren har vuxit fram i läkarnas specialistföreningar och att det här gäller att hitta former för ett fortsatt gott samarbete mellan sjukvårdshuvudmännen och specialistföreningarna. Annars riskerar man att det unika material som samla in och bearbetas kommer att förlora i kvalitet. Det är också viktigt att inse att flera av registren har karaktären av både kvalitetsregister i ursprunglig bemärkelse och av vårdregister som används som beslutsunderlag i det dagliga arbetet med enskilda patienter. Patientjournalen och kvalitetsregistren kommer på det sättet att i någon mening växa samman och bli delar i en sammanhållen journalföring. Landstinget anser att det kan finnas anledning att överväga om detta borde påverka den kommande lagstiftningens utformning. Landstinget Västmanland noterar att enligt 7 § får endast myndigheter inom hälso- och sjukvården vara personuppgiftsansvariga, dvs. specialistförening eller annan privaträttslig organisation tillåts inte vara det. Visserligen kan regeringen medge undantag från detta, men det innebär att en viss kontroll utförs, vilket landstinget anser är bra för de registrerade patienterna. Karolinska Institutet, KI, framhåller att genom nuvarande skrivning i lagen utestängs universiteten från möjligheten att lägga upp regionala och nationella kvalitetsregister. KI anser att det vore olyckligt med en sådan begränsning. Kvalitetsregister som byggs upp inom universiteten kan vara ett utmärkt komplement i de fall register saknas inom hälso- och sjukvården. Forskare kan bidra med sin kompetens vid uppbyggnaden av

kvalitetsregister så att dessa får en utformning som är optimal utifrån både vården och forskningens behov. Att lägga upp ett regionalt eller nationellt kvalitetsregister torde kräva stora både administrativa och ekonomiska resurser. Visserligen lämnar Socialstyrelsen bidrag till kvalitetsregister inom ramen för Dagmaröverenskommelsen, men universiteten torde kunna tillföra både kompetens och resurser inom ramen för olika forskningsprojekt vid upprättandet av sådana kvalitetsregister. KI anser att det kollektiva patientintresset inte gynnas av att rätten att få vara personuppgiftsansvarig för regionala och nationella kvalitetsregister begränsas till att gälla myndigheter inom hälso- och sjukvården. Statens beredning för medicinsk utvärdering, SBU, påpekar att det är troligt att allt fler kvalitetsregister kommer att arbeta med system där registrering i kvalitetsregistret integreras med den ordinarie journalföringen. Även för tillstånd där patienten omhändertas i en sekvens av vårdgivare bör detta vara möjligt. SBU uttrycker osäkerhet om i vad mån utredningen beaktat denna utveckling. Landstinget i

Östergötland har uppfattat det så, att det är i samband med given vård som uppgifter lämnas till kvalitetsregistren. Landstinget instämmer i utredningens bedömning att uppgifter i ett kvalitetsregister kan vara av ännu mer integritetskänsligt slag än uppgifterna i en patientjournal.

Landstinget uppfattar därför att kraven på informationssäkerhet vad gäller behörighetstilldelning, inloggning, logguppföljning etc. enligt utredningen måste ligga på minst samma nivå som för patientjournaler.

Skälen för regeringens förslag: Vem som är personuppgiftsansvarig för behandling av personuppgifter i de olika nationella kvalitetsregistren är en komplex fråga. Den genomgång som utredningen gjort av de nationella kvalitetsregister som finns i dag ger ingen entydig bild av hur det förhåller sig med personuppgiftsansvaret. Vanligen anges en sjukvårdshuvudman, ett landsting, som huvudman för ett register och en viss person som registerhållare eller registeransvarig. Myndigheten, och inte enskilda kliniker eller läkare, torde i dessa fall vara att anse som personuppgiftsansvarig för registret i fråga. Ibland förekommer emellertid uppgift om att det är en specialistförening, dvs. en ideell förening, som äger, driver och ansvarar för ett register. Inte sällan är det oklart om ett kvalitetsregister förs i en specialistförenings eller i en eller flera sjukvårdshuvudmäns regi.

I avsnitt 8 har regeringen föreslagit en grundläggande bestämmelse om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen. Enligt bestämmelsen är varje myndighet inom hälso- och sjukvården eller en privat vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som den utför.

Liksom vid sammanhållen journalföring, uppkommer emellertid frågor om det finns anledning att föreslå någon särreglering av personuppgiftsansvaret för nationella och regionala kvalitetsregister med tanke på det samarbete mellan flera aktörer som kvalitetsregisterföringen innebär. En särskild fråga är också i vad mån specialistföreningar, dvs. ideella föreningar, bör kunna ha ett personuppgiftsansvar för ett kvalitetsregister, ensamt eller delat med inrapporterande myndigheter och privata vårdgivare. I dessa frågor gör regeringen följande bedömning.

Givetvis underlättas den enskildes möjligheter att ta till vara sina rättigheter, om det direkt av lagen framgår vem han eller hon ska vända

sig till med klagomål på personuppgiftsbehandlingen i ett kvalitetsregister. Ansvaret för den stora mängden nationella eller regionala kvalitetsregister är emellertid i hög grad utspritt inom den praktiserande hälso- och sjukvården. Nya register tillkommer hela tiden och vissa läggs ibland ner. Kvalitetsregistren är dessutom organiserade på olika sätt och har många involverade aktörer som i olika skeden och på olika sätt behandlar de personuppgifter som ingår i eller ska ingå i registren. En detaljreglering av personuppgiftsansvaret ter sig mot den bakgrunden knappast möjligt. En reglering skulle dessutom riskera att låsa fast registerföringen i oflexibla organisationslösningar, som kanske inte passar för alla typer av kvalitetsregister eller som inte visar sig vara ändamålsenliga över tiden. Något direkt utpekande av vem som ska vara personuppgiftsansvarig för nationella eller regionala kvalitetsregister föreslås alltså inte.

Dock föreslås att endast en eller flera myndigheter inom hälso- och sjukvården ska få driva ett nationellt eller regionalt kvalitetsregister, dvs. administrera och hantera personuppgifterna på den centrala registernivån. Från denna huvudregel föreslås att regeringen eller den myndighet som regeringen bestämmer ska få medge undantag och besluta om att även annan än en hälso- och sjukvårdsmyndighet får vara personuppgiftsansvarig, t.ex. ett universitet. Huvudregeln är motiverad av att det framstår som mindre lämpligt att stora samlingar av integritetskänsliga personuppgifter samlas i enskild verksamhet utan att förutsättningarna för detta närmare övervägs och anges.

För den personuppgiftsbehandling som privata eller offentliga vårdgivare utför när de samlar in och rapporterar in uppgifter till registret eller annars behandlar registrerade personuppgifter föreslås emellertid respektive vårdgivare själv vara personuppgiftsansvarig enligt patientdatalagens allmänna huvudregel om personuppgiftsansvar. Det innebär t.ex. att när en privatpraktiserande vårdgivare fyller i elektroniska blanketter för rapportering till ett kvalitetsregister, som en myndighet inom ett landsting är personuppgiftsansvarig för, är det vårdgivaren och inte landstinget som bär personuppgiftsansvaret för att personuppgifterna hanteras korrekt och i enlighet med patientdatalagens och sekretesslagens krav. För den fortsatta centrala hanteringen av inrapporterade personuppgifter föreslås emellertid personuppgiftsansvaret vara samlat hos en eller flera myndigheter. Till den centrala hanteringen hör t.ex. ansvaret för säkerhetsfrågor och ansvaret för att felaktiga uppgifter i registret rättas.

Det föreslagna uppdelade ansvaret mellan den myndighet som centralt administrerar ett kvalitetsregister och inrapporterande vårdenheter kan hävdas vara mindre integritetsvänlig jämfört med en ordning som innebär att den centrala administratören ensam har ansvaret för all personuppgiftsbehandling som sker inom ramen för ett register. Regeringen delar dock utredningens bedömning att det är rimligt att vårdgivarna, som är skyldiga att kvalitetssäkra sin verksamhet, enligt patientdatalagens huvudregel själva bär det formella ansvaret för den personuppgiftshantering som de själva utför i samband med registerhanteringen. Den hanteringen har vidare en central administratör normalt inga formella eller praktiska möjligheter att närmare kontrollera utöver de befogenheter som följer av personuppgiftsansvaret. Mot bakgrund av det

anförda anser regeringen att övervägande skäl talar för det föreslagna uppdelade personuppgiftsansvaret.

Hänvisningar till S15-3

15.4. Kvalitetsregisters innehåll

Regeringens förslag: Bara sådana personuppgifter som behövs för det primära ändamålet kvalitetssäkring av vård får tas in i ett nationellt eller regionalt kvalitetsregister. Vidare får den registrerades personnummer eller namn behandlas i ett nationellt eller regionalt kvalitetsregister om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som indirekt utpekar den registrerade.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i det enskilda fallet medger det.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Datainspektionen framför följande synpunkter angående personuppgifter som får behandlas, se 8 § tredje stycket i den föreslagna patientdatalagen. Utredningen anser att normalt torde det i en del särskilda register vara klart motiverat att behandla uppgifter om t.ex. ras, etniskt ursprung, sexualliv eller ett tvångsomhändertagande. Datainspektionen förutsätts kunna tillåta sådan personuppgiftsbehandling efter samråd med

Socialstyrelsen som har kunskap om vårdens behov av kvalitetsregister. Lagtexten innehåller inte några kriterier för Datainspektionens avsedda bedömning. Sådana kriterier bör enligt Datainspektionen tas in i regeringens förordning. Datainspektionen anser att det bör klargöras om myndigheten i dessa ärenden kan meddela beslut som innehåller villkor, till exempel om krav på uttryckligt samtycke från den registrerade och hur Datainspektionens beslut i dessa ärenden kan överklagas. Landstinget i Jönköping framhåller att det också är viktigt att inse att flera av registren har karaktären av både kvalitetsregister i ursprunglig bemärkelse och av vårdregister som används som beslutsunderlag i det dagliga arbetet med enskilda patienter. Patientjournalen och kvalitetsregistren kommer på det sättet att i någon mening växa samman och bli delar i en sammanhållen journalföring. Förbundet Sveriges arbetsterapeuter noterar att det i utredningens förslag föreslås att registren i första hand ska bygga på kodade personuppgifter i stället för direkt utpekande personuppgifter. Förbundet framhåller att det för de egna medlemmarna främst är långtidsuppföljning som är intressant att följa i ett register. Arbetsterapeuter behandlar ofta patienter som genomgår flera olika medicinska behandlingar och av flera behandlande hälso- och sjukvårdsprofessioner. Detta menar förbundet talar för register med okodade personuppgifter. Svensk förening för allmänmedicin, SFAM, noterar med tillfredsställelse att personuppgifter bara ska få förekomma i regionala och nationella kvalitetsregister när de är nödvändiga för själva syftet, och

det inte räcker med kodade uppgifter. SFAM noterar dock att det inte framgår vilken myndighet som kommer att ha bedömningsrätten angående detta. Riksföreningen för skolsköterskor framhåller att de förstår att kvalitetsregister är viktiga för sjukvården, men att skolhälsovården ännu inte har en given plats i dessa register. Däremot är vissa hälsoregister av stort intresse för riksföreningen t.ex. ett kommande Vaccinationsregister via SVEVAC och ett Längd- och Viktregister. Det ökar enligt riksföreningen patientsäkerheten att ha tillgång till en sammanställning av de vaccinationer barn fått och att ha tillgång till hela tillväxtkurvan.

Skälen för regeringens förslag: Att närmare precisera i detalj vilka personuppgifter som får behandlas i alla de sinsemellan olika nationella kvalitetsregistren konstaterar utredningen vara en omöjlighet, i vart fall på lagstiftningsnivå. Enligt utredningen bör emellertid några begränsningar införas av hänsyn till enskildas personliga integritet.

Den första begränsningen innebär att det bara är personuppgifter som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårdsverksamhet som får samlas in och fortsättningsvis behandlas. Tolkningen av vad som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårdsverksamhet kan ske inom ganska vida ramar. Exempelvis finns inget hinder mot att uppgifter om vårdens kostnadseffektivitet i form av Kostnad Per Patient (KPP), nyckeltal och liknande behandlas parallellt med uppgifter om behandlingsresultat m.m. Personuppgifter som inte direkt behövs för kvalitetssäkringsändamål utan enbart skulle vara bra att ha i framtida forskningsprojekt får inte samlas in.

Vidare ska nationella och regionala kvalitetsregister i första hand bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter, i stället för direkt utpekande personuppgifter.

Uppgifter om hälsa är känsliga personuppgifter enligt 13 § personuppgiftslagen men måste trots det få behandlas i nationella och regionala kvalitetsregister. Däremot finns det från integritetssynpunkt skäl att inskränka utrymmet för behandling av andra känsliga personuppgifter som avses i 13 § personuppgiftslagen liksom uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag. Regeringen föreslår att sådana uppgifter ska få behandlas i nationella eller regionala kvalitetsregister bara om regeringen, eller efter vidaredelegation Datainspektionen efter samråd med Socialstyrelsen, i enskilda fall tillåter det. De närmare förutsättningarna bör dock inte anges i författning utan i beslut i enskilda fall rörande ett visst kvalitetsregister. De förslag som lämnats i avsnitt 7.4 om verkan av den enskilde registrerades uttryckliga samtycke, medför att dessa slags uppgifter med ett sådant samtycke får registreras i ett kvalitetsregister redan utan särskilt stöd i ett särskilt beslut. I dessa fall kan inte nog understrykas att det i information till den enskilde klart bör framgå att ett uttryckligt samtycke omfattar just dessa slags personuppgiftskategorier.

Enligt regeringens bedömning är det vidare förenligt med dataskyddsdirektivet att i nationell lagstiftning uppställa en begränsning för behandling i särskilda register av vissa personuppgiftskategorier på det sätt som här föreslagits.

Landstinget i Jönköping har framhållit att flera register har karaktären av både kvalitetsregister och av vårdregister som används som beslutsunderlag i det dagliga arbetet med enskilda patienter. Regeringen vill mot bakgrund av detta särskilt framhålla att en sådan sammanblandning av centrala och regionala kvalitetsregister och andra register inom hälso- och sjukvården, t.ex. patientjournal, inte är tillåtet.

Syftet för insamling av personuppgifter inom hälso- och sjukvården finns tydligt angivet i 2 kap.4 och 5 §§patientdatalagen. Bl.a. får personuppgifter samlas in för vårddokumentation och för att utveckla och säkra kvaliteten i verksamheten. Syftena för insamling av personuppgifter till centrala och regionala kvalitetsregister finns angivet i 7 kap. 4 och 5 §§ samma lag och endast personuppgifter som behövs för ändamålet kvalitetssäkring av hälso- och sjukvårdsverksamhet får behandlas i sådana kvalitetsregister. Som framgår av dessa bestämmelser ställs olika krav för insamling av personuppgifter inom hälso- och sjukvården respektive till centrala och regionala kvalitetsregister. Det finns dock inget som hindrar att personuppgifter som samlats in i hälso- och sjukvården av en patient även behandlas i ett regionalt eller centralt kvalitetsregister om förutsättningarna för det enligt patientdatalagen är uppfyllda.

Som framgår av nämnda bestämmelser innebär de krav som ställs på syftet med insamlingen och exempelvis också att den enskilde ges rätt att motsätta sig att personuppgifter om honom eller henne behandlas i ett centralt eller regional kvalitetsregister, se avsnitt 15.5, att det inte är förenligt med patientdatalagen att skapa register som samtidigt både är centrala eller regionala kvalitetsregister och t.ex. patientjournal.

Inte heller på lokal nivå, när ett kvalitetsregister förs inom en vårdgivares verksamhet, bör register skapas som samtidigt både är kvalitetsregister och patientjournal.

Hänvisningar till S15-4

15.5. Den enskildes inställning

Regeringens förslag: I patientdatalagen införs en bestämmelse som, till skillnad från vad som gäller i dag enligt personuppgiftslagen, ger patienten en rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. Denna rätt gäller även efter en registrering. I sådant fall ska uppgifter om patienten utplånas ur registret så snart som möjligt.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Kammarrätten i Stockholm anför att enligt dataskyddsdirektivet ska medlemsstaterna tillförsäkra den registrerade ”rätten att i vissa fall när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat”. I den föreslagna patientdatalagen 7 kap. 2 § får personuppgifter inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig

det. Kammarrätten tillstyrker en sådan lösning i stället för ett krav på samtycke.

Någon prövning av huruvida den enskildes invändning är berättigad eller inte har emellertid inte införts. Utredningen menar att det ligger i sakens natur att den registrerade kan ha berättigade skäl att motsätta sig behandlingen då uppgifterna gäller hälsa. Kammarrätten anser att även om denna slutsats kan tänkas vara rimlig, så är frågan inte tillräckligt utredd, eftersom dataskyddsdirektivet inte är ett minimidirektiv. Kammarrätten förordar att frågan regleras.

Västra Götalands läns landsting och Sahlgrenska Universitetssjukhuset, SU, anför att det i lagförslaget anges i 7 kap. 2 § att den enskilde har rätt att få uppgifter om sig själv utplånade ur registret. Regionen och

SU föreslår att den enskilde i stället ska ha rätt att få uppgifterna utplånade eller avidentifierade. En motsvarande bestämmelse finns i 3 kap. 6 § biobankslagen. Även små bortfall i ett kvalitetsregister kan drastiskt minska värdet av de uppgifter som finns på dem som kvarstår i registret.

Karolinska Institutet, motsätter sig inte att patienter ska ha rätt att utplåna sina uppgifter om de så önskar. För att säkerställa att forskningsresultat inte blir felaktiga bör dock uppgifter om ålder och kön på patienter som utplånar sina uppgifter kunna behållas.

Landstinget Västmanland anför att av 2 § framgår det att patienten både i förväg och i efterhand kan motsätta sig att personuppgifter behandlas. Detta anser landstinget är olyckligt då en fullständig registrering är grunden för kvalitetsuppföljning och registren annars tappar i värde. Registrering av personuppgifter görs endast då det är helt nödvändigt och självklart ska då i första hand avidentifierade uppgifter användas.

Statens medicinsk-etiska råd framhåller att kvalitetsregister är utomordentligt viktiga för forskning och för hälso- och sjukvårdens utveckling. Den enskildes möjlighet att välja att stå utanför kan därför få negativa konsekvenser. När det gäller kvalitetsregister menar rådet att den enskildes integritet måste vägas mot allmänintresset av en högkvalitativ sjukvård.

Svenska Läkaresällskapet anser att det är viktigt att kvalitetsregister får en hög täckningsgrad och patienter bör om möjligt inte kunna avstå från att delta i dessa.

Sveriges Pensionärers Riksförbund, SPRF, anser att om uppgifter inte kan avidentifieras, ska de inte få användas för forskningsändamål med mindre än att patienten ger sitt uttryckliga tillstånd till detta. SPRF delar vidare utredningens åsikt att en patient ska slippa att mot sin vilja bli registrerad i ett nationellt eller regionalt kvalitetsregister om detta innebär att patientens identitet röjs.

Svenska föreningen för barn- och ungdomspsykiatri ser det som angeläget att lagtexten ger möjlighet att använda uppgifter från ett kvalitetsregister som beslutsstöd i en enskild patients vård och behandling. Vanligtvis räcker uppgifter i patientjournalen, men i vissa situationer kan strukturerade patientuppgifter underlätta uppföljning av vård och behandling. I stället för att den enskilde ges rätten att få uppgifter om sig själv utplånade ur kvalitetsregistret föreslår föreningen att den enskilde får rätt att avidentifiera uppgifterna – i överensstämmelse med regelverket för blod- och vävnadsprover i 3 kap. 6 § biobankslagen.

Statens beredning för medicinsk utvärdering, SBU, anför att utredningens förslag innebär att patienterna ges möjlighet till ett tyst samtycke (opt-out) från kvalitetsregisterregistrering. SBU anser att det är en förbättring jämfört med dagens situation där patienterna förutsätts ge sitt tillstånd men där detta i praktiken inte alltid efterfrågas. Patienterna har också rätt att när som helst få sina uppgifter utplånade från registret.

Handikappförbundens samarbetsorgan stödjer inte förslaget att det i patientdatalagen införs en bestämmelse som ger patienten rätten att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister.

Förbundet anser vidare att det är viktigt att ge tydlig information till patienten om nyttan med att samla uppgifter i kvalitetsregister då dessa är en viktig kunskapsbank för bland annat forskning.

Skälen för regeringens förslag: Med anledning av att personuppgiftsbehandlingen i nationella kvalitetsregister är tillåten enligt personuppgiftslagen även utan den registrerades samtycke finns enligt regeringens mening behov av en särbestämmelse. Kvalitetsuppföljning är vidare en verksamhet som sker i enlighet med hälso- och sjukvårdslagen (1982:763). I 2 a § samma lag betonas patientens medbestämmanderätt.

Det kan alltså hävdas att det är mer i hälso- och sjukvårdslagens anda att registerföringen förutsätter att den enskilde inte har något emot den, särskilt med tanke på att vårdgivarens deltagande i registerföringen inte är en direkt författningsreglerad skyldighet. En undersökning som utredningen genomfört visar också att en majoritet menar att patienten bör ha ett inflytande i detta avseende. Mot bakgrund av det anförda föreslår regeringen en bestämmelse som, med avvikelse från 12 § andra stycket personuppgiftslagen, ger den registrerade rätt att motsätta sig personuppgiftsbehandlingen förutsatt att denna sker i ett särskilt inrättat kvalitetsregister som förs nationellt eller regionalt.

Någon särskild rätt att enbart motsätta sig personuppgiftsbehandling för ändamål som är sekundära föreslås inte. Det bör dock anmärkas att det av 3 och 6 §§ etikprövningslagen följer att forskning som innefattar behandling av känsliga personuppgifter som avses i 13 § personuppgiftslagen eller personuppgifter om lagöverträdelse m.m. som avses i 21 § personuppgiftslagen ska etikprövas, om forskningspersonen inte har lämnat sitt uttryckliga samtycke till behandlingen inom det ifrågavarande forskningsprojektet. Sådan forskning som baseras på känsliga personuppgifter m.m. i kvalitetsregister är alltså bara tillåten om antingen den enskilde uttryckligt samtyckt till den ifrågavarande behandlingen för forskningsändamålet eller personuppgiftsbehandlingen har godkänts i ett etikprövningsförfarande. Regeringens förslag sätter alltså inte etikprövningslagen ur spel när det gäller forskning baserad på personuppgifter i kvalitetsregister. Detta gäller såväl den personuppgiftsansvarige vårdgivarens egen forskning som tredje mans forskning.

Av 12 § första stycket personuppgiftslagen följer att personuppgiftsbehandling som har sitt rättsliga stöd i ett av den registrerade lämnat samtycke, får fortsätta i fråga om redan insamlade uppgifter även efter det att samtycket återkallas. Däremot får inte nya personuppgifter samlas in och behandlas. Regeringen instämmer i utredningens mening att en annan ordning bör tillämpas när det gäller registrering i nationella och regionala kvalitetsregister. Således föreslås att registrerade ska ha en rätt att få sina personuppgifter utplånade ur registret, dvs. helt borttagna.

Förslaget motiveras främst av att den registrerades rätt i annat fall riskerar att inte sällan bli rent illusorisk. Detta med tanke på att personuppgiftsbehandling kan komma att påbörjas även innan den registrerade informerats om registret, t.ex. på grund av att den registrerades hälsotillstånd har hindrat att information lämnas.

Några av remissinstanserna har ansett att den enskilde i stället för eller dessutom ska ges rätt att avidentifiera uppgifterna – i överensstämmelse med regelverket för blod- och vävnadsprover i 3 kap. 6 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen) och inte enbart utplånade ur kvalitetsregistret på sätt som regeringen föreslagit. Biobankslagen saknar till skillnad från patientdatalagen en bestämmelse som begränsar när identifierbara personuppgifter får behandlas, jfr 7 kap. 8 § andra stycket patientdatalagen. Identifierbara uppgifter får enligt patientdatalagen endast behandlas om det inte är tillräckligt för att säkra vårdens kvalitet att använda avidentifierade personuppgifter. Bedömningen om det för det nationella eller regionala kvalitetsregistret, för att det ska uppfylla ändamålet, krävs att identifierade uppgifter måste behandlas ska således ha gjorts före behandlingen påbörjats enligt patientdatalagen. Om den enskilde ges rätt att avidentifiera uppgifterna, jämte eller i stället för möjligheten att utplåna dem, har uppgifterna vid en korrekt tillämpning av 7 kap. 8 § patientdatalagen inte längre något värde för ändamålet med kvalitetsregistret. Regeringens bedömning är därför att den enskilde inte ska ges rätt att även avidentifiera uppgifterna på sätt som några remissinstanser har anfört.

När det gäller frågan hur förslaget förhåller sig till dataskyddsdirektivet följer av direktivets artikel 14 a att ”den registrerade ska tillförsäkras rätten att – bl.a. då personuppgifter får behandlas utan samtycke för att en arbetsuppgift av allmänt intresse ska kunna utföras, se artikel 7 e i direktivet – när som helst av avgörande och berättigade skäl som rör hans personliga situation motsätta sig behandling av uppgifter som rör honom, utom när den nationella lagstiftningen föreskriver något annat. När invändningen är berättigad får den behandling som påbörjats av den registeransvarige inte längre avse dessa uppgifter,”

Regeringen har i avsnitt 8 föreslagit det förtydligandet i patientdatalagen att huvudregeln är att personuppgiftsbehandling med stöd av patientdatalagen får utföras även om den enskilde motsätter sig den. Förslaget när det gäller nationella och regionala kvalitetsregister är ett undantag från denna huvudregel. Mot bakgrund av artikel 14 a dataskyddsdirektivet bedömer regeringen att det inte är nödvändigt att föreskriva någon prövning av huruvida den enskildes invändningar är berättigade eller inte. Behandlingen gäller i huvudsak uppgifter om hälsa, vilka är känsliga enligt såväl personuppgiftslagen som direktivet. Det bör därmed kunna anses ligga i sakens natur att den registrerade kan ha berättigade skäl att motsätta sig behandlingen.

Slutligen bör noteras att den omständigheten att det inte uppställs krav på särskilt samtycke till registrering givetvis inte innebär att vårdgivare inte får tillämpa en ordning där samtycke, uttryckligt eller inte, inhämtas. I många fall är det i hög grad lämpligt att inhämta samtycke från patienten. Regeringens förslag utgör en ramlag vari de yttre gränserna för den tillåtna personuppgiftsbehandlingen anges. Inom ramen överlåts det åt vårdgivarna att göra bedömningar såsom t.ex. om det för ett visst

register är etiskt lämpligt med en ordning som innebär att uttryckligt samtycke till registrering i kvalitetsregister inhämtas.

Hänvisningar till S15-5

15.6. Information

Regeringens förslag: Den enskilde ska informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Därutöver ska den registrerade särskilt upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare ska den enskilde informeras om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv. Dessutom ska den registrerade informeras om till vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut.

Informationen ska lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart som möjligt därefter.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Vetenskapsrådet framför angående att patienten ska informeras om att uppgifter kan lämnas ut för forskningsändamål, att patienten också bör informeras om att forskningsändamål regelmässigt underkastas etisk prövning och att bearbetningen sker i avidentifierad form. Vetenskapsrådet menar vidare att det är bra att lagförslaget inte föreslås innebära förnyad information och samtycke för varje nytt ändamål utan att det anses räcka med information på webbplats eller i tidningsannons. Landstinget Västernorrland framför att när det gäller att sammanställa avidentifierade uppgifter på aggregerad nivå för forsknings- och kvalitetssäkringsändamål anser landstinget att det räcker med att informera patienten om detta eftersom uppgifterna är avidentifierade och integriteten därmed garanterad. Svensk förening för allmänmedicin, SFAM, anser att det är oklart vad informationsskyldigheten till patienten om att uppgift förs till register innebär. SFAM ser en fara i att denna skyldighet löses på ett sätt som i praktiken inte ger patienten möjlighet att bli medveten om vad som sker, åtminstone inte utan betydande ansträngningar, samt kunskaper om lagstiftningen, både hos behandlande läkare och patient.

Skälen för regeringens förslag: Utredningens kartläggning av de nationella kvalitetsregistren ger vid handen att patienter som registreras i nationella kvalitetsregister normalt får skriftlig information om det aktuella registret. Utformningen av informationen varierar emellertid. I många fall synes personuppgiftslagens krav på information som obligatoriskt och självmant ska lämnas till den registrerade inte helt uppfyllas.

Exempelvis är det en mycket vanlig brist att det saknas upplysning om vem som är personuppgiftsansvarig för behandlingen i registret, en i sammanhanget mycket viktig upplysning för att patienten ska kunna göra sin rätt gällande. Datainspektionen har också vid sin tillsyn av ett tiotal nationella kvalitetsregister funnit bristfälligheter när det gäller informationens utformning.

I avsnitt 17 behandlas allmänna frågor om information som ska lämnas till patienten då personuppgifter behandlas enligt patientdatalagen. Dessa bestämmelser gäller givetvis även när personuppgifter behandlas i nationella och regionala kvalitetsregister. Denna informationsskyldighet följer även av personuppgiftslagen. Det är här viktigt att framhålla att det av patientdatalagens allmänna bestämmelse om information följer att särskild information om kvalitetsregisterföringen i fråga måste ges till den enskilde, inte minst i fråga om att klargöra för patienten att registreringen är frivillig. Därför är det också viktigt att informationen lämnas före registreringen, vilket föreslås uttryckligen ska framgå i patientdatalagen.

Inom hälso- och sjukvården uppstår inte sällan situationer då information inte kan lämnas på ett tidigt stadium, t.ex. då patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Sådana situationer bör inte förhindra att personuppgiftsbehandlingen ändå påbörjas. I annat fall torde t.ex. integrering av elektronisk journalföring och rapportering till kvalitetsregister i många fall försvåras eller till och med omöjliggöras. Undantag föreslås därför gälla, för nationella och regionala kvalitetsregister, i situationer då informationen inte kan lämnas på ett så tidigt stadium. I en sådan situation ska informationen i stället lämnas så snart som möjligt.

Vidare föreslår regeringen att patienten särskilt ska upplysas för det fall personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Regeringen föreslår också att patienten särskilt ska informeras om huruvida och i så fall till vilka kategorier av mottagare personuppgifter lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Hur informationen ska ges bör, enligt regeringens mening, överlåtas åt varje personuppgiftsansvarig att bestämma. Det åligger dock den personuppgiftsansvarige att se till att informationen är utformad på ett sätt som kan förstås av den registrerade.

Om ett kvalitetsregister först i ett senare skede avses användas för ett nytt ändamål eller planeras att samköras utan att registrerade patienter blivit informerade om detta vid registreringen är det tillräckligt att tydlig information om det nya ändamålet eller samkörningen lämnas t.ex. på en webbplats eller i tidningsannonser.

Hänvisningar till S15-6

15.7. Direktåtkomst

Regeringens förslag: I patientdatalagen anges att en vårdgivare får ha direktåtkomst till sådana personuppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren tidigare rapporterat in till registret.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens förslag.

Skälen för regeringens förslag: I avsnitt 7.6 föreslås att direktåtkomst till personuppgifter som behandlas elektroniskt ska få förekomma bara i den utsträckning som medges i lag eller förordning. Med direktåtkomst avses en möjlighet att bereda sig automatisk tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation, men utan möjlighet att kunna bearbeta eller annars påverka uppgifternas innehåll. Begreppet direktåtkomst används i patientdatalagen förutom i detta sammanhang när uppgifter om en enskild lämnas ut till den enskilde själv, se 5 kap. 4 § patientdatalagen, samt vid sammanhållen journalföring, se 6 kap. samma lag.

Innebörden av direktåtkomst är, förenklat uttryckt, att en mottagare av personuppgifterna kan, genom direktuppkoppling till utlämnarens datasystem, söka efter och ta del av uppgifter i utlämnarens datasystem. Sådan direktåtkomst förekommer i flera av de nuvarande nationella kvalitetsregistren som tillämpar inrapportering via Internet. Direktåtkomsten används av den inrapporterande vårdinrättningen för att göra t.ex. lokala uppföljningar av den egna verksamheten. Det kan här påpekas att personuppgifterna som finns lagrade i ett kvalitetsregister enligt såväl sekretesslagens som personuppgiftslagens synsätt är utlämnade från den inrapporterande vårdenheten och att ett nytt utlämnande äger rum då vårdenheten ges tillgång till ”sina” patientuppgifter i registret.

Regeringen anser att direktåtkomst till personuppgifter som vårdgivaren tidigare inrapporterat till registret även fortsättningsvis bör vara tillåten. Mot bakgrund av det nyss nämnda förslaget i avsnitt 7.6 behövs dock en uttrycklig bestämmelse om denna direktåtkomst.

När det gäller vilka befattningshavare hos såväl inrapporterande vårdgivare som inom den centrala registerförarens organisation som ska ha tillgång till personuppgifter gäller patientdatalagens allmänna bestämmelser om inre sekretess och tilldelning av behörighet för elektronisk åtkomst till personuppgifter. Av dessa bestämmelser följer att endast den som behöver tillgång till personuppgifter i ett nationellt eller regionalt kvalitetsregister för att utföra arbete för ändamål för vilka registren är tillåtna, får ha åtkomst till sådana uppgifter.

Hänvisningar till S15-7

  • Prop. 2007/08:126: Avsnitt 21.1

15.8. Bevarande och gallring

Regeringens förslag: Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för ändamålet kvalitetssäkring. Gallring kan ske genom att personuppgifterna avidentifieras. Arkivmyndighet får dock meddela föreskrifter om att personuppgifterna ska bevaras under längre tid för historiska, statistiska eller vetenskapliga ändamål. Om regeringen eller bemyndigad myndighet föreskrivit att annan än myndighet i kommun eller landsting får vara personuppgiftsansvarig för ett nationellt eller regionalt kvalitetsregister, får regeringen eller myndigheten också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Utredningens förslag: Överensstämmer med regeringens förslag.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Vetenskapsrådet anser att gallring av kvalitetssäkringsregister så som föreslås kan innebära att man förlorar möjligheten till världsunik forskning. Rådet anför att det kan vara svårt, eller omöjligt, att förutse framtida behov av data för forskningsändamål. Det svenska patientregistret har ganska få motsvarigheter i världen, även om Danmark, Finland och

Skottland har liknande personbaserade register. Genom att samköra med kvalitetsregister kan unik forskning genereras med uppföljning av patientkohorter över mycket lång tid. Ett aktuellt exempel är t.ex. frågan om huruvida läkemedelsstentar (ett stent är ett metallnät som används när man vidgar förträngda kranskärl t. ex. vid hjärtinfarkt) orsakar cancer, vilket har föreslagits. En sådan frågeställning kräver att man kan följa patienter under decennier. Om man vill kunna utvärdera nya behandlingsmetoder inte enbart med avseende på dödlighet men även beträffande framtida sjuklighet erbjuder det svenska patientregistret möjligheter till unik och världsledande forskning. Vetenskapsrådet anser att man inte kan förvänta sig att sjukvårdshuvudmannen ska kunna avgöra om man ska kunna underlåta gallring för att tillgodose behovet av forskning. I de flesta fall torde integritetsintrånget för den enskilde patienten bli mycket begränsat av att de redan införda personuppgifterna behålls. Gallring av personuppgifter ur sådana register föreslår Vetenskapsrådet därför inte ska ske med mindre än att de medicinska fakulteterna och Socialstyrelsen beretts möjlighet att yttra sig. Riksarkivet ser ingen anledning att ändra den formella principen för bevarande och gallring av nationella och regionala kvalitetsregister på så sätt att gallring görs till huvudregel. Arkivlagens bestämmelser bör även i fortsättningen gälla för dessa.

Landstinget Dalarna anser att de föreslagna arkiveringsreglerna inte tar hänsyn till förekommande preskriptionsregler bl. a. vad avser läkemedelsskador. Det är landstingets uppfattning att vårdgivarna, i enlighet med nu gällande lagstiftning, väl kan bedöma behovet av arkiveringstider. Landstinget föreslår därför ingen ändring i detta avseende.

Skälen för regeringens förslag: Utredningen har i sin kartläggning av nationella kvalitetsregister funnit att det endast i undantagsfall framgått att uppgifterna systematiskt ska rensas eller gallras. I ett fåtal register avidentifieras personuppgifter dock efter vissa tidsramar. Flertalet register är också ganska nya. Många är fortfarande under uppbyggnad och i ett utvecklingsskede.

Huruvida registret i sin helhet förs av t.ex. en specialistförening eller av en specialistklinik vid ett offentligt sjukhus är naturligtvis av avgörande betydelse för frågan om personuppgifters bevarande eller gallring. I det förra fallet gäller personuppgiftslagens bestämmelser om hur länge personuppgifter får behandlas medan arkivlagens (1990:782) bestämmelser om hur länge allmänna handlingar ska bevaras gäller i det senare fallet. Regeringens förslag om personuppgiftsansvar för central hantering av nationella och regionala kvalitetsregister innebär att arkivlagens bestämmelser kommer att gälla, eftersom kvalitetsregistren utgör allmänna handlingar. Utgångspunkten enligt arkivlagen är att allmänna handlingar ska bevaras för framtiden.

Regeringen anser inte att detta är en tillfredsställande lösning för personuppgifter i nationella och regionala kvalitetsregister. En motsatt

utgångspunkt bör enligt regeringens uppfattning i stället gälla, dvs. att personuppgifterna ska gallras då de inte längre behövs för det primära ändamålet med ifrågavarande kvalitetsregister, att systematiskt och fortlöpande säkra och utveckla hälso- och sjukvårdens kvalitet. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, ska gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten. Det är regeringens mening att detta förslag balanserar önskemålet om att skydda den enskildes integritet gentemot behovet av att kunna genomföra långsiktig uppföljning. Vetenskapsrådet har anfört att gallring av personuppgifter ur centrala eller regionala kvalitetsregister inte ska ske med mindre än att de medicinska fakulteterna och Socialstyrelsen beretts möjlighet att yttra sig. Regeringen anser att det saknas skäl att utgå från att sjukvårdshuvudmannen inte kan avgöra om gallring ska ske eller underlåtas på grund av exempelvis forskningsändamål. För närvarande anser därför regeringen att det inte finns behov av att påföra en sådan skyldighet som Vetenskapsrådet föreslår, som skulle innebära extra administration. Enligt förslaget finns också, som framgår i det följande, möjlighet att en arkivmyndighet inom ett landsting eller en kommun meddelar föreskrifter om längre bevarandetid av vissa personuppgifter som t.ex. kan vara viktiga för vetenskapliga ändamål.

Gallring kan utföras på många olika sätt när det gäller elektroniskt lagrad information. Regeringen instämmer i utredningens uppfattning att det räcker att personuppgifterna i fråga avidentifieras så att de inte längre direkt eller indirekt kan knytas till den enskilda, för att uppfylla lagens krav. Handlar det om kodade uppgifter, kan det alltså räcka med att kodnyckeln förstörs förutsatt att bakvägsidentifiering därefter inte är möjlig. Det räcker normalt inte att bara gallra bort personnummer eller namn. Ofta går det att via uppgifter om t.ex. operationsdatum, kön, ålder, opererande klinik och liknande uppgifter härleda uppgifter till enskilda patienter. Det ska alltså inte vara möjligt efter avidentifiering.

Från denna huvudregel om gallring får arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvariga myndigheten hör, meddela föreskrifter om att personuppgifterna trots allt får bevaras under längre tid, om det sker för historiska, statistiska eller vetenskapliga syften. Det krävs alltså ett aktivt ställningstagande på central nivå hos en eller flera sjukvårdshuvudmän för att föreskriven gallring ska kunna underlåtas.

För det fall ett kvalitetsregister, efter föreskrift av regeringen, förs av någon annan personuppgiftsansvarig än en myndighet i kommun eller landsting, föreslås att regeringen också får föreskriva längre bevarandetid för historiska, statistiska eller vetenskapliga syften.

Hänvisningar till S15-8

15.9. Sekretessfrågor – överföring av uppgifter i kvalitetsregisterrapporteringen

Regeringens förslag: En ny sekretessbrytande bestämmelse införs. Bestämmelsen innebär att hälso- och sjukvårdssekretessen inte hindrar att uppgifter lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagens särskilda reglering.

Regeringens bedömning: Utbytet av kvalitetsregisteruppgifter mellan myndigheter inom hälso- och sjukvården bedöms kunna ske inom ramen för den nuvarande sekretessregleringen. Detsamma gäller utbyte från privata vårdgivare.

Utredningens förslag och bedömning: Utredningens förslag överensstämmer i sak med regeringens förslag med den ändringen att regeringen valt en annan lagteknisk lösning. Utredningens bedömning överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens förslag och bedömning.

Skälen för regeringens förslag och bedömning: Kvalitetsregisteruppgifter hämtas i allmänhet ur patientjournaler eller sammanhänger på annat sätt med dokumentationen i samband med den individinriktade hälso- och sjukvården. Uppgifterna hos den inrapporterande vårdenheten omfattas således av hälso- och sjukvårdssekretess enligt 7 kap. 1 c § sekretesslagen, förutsatt att vårdenheten hör till en offentlig vårdgivare, dvs. ingår i en myndighet eller vårdgivaren är ett kommunalt företag som avses i 1 kap. 9 § sekretesslagen.

Systematisk och fortlöpande säkring av kvaliteten i hälso- och sjukvårdsverksamheten är en förpliktelse för vårdgivarna enligt 31 § hälso- och sjukvårdslagen och enligt 16 § tandvårdslagen (1985:125). Kvalitetssäkring i form av kvalitetsregister bör ses som en integrerad del av sådan hälso- och sjukvårdsverksamhet som avses i 7 kap. 1 c § första stycket sekretesslagen alldeles oberoende av huruvida ett kvalitetsregister är nationellt, regionalt eller lokalt. Visserligen lämnas patientuppgifter ut till annan offentlig vårdgivare när de inrapporteras till ett kvalitetsregister som förs centralt utanför den egna myndighetsorganisationen. Uppgifterna härrör emellertid från en individinriktad verksamhet av samma slag som bedrivs av den mottagande myndigheten. Trots att det inte finns någon direkt vårdrelation mellan den mottagande registerföraren och patienten lämnar uppgifterna inte den sektor av faktisk hälso- och sjukvårdsverksamhet som omfattas av tillämpningsområdet för 7 kap. 1 c § första stycket sekretesslagen. Regeringens uppfattning är därför att sekretessbestämmelsen är tillämplig beträffande samtliga uppgifter i ett kvalitetsregister vari flera vårdgivare deltar och inte bara beträffande de uppgifter som härrör från samma myndighetsorganisation som ansvarar för den centrala registerföringen.

I sammanhanget kan nämnas att det i förarbetena till vårdregisterlagen anges att sekretessen enligt 7 kap. 1 c § sekretesslagen gäller inom den offentligt bedrivna hälso- och sjukvården oavsett om uppgifterna finns i ett vårdregister eller behandlas för bl.a. kvalitetssäkring (prop. 1997/98:108 s. 78). Förhållandet åberopades därvid som stöd för att

tillåta elektroniskt utlämnande av uppgifter från vårdregister till bl.a. en mottagare som skulle använda uppgifterna för kvalitetssäkring av hälso- och sjukvård.

Bedömningen i det föregående innebär inget undantag från att det ska finnas lagligt stöd för den överföring av sekretessbelagda uppgifter som sker när en vårdenhet inrapporterar uppgifter om sina patienter till ett kvalitetsregister som hanteras centralt utanför den myndighet till vilken inrapporten hör. I denna fråga gör regeringen samma bedömning som utredningen, dvs. att 1 kap. 5 § sekretesslagen inte kan åberopas till stöd för uppgiftsutlämnandet. Det torde nämligen inte kunna hävdas att patientuppgifter måste lämnas ut till kvalitetsregister för att den utlämnande myndigheten ska kunna fullgöra sin egen verksamhet.

14 kap. 4 § sekretesslagen ger stöd för vårdenheternas utlämnande av kvalitetsregisteruppgifter till registerförare då patienten har samtyckt till utlämnandet. Enligt regeringens bedömning torde utlämnande med stöd av 14 kap. 4 § sekretesslagen i realiteten vara den enda rättsliga möjligheten att utlämna sekretessbelagda kvalitetsregisteruppgifter till sådana register som för närvarande hanteras centralt av enskild, t.ex. en privat vårdgivare eller en förening för specialiserade läkare. I synnerhet gäller det sagda kvalitetsregister vari uppgifter som direkt pekar ut den enskilde registreras, t.ex. genom personnummer.

Enligt regeringens förslag till särbestämmelser för personuppgiftsbehandling i nationella och regionala kvalitetsregister kommer emellertid som huvudregel bara myndigheter hos landsting och kommuner att få vara personuppgiftsansvariga för ett sådant kvalitetsregisters centrala personuppgiftshantering. Genom förslaget kommer vidare den enskilde patienten att ges en rätt att, efter att ha blivit grundligt informerad, motsätta sig registrering i kvalitetsregister enligt en opt out-modell. Kvalitetsregisterföringen kommer därigenom i praktiken att bygga på patienternas tysta samtycke. Som nyss sagts godtas att ett sådant tyst samtycke har sekretessbrytande verkan enligt 14 kap. 4 § sekretesslagen. I allmänhet kommer således förslaget när det gäller nationella och regionala kvalitetsregister att vara väl förenligt med att uppgifter lämnas ut i sekretesslagens mening med stöd av 14 kap. 4 § sekretesslagen.

Samtidigt är det inte helt tillfredsställande att ett rutinmässigt och ibland omfattande flöde av uppgifter, som omfattas av en sekretess med ett omvänt skaderekvisit, lämnas enbart med stöd av ett tyst, i det närmaste presumerat samtycke från den berörda patienten. Som framförts i avsnitt 10.2 och 10.4 kan samtycket ibland, inte minst i fråga om kvalitetsregister för akutsjukvård eller liknande, bygga på ett ganska passivt val av en patient som just i valsituationen har andra problem att tänka på än en eventuell kvalitetsregistrering. Personuppgiftsbehandlingen kan vidare påbörjas innan den enskilde fått information om behandlingen. Sker inrapportering i dessa fall, kan man knappast åberopa tyst samtycke till stöd för uppgiftsutlämnandet. Sammantaget anser regeringen alltså att 14 kap. 4 § sekretesslagen inte ger ett tillräckligt tydligt stöd för den inrapportering till kvalitetsregister som föreslagits ska få äga rum.

Regeringen anser att det mot denna bakgrund är motiverat med ett undantag från hälso- och sjukvårdssekretessen för inrapportering av uppgifter till nationella och regionala kvalitetsregister som sker i enlighet

med patientdatalagens krav. Undantaget måste ses tillsammans med de integritetsskyddande garantier som föreslås i avsnitt 15.5, t.ex. rätten att få uppgifter utplånade från registret.

Avslutningsvis kan nämnas något om de privata vårdgivarnas utlämnande av patientuppgifter till kvalitetsregister som förs av en annan vårdgivare. I 2 kap. 8 och 9 §§ lagen om yrkesverksamhet på hälso- och sjukvårdens område finns särskilda bestämmelser om tystnadsplikt för den som tillhör eller har tillhört hälso- och sjukvårdspersonalen i den enskilda hälso- och sjukvården. Enligt 8 § får sådan personal inte obehörigen röja vad han eller hon i sin verksamhet fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av obehörighetsrekvisitet har det i praxis ansetts naturligt att söka ledning i sekretesslagens bestämmelser. Regeringen bedömer därför att privata vårdgivares möjligheter att behörigen lämna ut kvalitetsregisteruppgifter är likvärdiga med landstingens och kommunernas.

För det fall regeringen kommer att föreskriva att en privat vårdgivare, en specialistförening eller annan enskild får vara personuppgiftsansvarig för den centrala hanteringen av ett nationellt eller regionalt kvalitetsregister, bedömer regeringen att uppgifterna i det centrala registret omfattas av tystnadsplikt enligt 2 kap. 8 § lagen om yrkesverksamhet på hälso- och sjukvårdens område.

Hänvisningar till S15-9

15.10. Kvalitetsregister och statistiksekretessen

Regeringens förslag: För att möjliggöra kvalitetsregisterförares långtidsuppföjning av vårdkvalitet i bemärkelsen överlevnad, ska en utvidgning av undantagen från den absoluta statistiksekretessen i 9 kap. 4 § sekretesslagen till att omfatta också uppgift om avlidna och som rör dödsorsak eller dödsdatum införas. Sådana uppgifter får lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att ett utlämnande kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Kammarrätten i Stockholm anför angående förslaget om ett undantag från den absoluta statistiksekretessen vad gäller uppgift om avlidna och som rör dödsorsak eller dödsdatum, att rätten finner skäl att instämma i utredningens bedömning och tillstyrker att undantaget från den absoluta sekretessen återinförs. Statens beredning för medicinsk utvärdering anser att detta är ett bra förslag som ökar möjligheterna till verksamhetsuppföljning utan att riskerna för integritetsintrång ökar.

Skälen för regeringens förslag: I utredningens kartläggning av de nationella kvalitetsregistren har det framkommit att flera registerhållare har behov av att genom samkörning av kvalitetsregisteruppgifter kunna få tillgång till uppgifter från Socialstyrelsens hälsodataregister, främst patientregistret, samt i synnerhet uppgifter från dödsorsaksregistret.

Beträffande några kvalitetsregister är en samkörning med uppgifter i hälsodataregister ett sätt att kontrollera kvaliteten i den egna registerföringen, t.ex. i fråga om underrapportering eller i fråga om riktigheten av inrapporterade uppgifter. För andra kvalitetsregister är en samkörning med Socialstyrelsens register direkt relevant för kvalitetsuppföljningen. Genom samkörning med patientregistret kan uppgifter fås fram om t.ex. nya behandlingar eller om operationer som en tidigare registrerad patient genomgått och som inte rapporterats till kvalitetsregistret.

Utredningen har erfarit att samkörning med dödsorsaksregistret är av särskilt stor vikt för långtidsuppföljningen av behandlingsresultat. En del kvalitetsregister, t.ex. Riksstroke, har behov av samkörning med Socialstyrelsens register för såväl kontroll av registerkvaliteten som själva kvalitetsuppföljningen.

Tidigare tillät Socialstyrelsen samkörning mellan kvalitetsregister och dödsorsaksregistret. För några år sedan upphörde emellertid denna möjlighet med anledning av ändringen år 2001 i bestämmelsen i 9 kap. 4 § sekretesslagen om den s.k. statistiksekretessen (prop. 2001/02:190). Numera lämnas uppgifter ut genom samkörning mellan hälsodataregister eller dödsorsaksregistret och kvalitetsregister endast om det sker inom ramen för ett forskningsprojekt, dvs. om det finns ett forskningsändamål bakom mottagarens begäran om samkörning, och det enligt Socialstyrelsens bedömning står klart att utlämnande kan ske utan att den enskilde eller dennes närstående lider skada eller men. Gäller samkörningen hälsodataregister krävs normalt även godkännande från etikprövningsnämnd.

Många registerhållare har anfört att hindren mot att få ut uppgifter från hälsodataregistren samt ändringen år 2001 i 9 kap. 4 § sekretesslagen i fråga om avlidna är mycket negativ för deras verksamhet. Enligt dem försvåras kvalitetsarbetet betydligt, om inte kvalitetssäkring godtas som ett rättsligt godtagbart syfte för att få ut uppgifter från hälsodataregister eller dödsorsaksregistret.

Som nämnts tillämpar Socialstyrelsen statistiksekretessen i 9 kap. 4 § sekretesslagen när det gäller frågor om utlämnande av uppgifter från hälsodataregister – dvs. det nationella cancerregistret, patientregistret, det medicinska födelseregistret och läkemedelsregistret – samt dödsorsaksregistret. Enligt bestämmelsen gäller sekretess i sådan särskild verksamhet hos myndighet som avser framställning av statistik, som utförs av myndighet, för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Främst avses sådan statistik som tillhör den officiella statistikproduktionen, vilken regleras av lagen (2001:99) om den officiella statistiken och den till lagen anslutande förordningen (2001:100) om den officiella statistiken. Enligt huvudregeln är statistiksekretessen absolut, dvs. den gäller oberoende av om ett utlämnande kan antas medföra skada eller men för den enskilde eller inte.

Kvalitetssäkring av hälso- och sjukvården är en angelägen uppgift. Mot bakgrund av vad som framkommit i utredningens kartläggning av kvalitetsregisterföringen har utredningen bedömt att tillgång till personnummerbaserade uppgifter från Socialstyrelsens hälsodataregister och dödsorsaksregister har stor betydelse för flera av de nationella och regionala kvalitetsregisterförarnas strävan att generera användbara kunskaper

för kvalitetssäkringsarbetet. Vidare observeras att ändamålet med den av kvalitetsregisterförarna önskade personuppgiftshanteringen överensstämmer med lagstiftarens ändamål med hälsodataregistren. Ett av ändamålen med hälsodataregistren anges vara just kvalitetssäkring av hälso- och sjukvård, se 3 § 2 lagen (1998:543) om hälsodataregister. Personuppgiftsbehandling genom samkörning av Socialstyrelsens hälsodataregister med ett kvalitetsregister är således väl förenlig med hälsodataregisterlagens ändamålsreglering. En utvidgning av undantagen från den absoluta sekretessen i 9 kap. 4 § sekretesslagen bör därför övervägas.

Utredningen har vidare funnit att det i synnerhet är uppgift om dödsorsak som efterfrågas av kvalitetsregisterförare. Uppgiften är av direkt betydelse för långtidsuppföljningen av vårdkvaliteten såsom mått på överlevnad efter genomgången behandling. Behovet av uppgifter från Socialstyrelsens hälsodataregister synes däremot inte vara lika omfattande och syftar inte alltid till att användas i det direkta kvalitetssäkringsarbetet. Önskemålet om samkörning med t.ex. patientregistret sammanhänger ofta med behovet att kontrollera ett kvalitetsregisters täckningsgrad eller kvaliteten i registrerade uppgifter. Man kan därför säga att samkörningen i dessa fall har indirekt betydelse för kvalitetsuppföljningen. Vidare har utredningen bedömt att det finns möjligheter att tillgodose detta sistnämnda behov genom att kvalitetsregisteruppgifter lämnas ut till Socialstyrelsen för att samköras av EpC med ett hälsodataregister. Därvid kan uppgift om t.ex. täckningsgrad fås fram utan att personuppgifter lämnas ut från hälsodataregister till kvalitetsregisterförare.

Mot bakgrund av det sagda finns inte tillräckliga skäl att föreslå en ändring av bestämmelsen om statistiksekretess för att möjliggöra utlämnande av uppgifter från hälsodataregister till kvalitetsregisterförare. Utredningen har däremot bedömt att det allmänna intresset av att göra undantag från statistiksekretessen för uppgifter i dödsorsaksregistret är betydligt starkare än när det gäller uppgifter i hälsodataregister. Uppgifter om avlidnas personliga förhållanden kan samtidigt förutsättas vara mindre integritetskänsliga än uppgifter om levande personers motsvarande personliga förhållanden.

Regeringen instämmer med utredningens förslag att det bör införas ett undantag i 9 kap. 4 § sekretesslagen för uppgifter om avlidna och som rör dödsorsak eller dödsdatum som behövs för kvalitetssäkring av hälso- och sjukvård som bedrivs genom ett nationellt eller regionalt kvalitetsregister. Därigenom möjliggörs en samkörning mellan nationella och regionala kvalitetsregister med utlämnande uppgifter från Socialstyrelsens dödsorsaksregister.

Regeringen delar utredningens bedömning att förslaget om denna ändring i sekretesslagen inte strider mot rådets förordning (EG) nr 322/97 av den 17 februari 1997 om gemenskapsstatistik (EGT L 52, 22.2.1997 s. 1, Celex 31997R0322).

Sammanfattningsvis föreslås således att bestämmelsen om statistiksekretess ändras på så sätt att ett ytterligare undantag från den absoluta sekretessen införs. Undantaget avser att uppgifter om avlidna som rör dödsorsak eller dödsdatum ska kunna lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att uppgiften kan röjas utan

att den enskilde eller någon närstående till den enskilde lider skada eller men.

Hänvisningar till S15-10

  • Prop. 2007/08:126: Avsnitt 21.2

15.11. Internationellt samarbete

Regeringens bedömning: Det behövs inga särskilda bestämmelser om utbyte av personuppgifter vid kvalitetsregisterföring som har internationell räckvidd.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens bedömning.

Skälen för regeringens bedömning: Utredningen har vid sin studie av utbyte mellan kvalitetsregister i Sverige och kvalitetsregister som förs inom hälso- och sjukvård utomlands, funnit att det utbyte som sker och som syftar till att utveckla och säkra vårdens kvalitet är av mycket begränsad omfattning. Såvitt framkommit handlar det i allt väsentligt om att svenska kvalitetsregisters framgångar rönt internationellt intresse. Det har i sin tur utmynnat i att en del internationella kvalitetsregister drivs och administreras i Sverige och till vilka vårdgivare i andra länder inrapporterar individbundna personuppgifter. Något motsvarande utflöde av personuppgifter till kvalitetsregister som drivs utanför Sverige har utredningen inte identifierat. Utredningen har heller inte funnit några rättsliga problem i samband med internationellt samarbete i kvalitetsregisterarbetet.

Det har således inte framkommit något behov av författningsreglering i detta avseende varken från sekretessynpunkt eller i fråga om reglering som bör tas in i patientdatalagen. Därför föreslår regeringen inga särskilda bestämmelser på detta område. Det innebär att de allmänna bestämmelserna i patientdatalagen och i personuppgiftslagen är tillämpliga i förening med sekretesslagens reglering för det fall personuppgifter, som behandlas enligt patientdatalagen, ska rapporteras till ett kvalitetsregister som förs utanför Sverige eller vari personuppgifterna på annat sätt görs tillgängliga utomlands.

16. Patientuppgifter och forskning inom hälso- och sjukvårdsområdet

16.1. Forskningsändamål

Regeringens förslag: Journaluppgifter och andra patientuppgifter som samlas in i hälso- och sjukvårdens individinriktade verksamhet ska även fortsättningsvis få behandlas för forskningsändamål under de förutsättningar som gäller i dag.

Utredningens förslag: Överensstämmer med regeringens förslag.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Svenska Läkaresällskapet anser att man ska göra mer för att markera att alla primära patientdata i princip bör kunna bli tillgängliga för forskning och att det kan vara legitimt att registrera vissa data i patientens journal för att underlätta en sådan framtida användning. Uppgifter som insamlas enbart för administrativa ändamål omfattas inte, även om det är en vårdgivare som samlar in uppgifterna.

Sveriges Pensionärers Riksförbund och Riksförbundet för social och mental hälsa anser att några för integritetsskyddet känsliga frågeställningar som utredningen valt att inte behandla, t ex forskningssekretessen och användning av dokumentation i samband med vårdutbildning behöver utredas och förtydligas.

Vetenskapsrådet anför bl.a. att för den formella kunskapsutvecklingen i form av regelrätt forskning hanteras avvägningen mellan patientens integritet och lagstiftad sekretess å ena sidan och forskningsintresset å den andra i de forskningsetiska kommittéerna. För den mer informella kunskapsutvecklingen som inte är regelrätt forskning saknas i dag ett ändamålsenligt regelverk, och rådet anser inte att den nya lagen fyller denna lucka. Vetenskapsrådet anför vidare att den mänskliga organismen och dess sjukdomar är oerhört komplex och klinisk erfarenhet kräver att den yrkesutövande läkaren eller sjuksköterskan exponeras för en rad olika problemställningar, även för fall där man inte direkt deltar i vården, t.ex. om man som legitimerad läkare eller sjuksköterska ska börja arbeta inom en ny specialitet, eller på en ny avdelning. Vetenskapsrådet anser därför att det vore önskvärt att den nya lagen gjort en tydligare avvägning mellan integritetskravet och utbildningsbehovet.

Skälen för regeringens förslag

Nuvarande regler

I de fall journaluppgifter och andra uppgifter om patienter i hälso- och sjukvårdens individinriktade verksamhet behandlas automatiserat är bestämmelserna i vårdregisterlagen och personuppgiftslagen tillämpliga. Bestämmelserna gäller både i den allmänna och i den enskilda hälso- och sjukvården. Vidare är bestämmelserna i etikprövningslagen tillämpliga avseende etikprövning av forskning som avser människor och biologiskt material från människor, se 1 §. Lagen är tillämplig på forskning som bl.a. innefattar behandling av känsliga personuppgifter enligt 13 § personuppgiftslagen (1998:204), om forskningspersonen inte har lämnat sitt uttryckliga samtycke till behandlingen, se 3 § samma lag. I etikprövningslagen föreskrivs att forskning rörande känsliga personuppgifter får utföras bara om den har godkänts vid en etikprövning, se 6 § denna lag. Regeringen har vidare lämnat ett förslag till riksdagen (se prop. 2007/08:44) om att bl.a. utvidga etikprövningslagens tillämpningsområde så att all forskning som innefattar behandling av sådana personuppgifter som anges i 13 och 21 §§personuppgiftslagen ska etikprövas, oavsett om forskningspersonen lämnat sitt uttryckliga samtycke eller inte. Tillämpningsområdet föreslås också att utvidgas så att även forskning

som utförs med en metod som innebär uppenbar risk att skada forskningspersonen ska etikprövas. Förslaget om dessa ändringar i etikprövningslagen föreslås att träda i kraft den 1 april 2008.

Även om bestämmelserna om personuppgiftsbehandling medger att journaluppgifter och andra patientuppgifter behandlas för forskningsändamål innebär inte detta att eventuella sekretesshinder undanröjs.

Uppgifter inom den allmänna hälso- och sjukvården omfattas av bestämmelserna i sekretesslagen (1980:100). Som framgått av avsnitt 5.6 gäller hälso- och sjukvårdssekretessen med ett s.k. omvänt skaderekvisit, dvs. uppgifter om enskildas personliga förhållanden får bara lämnas ut om det står klart att uppgifterna kan lämnas ut utan att den enskilde eller någon närstående till honom eller henne lider men. Presumtionen är således att uppgifterna omfattas av sekretess. I propositionen med förslag till sekretesslag föreslogs att det i 1 kap. 3 § andra stycket skulle införas en bestämmelse av innebörd att sekretess ska gälla mellan olika verksamhetsgrenar inom en myndighet. I kommentaren till bestämmelsen om hälso- och sjukvårdssekretess angavs det att forskning normalt inte kan sägas tillhöra samma verksamhetsgren som den egentliga vården (prop. 1979/80:2 s 172). Konstitutionsutskottet (KU) ansåg dock att förslaget om sekretess mellan olika verksamhetsgrenar skulle kunna ge upphov till tolkningsproblem. KU föreslog därför att det bara skulle gälla sekretess mellan sådana när de är att betrakta som självständiga i förhållande till varandra. När så är fallet får bedömas med ledning av förarbetsuttalandena till 2 kap. 8 § tryckfrihetsförordningen Sistnämnda bestämmelse reglerar när handlingar som skickas mellan två olika organ i en myndighetsorganisation blir allmänna (KU 1979/80:37 s. 12 f). Riksdagen beslutade i enlighet med KU:s förslag.

När det gäller forskning som bedrivs inom en hälso- och sjukvårdsmyndighet måste man skilja mellan sådan forskning, som sker som ett led i vården och behandlingen av en patient, och annan forskning som bedrivs med myndigheten som huvudman. Med annan forskning avses dokumentation som enbart sker i forskningssyfte och som inte heller har någon betydelse för vården. Den förstnämnda typen av forskning omfattas av hälso- och sjukvårdssekretessen. Vid annan forskning som bedrivs med en hälso- och sjukvårdsmyndighet som huvudman överförs hälso- och sjukvårdssekretessen till forskningsverksamheten enligt 1 kap. 3 § andra stycket och 13 kap. 3 §sekretesslagen. Hälso- och sjukvårdsverksamheten inklusive forskning som sker som ett led i vården och behandlingen av en patient å ena sidan och annan forskning som utförs inom myndigheten å andra sidan utgör således olika verksamhetsgrenar i den mening som avses i 1 kap. 3 § andra stycket sekretesslagen (jfr prop. 1979/80:2 Del A s. 463 f. och 494). Huruvida de är att betrakta som självständiga i förhållande till varandra beror dock på hur verksamheten hos myndigheten i fråga har organiserats.

Enligt 7 kap. 1 c § femte stycket sekretesslagen får en myndighet inom en kommun eller ett landsting som bedriver hälso- och sjukvård lämna ut uppgifter till en annan sådan myndighet bl.a. för forskning om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Denna bestämmelsen är försedd med ett s.k. rakt skaderekvisit, dvs. presumtionen är att uppgifterna får lämnas ut.

Pr

Landsting eller kommunala företag som anges i 1 kap. 9 § sekretesslagen är att jämställa med en myndighet i sekretesslagens mening.

op. 2007/08:126

Uppgifter inom den enskilda hälso- och sjukvården omfattas av bestämmelsen om tystnadsplikt i 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Som nämnts i avsnitt 5.6 har det vid tolkningen av den bestämmelsen ansetts naturligt att söka ledning i det skaderekvisit som finns i bestämmelsen om hälso- och sjukvårdssekre-tess i sekretesslagen. Ståndpunkten är att den enskilde ska åtnjuta samma skydd för sin personliga integritet oavsett om han eller hon behandlas av en offentlig eller privat vårdgivare.

Sammanfattningsvis kan konstateras att journaluppgifter och andra patientuppgifter hos en hälso- och sjukvårdsmyndighet inte utan föregående sekretessprövning får lämnas ut för att användas i forskning om forskningen bedrivs som en självständig verksamhetsgren inom myndigheten, hos någon annan myndighet, av någon enskild eller hos ett enskilt organ. Gentemot en forskningshuvudman som är en myndighet som bedriver hälso- och sjukvårdsverksamhet gäller sekretess med ett rakt skaderekvisit. Gentemot annan myndighet eller en enskild forskningshuvudman, t.ex. ett universitet, gäller sekretess med ett omvänt skaderekvisitet.

Regeringens överväganden

Det är i dag tillåtet att behandla journaluppgifter och andra patientuppgifter som samlats in i hälso- och sjukvårdens individinriktade verksamhet för forskningsändamål om den registrerade har lämnat sitt uttryckliga samtycke till behandlingen eller om behandlingen har godkänts enligt etikprövningslagen. Om uppgifterna har samlats in hos en hälso- och sjukvårdsmyndighet krävs därutöver, om forskningsverksamheten bedrivs av en självständig verksamhetsgren inom myndigheten, av en annan myndighet eller av en enskild eller ett enskilt organ, att en sekretessprövning givit vid handen att uppgifterna kan lämnas ut till forskningsverksamheten.

Journaluppgifter och andra patientuppgifter som samlas in i hälso- och sjukvårdens individinriktade verksamhet utgör sedan länge viktigt källmaterial för forskningen inom hälso- och sjukvården. Regeringen har i likhet med utredningens förslag inte funnit något som ger anledning att inskränka dagens möjligheter att behandla sådana uppgifter för forskningsändamål. Personuppgiftsbehandlingen bör således även fort-sättningsvis vara tillåten under de förutsättningar som gäller i dag. Förslagen i avsnitt 6.2 om lagens tillämningsområde innebär att detta även fortsättningsvis kommer att regleras av personuppgiftslagen och etikprövningslagen. Några regler härom har således inte tagits in i patientdatalagen. I sistnämnda lag har dock en hänvisning gjorts till finalitetsprincipen i personuppgiftslagen.

I de fall forskningen bedrivs integrerat med vården av patienter kommer patientdatalagen att vara tillämplig beträffande den personuppgiftsbehandling som rör vården, t.ex. i fråga om journalföringen.

Hänvisningar till S16-1

  • Prop. 2007/08:126: Avsnitt 21.1

16.2. Direktåtkomst till uppgifter vid sammanhållen journalföring för forskningsändamål

Regeringens förslag: Vårdgivare som deltar i sammanhållen journalföring ska inte få direktåtkomst till varandras patientuppgifter för forskningsändamål. Däremot ska det, liksom i dag, vara tillåtet att efter prövning i det enskilda fallet lämna ut patientuppgifterna på medium för automatiserad behandling för forskningsändamål.

Utredningens förslag: Överensstämmer i sak med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Förbundet Sveriges arbetsterapeuter, FSA, anser att det för arbetsterapeuter, som arbetar i ”gråzoner” mellan sluten och öppen vård, vore bra att få direktåtkomst till patientuppgifter. Det ger enligt FSA ökad patientsäkerhet och en bättre service till patienten som inte behöver upprepa informationen om vad som hänt och om den tidigare vården. För arbetsterapeuters forskning inom samma ”gråzon”, där direktåtkomst enligt förslaget inte skulle gälla, kan detta lösas på annat sätt, d.v.s. efter sekretessprövning eller genom patientens medgivande.

Skälen för regeringens förslag: I avsnitt 7.6 om elektroniskt utlämnande av personuppgifter föreslås att elektronisk åtkomst och direktåtkomst till personuppgifter som behandlas enligt patientdatalagen bara ska få förekomma i den utsträckning som anges i lag eller förordning. I avsnitt 10.1, som handlar om sammanhållen journalföring, föreslås att det i patientdatalagen tas in en bestämmelse som tillåter direktåtkomst vid sammanhållen journalföring under vissa förutsättningar. Förslagen i fråga om sammanhållen journalföring innebär att en vårdgivares vårddokumentation beträffande en patient får göras tekniskt tillgänglig för andra vårdgivare om patienten inte motsätter sig detta. Någon sekretessprövning behöver inte göras då uppgifterna görs tillgängliga. En annan vårdgivare får bereda sig tillgång till sådana ospärrade uppgifter, om uppgifterna rör en patient som det finns en aktuell patientrelation med och uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården och patienten samtycker till det. Vid en akut nödsituation får, om patienten inte själv kan begära att spärrade uppgifter hävs eller, avseende ospärrade uppgifter, patientens samtycke inte kan inhämtas, en annan vårdgivare bereda sig tillgång till sådan vårddokumentation som kan antas ha betydelse för den vård som patienten oundgängligen behöver. Med patientens samtycke får direktåtkomst också användas om det behövs för att utfärda intyg om patientens pågående eller tidigare vård.

Med tanke på integritetskänsligheten i vårddokumentationen och den potentiellt sett vida spridning bland hälso- och sjukvårdspersonalen som möjliggörs genom sammanhållen journalföring har regeringen i det nämnda avsnittet föreslagit att direktåtkomst vid den sammanhållna journalföringen bara ska få användas för de ovan nämnda syftena, dvs. vård och intygsutfärdande.

När det gäller sammanhållen journalföring och forskning inom hälso- och sjukvårdsområdet kan följande tilläggas. I dag krävs det att en sekretessprövning görs innan patientuppgifter lämnas ut och används för forskning om forskningsverksamheten bedrivs av en självständig verksamhetsgren inom myndigheten, av en annan myndighet eller av en enskild eller ett enskilt organ. Om direktåtkomst i den sammanhållna journalföringen även skulle få användas för forskningsändamål, skulle detta innebära att vårdgivare som deltar i sådan journalföring ges möjlighet att få tillgång till varandras patientuppgifter utan att någon sekretessprövning görs. Det skulle innebära en stor förändring gentemot i dag.

Utgångspunkten för förslagen om sammanhållen journalföring är att sådan journalföring kommer att öka patientsäkerheten. Den enkätundersökning som utredningen låtit Statistiska centralbyrån göra visar att 79 procent är positiva till sammanhållen journalföring som innebär att hälso- och sjukvårdspersonalen snabbt kan få fram nödvändiga uppgifter om dem när de söker vård. Enligt utredningens bedömning, vilken regeringen delar, finns det dock risk för att allmänhetens förtroende för sammanhållen journalföring kommer att minska om uppgifter som samlats in i det individinriktade vårdarbetet utan sekretessprövning görs tillgängliga för andra vårdgivare genom direktåtkomst även för forskningsändamål. Resultatet av nämnda enkätundersökning visar t.ex. att 75 procent vill ha inflytande över hur deras journaluppgifter ska få användas för forskning som har godkänts av en etikprövningsnämnd. Det finns alltså anledning att befara att patienter i stor utsträckning kommer att vilja spärra sina uppgifter från tillgänglighet i systemet för sammanhållen journalföring om forskare ges direktåtkomst. Det skulle motverka syftet med den sammanhållna journalföringen.

Avslutningsvis kan framhållas att det faktum att direktåtkomst i den sammanhållna journalföringen inte får användas för forskningsändamål inte hindrar att patientuppgifterna är tillgängliga för forskningsändamål. Dagens möjlighet att efter sedvanlig sekretessprövning erhålla uppgifter på medium för automatiserad behandling, t.ex. på cd-rom, för forskningsändamål kommer att finnas kvar. Möjligheterna att bedriva forskning torde således förbättras, eftersom efterfrågade uppgifter, till skillnad från i dag, ofta kommer att finnas i elektronisk form och därmed vara lätt tekniskt tillgängliga.

17. Allmänna frågor och bestämmelser

17.1. Information till den registrerade

Regeringens förslag: Den som är personuppgiftsansvarig enligt patientdatalagen ska se till att den registrerade får information om personuppgiftsbehandlingen. Informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas. Informationen ska även innehålla upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att i vissa fall begära att uppgifter spärras, rätten att få information om den elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 10 kap. 1 § till skadestånd vid behandling av personuppgifter i strid med patientdatalagen. Vidare ska informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen ska informationen innehålla upplysningar om huruvida personuppgiftsbehandlingen är frivillig eller inte.

I det fall den personuppgiftsansvarige deltar i ett sammanhållet journalföringssystem ska den registrerade även informeras om vad den sammanhållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Information som ska lämnas beträffande personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister, avhandlas närmare i avsnitt 15.6.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Socialstyrelsen tillstyrker förslaget om den information som ska lämnas till den registrerade, men vill framhålla att vårdgivarens informationsskyldighet i situationer när patienten motsätter sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare i en ”sammanhållen journalföring” också omfattar information till patienten om riskerna för patientsäkerheten med att inte delta i systemet. Socialstyrelsen hänvisar i denna del till vad myndigheten anför kring sammanhållen journalföring.

Barnombudsmannen tillstyrker förslaget att den som är personuppgiftsansvarig enligt patientdatalagen ska se till att den registrerade får information om personuppgiftsbehandlingen. I de fall där den registrerade är underårig bör informationen, enligt Datainspektionens allmänna råd om information, lämnas till den registrerade om han eller hon själv kan tillgodogöra sig informationen. Barnombudsmannen instämmer i detta och anser att barn och ungdomar har ett självständigt intresse från vårdnadshavarna och att barnet ska informeras i de fall det är möjligt

med hänsyn till barnets ålder och mognad. Genom att anpassa språket kan även yngre barn tillgodogöra sig informationen utifrån sina egna individuella förutsättningar.

Malmö tingsrätt anför att förhållandet mellan patientdatalagen och personuppgiftslagen bör definieras tydligare i denna del. Rätten påpekar att det inte framgår huruvida den allmänna informationsskyldigheten i patientdatalagen ersätter 2324 §§personuppgiftslagen eller kompletterar dessa bestämmelser.

Landstinget Västmanland påpekar att kapitel 8 i patientdatalagen innehåller sådana rättigheter som redan nu gäller för patienten. Landstinget anser att det är bra att man samlar dessa på ett ställe och gör dem mer överskådliga. Utredningen föreslår att vårdgivare på begäran ska lämna ut information om vilken direktåtkomst och elektronisk åtkomst som förekommit till uppgifter om patienten. Landstinget anser att det är ett bra förtydligande att även ”loggarna” ska lämnas ut på begäran.

Svenska Läkaresällskapet påpekar att det är av stor betydelse att formuleringarna kring hälso- och sjukvårdens informationsskyldighet görs på ett ändamålsenligt sätt med beaktande både av patientens rättigheter och av vad som kan anses realistiskt i praktisk sjukvård. Den största delen av hälso- och sjukvården är oplanerad. Den ges i huvudsak till äldre personer, som insjuknat akut. På länssjukhusens medicinavdelningar vårdas inga patienter för planerade åtgärder, dessa görs enbart i öppen vård. Läkaresällskapet anser därför att det är orealistiskt att till varje vårdtagare ge den information om personuppgiftsregistrering som förskrivs. Läkaresällskapet påpekar vidare att bestämmelser som är orealistiska och som upplevs som byråkratiska försvagar tilltron och efterlevnaden av hela regelverket. Informationsskyldigheten bör därför formuleras på ett ändamålsenligt sätt.

Svenska Kommunal Pensionärernas Förbund anser att i samband med ett genomförande av utredningens förslag krävs god och långsiktig information om vad de olika förslagen innebär för den enskilde patienten.

Utredaren föreslår bl.a. att de enskilda patienterna ska göra aktiva beslut om hanteringen av deras personuppgifter. Förbundet påpekar att för att kunna göra meningsfulla beslut och att dessa beslut också ska upplevas som meningsfulla för den enskilde patienten, krävs det ordentliga informationsinsatser. Denna informationsinsats bör också inrikta sig på människors misstänksamhet och rädsla inför behandling av datauppgifter i stora datasystem.

Sveriges Pensionärers Riksförbund anser att det är viktigt att alla patienter, och blivande patienter, informeras om sina rättigheter när det gäller sekretess och integritet. Informationen måste dels gå ut brett till allmänheten, dels ges till den enskilde patienten vid den tidpunkt denne ska ta ställning till ett utlämnande av handling eller av en uppgift. I det sistnämnda fallet måste informationen ges på ett sådant sätt att den uppfattas även av den som är rädd, omtumlad eller har svårt att höra eller läsa.

Riksförbundet för social och mental hälsa ställer krav på att den nya lagstiftningen åtföljs av en satsning på information till patienter och läkare/vårdpersonal om den nya lagstiftningen. Sådan information bör omfatta bl.a. vilka möjligheter det finns att spärra information och vilka konsekvenser detta kan medföra. Informationsmaterialet bör också

innehålla verktyg för hur man kan få till stånd en dialog mellan vård och patienten inför de möjligheter och begränsningar som det nya systemet kommer att innebära.

Sveriges läkarförbund framhåller att det är viktigt med utarbetande av pedagogisk information till patienterna och rutiner för hur vårdgivarna ska nå ut med denna.

Skälen för regeringens förslag: Regeringens förslag innebär att personuppgiftsbehandling enligt patientdatalagen som huvudregel ska få ske även om den enskilde motsätter sig behandlingen. Mot den bakgrunden är det från integritetssynpunkt angeläget att den registrerade får utförlig information om personuppgiftsbehandlingen. Informationen behövs för att den registrerade ska kunna ta till vara sina rättigheter i samband med personuppgiftsbehandlingen. Information är även viktig för att skapa en nödvändig grund för allmänhetens förtroende för behandlingen.

I 25 § personuppgiftslagen (1998:204) anges vilken information som den personuppgiftsansvarige självmant ska lämna till den registrerade. Enligt regeringens uppfattning bör denna informationsskyldighet preciseras. En sådan precisering medför att det blir tydligare för såväl den personuppgiftsansvarige som den registrerade vilken information som ska lämnas. Regeringen föreslår därför att det i patientdatalagen förs in en särskild bestämmelse om vilken information som den personuppgiftsansvarige ska lämna.

Skyldighet för vårdgivare att lämna ut uppgifter till myndigheter följer inte enbart av lagen (1998:543) om hälsodataregister utan även av andra författningar. I avsnitt 7.1 redogörs för några sådana bestämmelser. Den information som den personuppgiftsansvarige ska lämna bör därför inte inskränka sig till upplysningar om den uppgiftsskyldighet som följer av hälsodataregisterlagen, utan avse även sådana andra författningar om uppgiftsskyldighet som kan bli aktuella.

Regeringens förslag i avsnitt 11 innebär att patienter ges rätt att begära att vårddokumentation spärras från tillgänglighet för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. De innebär vidare att en patient har rätt att få information om den elektroniska åtkomst som förekommit till uppgifter om honom eller henne. Som framhålls i det avsnittet är det väsentligt att den allmänna information som den personuppgiftsansvarige ska lämna även omfattar dessa rättigheter.

I fråga om upplysningar om rätten till rättelse av oriktiga eller missvisande uppgifter görs en hänvisning till 28 § personuppgiftslagen (1998:204). Beträffandeupplysningar om rätten till skadestånd hänvisas till 10 kap. 1 § patientdatalagen.

Regeringen delar utredningens bedömning att det härutöver behövs en särskild bestämmelse i det fall den personuppgiftsansvarige deltar i ett sammanhållet journalföringssystem. Regeringens förslag innebär att patienten vid varje vårdepisod ska ha en möjlighet att motsätta sig att patientuppgifter görs tillgängliga för utomstående vårdgivare. Detta förutsätter att patienten dessförinnan har informerats om vad sammanhållen journalföring innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring. Informationen ska lämnas innan uppgifterna görs tillgängliga i den sammanhållna journalföringen.

På vilket sätt informationen ska ges bör överlåtas åt varje personuppgiftsansvarig att bestämma. Det finns dock anledning att understryka vikten av att den personuppgiftsansvarige skapar rutiner för hur informationsskyldigheten ska fullgöras. Det åligger också den personuppgiftsansvarige att tillse att information är utformad på ett sätt som kan förstås av den registrerade.

Inom hälso- och sjukvården händer det att patientens hälsotillstånd omöjliggör att information lämnas till patienten om en personuppgiftsbehandling. Det kan exempelvis bero på att patienten är medvetslös eller alltför fysiskt eller psykiskt medtagen för kunna tillgodogöra sig information av det slag som här avses. Många gånger saknar dessa patienter legala ställföreträdare, t.ex. en god man eller förvaltare, som i stället skulle kunna erhålla informationen. I sådana fall bör informationen, på motsvarande sätt som gäller i fråga om information om själva vården, kunna lämnas till någon patienten närstående (jfr 2 b § andra stycket hälso- och sjukvårdslagen

[1982:763] ). Så fort det är möjligt bör

dock även patienten själv informeras om personuppgiftsbehandlingen.

Givetvis måste uppgifter beträffande en patient som behöver akut vård kunna journalföras elektroniskt även om det inte finns någon närstående på plats som i samband med inhämtandet av uppgifter kan informeras om personuppgiftsbehandlingen. Uppgifterna får däremot inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring, jfr 6 kap. 2 § patientdatalagen.

Hänvisningar till S17-1

17.2. Personuppgiftslagens regler om rättelse

Regeringens förslag: Bestämmelserna i 28 § personuppgiftslagen om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, ska gälla även då sådan behandling av personuppgifter som avses i 1 kap. 4 § patientdatalagen skett i strid med denna lag.

När det gäller rättelse av uppgifter i journalhandlingar ska patientdatalagens bestämmelser ha företräde.

Utredningens förslag: Överensstämmer i sak med regeringens förslag med den ändringen att regeringen har flyttat bestämmelsen i kap. 8 och placerat den före bestämmelsen om förstörande av patientjournal. Bestämmelsen om rättelse har även ändrats till att i princip överensstämma med 13 § vårdregisterlagen.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.

Malmö tingsrätt anför att när det gäller 8 kap. 6 och 7 §§ framgår det i motivtexten att syftet med bestämmelserna är att göra personuppgiftslagens stadganden om rättelse och skadestånd tillämpliga även när uppgifter behandlats i strid med patientdatalagen. Detta anser rätten bör kunna uttryckas tydligare i lagtexten.

Kammarrätten i Stockholm har följande synpunkter; I 8 kap. 6 § hänvisas till rättelse i 28 § personuppgiftslagen om inte åtgärden strider mot

3 kap. 13 §. Där stadgas att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 3 §. Genom att hänvisa från den ena paragrafen till den andra blir lagtexten onödigt svårtillgänglig.

Socialstyrelsen anser att det i första hand bör ankomma på patienten att söka gehör för en rättelse av inkorrekta uppgifter i en patientjournal. Vid rättelse av en felaktighet ska det enligt gällande rätt anges i anteckningen när rättelsen har skett och vem som har gjort rättelsen. Det framgår både av nuvarande lagstiftning och av utredningens förslag, 3 kap. 13 § i förslaget. Vid behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad (1 kap. 4 § förslaget) gäller bestämmelserna om rättelse i 28 § personuppgiftslagen. Socialstyrelsen föreslår att bestämmelsen om rättelse i förslagets kapitel 8 flyttas och placeras före bestämmelsen om förstöring av uppgifter i en patientjournal. På så sätt blir det tydligare att rättelse är den åtgärd som först ska övervägas. Socialstyrelsen föreslår också att ett tillägg görs till rättelsebestämmelsen. Bestämmelsen bör fastslå att felaktiga uppgifter i en patientjournal ska rättas.

Skälen för regeringens förslag: Enligt regeringens uppfattning bör den registrerade, vid behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, i princip ha samma möjlighet att få personuppgifter rättade vid behandling av personuppgifter i strid mot patientdatalagen som vid behandling i strid mot personuppgiftslagen. I patientdatalagen ska därför i fråga om sådan personuppgiftsbehandling göras en hänvisning till personuppgiftslagens bestämmelser om rättelse.

När det gäller rättelse av uppgifter i journalhandlingar ska dock de från patientjournallagen till patientdatalagen överförda bestämmelserna gälla framför personuppgiftslagens bestämmelser. De förstnämnda bestämmelserna innebär att uppgifter inte får utplånas eller göras oläsliga annat än om Socialstyrelsen förordnat om journalförstöring. Skyldigheten att rätta felaktiga uppgifter följer däremot av personuppgiftslagen.

Det bör i sammanhanget noteras att det enligt 9 § första stycket h personuppgiftslagen är ett grundläggande krav på den personuppgiftsansvarige att vid behandling av personuppgifter se till att alla rimliga åtgärder vidtas för att rätta, blockera eller utplåna sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. I 9 § första stycket e och g personuppgiftslagen ställs vidare krav på den personuppgiftsansvarige att se till att de personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen och att de personuppgifter som behandlas är riktiga och, om det är nödvändigt, aktuella. Den personuppgiftsansvarige måste således – oberoende av bestämmelsen i 28 § personuppgiftslagen om skyldigheten att vidta rättelse på den registrerades begäran – självmant vara aktiv för att se till att behandlade uppgifter är korrekta. Dessa krav, liksom andra grundläggande krav i 9 § första stycket personuppgiftslagen, gäller även då personuppgifter behandlas enligt patientdatalagen. Fr.o.m. den 1 januari 2007 gäller även bestämmelserna i personuppgiftslagen om överklagande av beslut om rättelse vid personuppgiftsbehandling enligt

patientdatalagen, dock inte i fråga om beslut som har meddelats före ikraftträdandet.

Hänvisningar till S17-2

17.3. Personuppgiftslagens regler om skadestånd

Regeringens förslag: I patientdatalagen införs en hänvisning till att personuppgiftslagens bestämmelser om skadestånd ska gälla vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförts i strid mot patientdatalagen.

Utredningens förslag: Överensstämmer i sak med regeringens förslag med den ändringen att bestämmelsen har förts in i ett särskilt kapitel om skadestånd och överklagande.

Remissinstanserna: Majoriteten av remissinstanserna har inget att erinra mot utredningens förslag.

Malmö tingsrätt anför när det gäller 8 kap. 6 och 7 §§ att det i motivtexten framgår att syftet med bestämmelserna är att göra personuppgiftslagens stadganden om rättelse och skadestånd tillämpliga även när uppgifter behandlats i strid med patientdatalagen. Detta anser rätten bör kunna uttryckas tydligare i lagtexten.

Justitiekanslern refererar till att enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Bestämmelsen är tillämplig vid viss behandling av personuppgifter inom hälso- och sjukvården enligt 8 kap. 7 § förslaget till patientdatalag. Justitiekanslern vill i denna del endast erinra om att den personuppgiftsansvarige också kommer att ha det skadeståndsrättsliga ansvaret för en behandling av personuppgifter som stått i strid med lagen. För den enskilde är det viktigt att snabbt få klart för sig mot vem ett skadeståndskrav ska riktas. Detta bör enligt Justitiekanslern beaktas i det fortsatta beredningsarbetet.

Skälen för regeringens förslag: Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med den lagen har orsakat. Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne. Skadeståndsbestämmelserna i personuppgiftslagen gäller framför de allmänna bestämmelserna om skadestånd i skadeståndslagen (1972:207). I den mån en fråga inte är reglerad i personuppgiftslagen ska dock bestämmelserna i skadeståndslagen tillämpas. Det gäller exempelvis i fråga om beräkning av ersättningens storlek.

Skadeståndsbestämmelserna i personuppgiftslagen gäller bara vid behandling av personuppgifter i strid mot bestämmelserna i den lagen. De är alltså inte tillämpliga vid behandling av personuppgifter i strid mot andra författningar. Av det skälet föreskrivs i 14 § lagen (1998:544) om vårdregister (vårdregisterlagen) att bestämmelserna i personuppgiftslagen

Pr

om skadestånd gäller vid behandling av personuppgifter enligt vårdregisterlagen.

op. 2007/08:126

Regeringen anser att ett skadeståndsansvar motsvarande det som gäller enligt personuppgiftslagen bör finnas även vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförs i strid med patientdatalagen. I sistnämnda lag ska därför göras en hänvisning till personuppgiftslagens bestämmelser om skadestånd. I fråga om andra personuppgifter som hanteras i strid mot patientdatalagen gäller de allmänna skadeståndsreglerna i skadeståndslagen. Dessa regler kan också bli tillämpliga om bestämmelserna i patientdatalagen som avser verksamhetsregleringen inte följs; exempelvis att någon anteckning inte görs om att en patient anser att en uppgift i en journal är oriktig eller missvisande, se 3 kap. 8 § patientdatalagen.

Lagrådet har anfört att regeringens förslag till formulering av bestämmelsen i 10 kap. 1 § patientdatalagen visserligen följer vedertagen systematik beträffande registerförfattningar [se t.ex. 9 § lagen (2001:454) om behandlig av personuppgifter inom socialtjänsten och förarbetena till den (prop. 2000/01:80)]. Se även Lagrådets yttrande över förslag till lag om behandling av personuppgifter i skatteförvaltningens beskattningsverksamhet m.fl. lagar (prop. 2000/01:33 s. 35). Lagrådet hade dessförinnan haft vissa invändningar mot den valda tekniken (se prop. 1997/98:136 s. 98 f och 78). Enligt Lagrådets mening leder emellertid inte den föreslagna formuleringen till vad man vill uppnå dvs. att genom paragrafen göra 48 § personuppgiftslagen tillämplig på behandling av personuppgifter i strid med patientdatalagen. Lagrådet har därmed förordat att paragrafen utformas med utgångspunkt från 48 § personuppgiftslagen och ges följande lydelse:

”Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en sådan behandling av personuppgifter som avses i 1 kap. 4 § i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.”

Enligt 1 kap. 1 § patientdatalagen ska denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. När det gäller förhållandet till personuppgiftslagen anger 1 kap. 4 § patientdatalagen att personuppgiftslagens bestämmelser ska gälla om det inte finns avvikande bestämmelser i patientdatalagen. I förhållande till personuppgiftslagen innehåller patientdatalagen enbart de särbestämmelser och förtydliganden som det bedömts föreligga ett behov av. Det innebär att åtskilliga bestämmelser i personuppgiftslagen kan bli tillämpliga vid personuppgiftsbehandling hos hälso- och sjukvården. Lagrådets förslag till bestämmelse skulle kunna uppfattas som en från personuppgiftslagen avvikande bestämmelse som innebär att skadestånd ska utgå endast vid behandling av personuppgifter i strid med patientdatalagen. Lagrådets

förslag skulle därmed kunna leda till tolkningen att rätt till skadestånd saknas för behandling av personuppgifter inom hälso- och sjukvården i fall då patientdatalagen inte innehåller några avvikande bestämmelser dvs. i fall då behandlingen i stället måste ske med beaktande av personuppgiftslagens bestämmelser. Det kan exempelvis gälla bestämmelserna om säkerhet i 3032 §§personuppgiftslagen eller bestämmelserna i 3335 §§personuppgiftslagen som reglerar överföring av personuppgifter till tredje land. Regeringens avsikt är att rätten till skadestånd även ska omfatta sådan personuppgiftsbehandling. Av detta skäl och med hänsyn till att regeringens förslag till formulering av skadeståndsbestämmelsen följer vedertagen systematik beträffande registerförfattningar anser regeringen att bestämmelsen inte bör ändras på det sätt som Lagrådet har föreslagit.

Som framgår av 2 kap. 6 § är det i landsting och kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd ska dock väckas mot den juridiska personen, dvs. landstinget eller kommunen. Vid sammanhållen journalföring ska patientdatalagens allmänna regler om personuppgiftsansvar gälla. Det innebär att myndigheter inom hälso- och sjukvården liksom privata vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som de utför. Regeringen eller den myndighet som regeringen bestämmer får emellertid meddela föreskrifter om vem som ska ha personuppgiftsansvar när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring. Förslaget innebär att det överlämnas åt de privata vårdgivarna, landstingen och kommunerna att inom lagens ramar närmare bestämma samarbetsformer, teknisk organisering, omfattning och andra parametrar vid sammanhållen journalföring. Det är av vikt för den enskilde att personuppgiftsansvaret tydliggörs i detta hänseende så att han eller hon snabbt kan få klart för sig mot vem ett eventuellt skadeståndskrav kan riktas.

Hänvisningar till S17-3

17.4. Bevarande och gallring

Regeringens bedömning: När det gäller bevarande och gallring av andra allmänna handlingar än journalhandlingar gäller arkivlagens bestämmelser. Det införs därför ingen bestämmelse om detta i patientdatalagen.

För bevarande och gallring av personuppgifter som inte är allmänna handlingar och inte heller journalhandlingar gäller personuppgiftslagen. Det införs ingen uttrycklig bestämmelse om detta i patientdatalagen.

Utredningens bedömning: Överensstämmer med regeringens bedömning.

Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens bedömning.

Skälen för regeringens bedömning: Regeringens förslag om bevarande och gallring av journalhandlingar innebär att journalhandlingar inom såväl allmän som enskild hälso- och sjukvård ska bevaras

den minsta tid som anges i patientdatalagen eller i författningar som har meddelats med stöd av lagen. Längre bevarandetider kan vara föreskrivna i andra lagar. Efter utgången av den minsta tiden för bevarande får sådana handlingar gallras. Därvid ska bestämmelserna i 9 § första stycket i och tredje stycket personuppgiftslagen beaktas. Om journalhandlingarna utgör allmänna handlingar måste dock bestämmelserna i arkivlagen (1990:782) och de bestämmelser som meddelas med stöd av arkivlagen beaktas. Beträffande fråga om bevarande och gallring av journalhandlingar vid sammanhållen journalföring, se avsnitt 10.6.

Beträffande bevarande och gallring av andra allmänna handlingar än journalhandlingar gäller arkivlagens bestämmelser. Någon hänvisning till arkivlagens bestämmelser behöver inte göras (jfr prop. 1997/98:108 s. 80). Av 8 § andra stycket personuppgiftslagen följer nämligen uttryckligen att lagen inte hindrar att en myndighet bevarar allmänna handlingar eller att arkivmaterial tas om hand av en arkivmyndighet. I fråga om bevarande och gallring av personuppgifter i ett nationellt eller regionalt kvalitetsregister, se avsnitt 15.8.

När det slutligen gäller personuppgifter som inte är allmänna handlingar och inte heller journalhandlingar så följer av 9 § första stycket i och tredje stycket personuppgiftslagen att personuppgifter inte får bevaras under en längre tid än vad som är nödvändigt med hänsyn till de ändamål för vilka uppgifterna behandlas eller så länge uppgifterna därefter behövs för historiska, statistiska eller vetenskapliga ändamål. Efter denna tid måste uppgifterna avidentifieras eller utplånas. Regeringen instämmer i utredningens bedömning att det saknas anledning att föreslå någon härifrån avvikande bestämmelse. Eftersom 9 § personuppgiftslagen gäller även då personuppgifter behandlas enligt patientdatalagen, behövs ingen uttrycklig bestämmelse om detta.

17.5. Säkerheten vid behandling och tillsynsmyndighetens befogenheter

Regeringens förslag:Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter ska gälla när personuppgifter behandlas enligt patientdatalagen. I patientdatalagen anges vilka säkerhetsåtgärder som i vissa fall ska vidtas.

Datainspektionen ska vara tillsynsmyndighet även då personuppgifter behandlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt ska dock alltjämt utövas av Socialstyrelsen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Majoriteten av remissinstanserna har inget att invända mot utredningens förslag men framhåller vikten av samverkan mellan tillsynsmyndigheterna samt tar upp frågor om bl.a. sanktionsmöjligheter mot den som bryter mot reglerna.

Justitieombudsmannen, JO, anför att det av betänkandet framgår att

Datainspektionen ska vara tillsynsmyndighet när personuppgifter behandlas enligt patientdatalagen men att detta tillsynsansvar inte omfattar de uppgifter som faller in under Socialstyrelsens tillsynsansvar. Tillsynen

över att journalföring sker på det sätt som framgår av patientdatalagen ska således utövas av Socialstyrelsen. Att behandlingen av personuppgifter i elektroniska journaler sker i överensstämmelse med patientdatalagen faller däremot in under Datainspektionens tillsynsansvar. Såsom utredningen har konstaterat är det inte möjligt att dra någon skarp gräns mellan Datainspektionens och Socialstyrelsens tillsynsansvar. Det får dock förutsättas att det finns väl utvecklade former för samverkan mellan myndigheterna.

Datainspektionen framhåller att Socialstyrelsens föreslagna föreskriftsmöjlighet ger upphov till följande frågeställningar. Ska det finnas några sanktioner om en vårdgivare inte följer Socialstyrelsens föreskrifter?

Kvarstår Datainspektionens möjlighet att i enskilda fall besluta om säkerhetsåtgärder enligt 32 § personuppgiftslagen?

Skälen för regeringens förslag: Regeringen instämmer i utredningens bedömning att personuppgiftslagens bestämmelser om säkerheten vid behandling av personuppgifter och tillsynsmyndighetens befogenheter bör gälla även när personuppgifter behandlas enligt patientdatalagen. I 3032 §§personuppgiftslagen finns bestämmelser om säkerheten vid behandling av personuppgifter. Dessa bestämmelser gäller utöver patientdatalagens bestämmelser om informationssäkerhet. Eftersom patientdatalagen även saknar särskilda bestämmelser om befogenheter för tillsynsmyndigheten vid tillsyn över behandlingen av personuppgifter gäller som tidigare 4347 §§personuppgiftslagen också på patientdatalagens område.

Vanligtvis brukar säkerhetsfrågor inte regleras i lag eller förordning utan hanteras på myndighetsnivå. I avsnitt 11 föreslås dock att det i patientdatalagen ska införas bestämmelser som innebär en skyldighet för vårdgivare att bestämma villkor för tilldelning av behörighet för åtkomst till patientuppgifter samt att genomföra åtgärder som innebär att åtkomst till sådana patientuppgifter dokumenteras och kan kontrolleras samt att genomföra systematiska och återkommande kontroller av att obehörig åtkomst till sådana uppgifter inte förekommer. De föreslagna bestämmelserna innebär en konkretisering av personuppgiftslagens bestämmelser om teknisk och administrativ säkerhet till skydd för personuppgifterna.

Datainspektionen är tillsynsmyndighet då personuppgifter behandlas enligt personuppgiftslagen. Regeringen föreslår att Datainspektionen även ska vara tillsynsmyndighet då personuppgifter behandlas enligt patientdatalagen. Detta tillsynsansvar omfattar dock inte det som faller in under Socialstyrelsens tillsynsansvar.

Socialstyrelsen ska enligt 6 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område utöva tillsyn över hälso- och sjukvården och dess personal. Tillsynen ska främst syfta till att förebygga skador och eliminera risker i hälso- och sjukvården. Tillsynen är således inriktad på patientsäkerheten. Bestämmelserna om patientjournalföring är av central betydelse för patientsäkerheten. Tillsynen över att journalföring sker på sätt som föreskrivs i patientdatalagen ska utövas av Socialstyrelsen. Att behandlingen av personuppgifter i elektroniska journaler sker i överensstämmelse med patientdatalagen faller däremot in under Datainspektionens tillsynsansvar. Detta innebär att Datainspektionens tillsyn bl.a. ska omfatta frågor som rör åtkomsten till

personuppgifter inom hälso- och sjukvården och informationen till de registrerade. Datainspektionens tillsyn ska också omfatta frågor som rör informationssäkerhet som avses i personuppgiftslagen och i patiendatalagen samt i föreskrifter som meddelas med stöd av nämnda lagar. Regeringen förutsätter att myndigheterna samverkar i dessa frågor.

De sanktioner som står till buds för det fall att en vårdgivare inte följer patientdatalagen eller föreskrifter som meddelas med stöd av lagen är framför allt skadeståndsskyldighet, se 10 kap. 1 § patientdatalagen. Bestämmelsen i 49 § personuppgiftslagen om böter eller fängelse för överträdelser av olika bestämmelser i personuppgiftslagen får vidare bara mycket begränsad betydelse vid behandling av personuppgifter på hälso- och sjukvårdens område. Ansvar kan inträda endast i händelse av överträdelse av just de bestämmelser som anges i 49 § personuppgiftslagen som blir tillämpliga i hälso- och sjukvårdsverksamheten.

Hänvisningar till S17-5

  • Prop. 2007/08:126: Avsnitt 21.1

17.6. Utlämnande av journalhandling som har samband med vävnadsprov i biobank

Regeringens förslag:Patientjournallagens (1985:562) bestämmelse, om att en journalhandling i vissa fall ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från en biobank enligt 4 kap. 1 § lagen (2002:297) om biobanker i hälso- och sjukvården m.m. (biobankslagen), flyttas till biobankslagen.

Utredningens förslag: Överensstämmer med regeringens förslag. Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens förslag.

Skälen för regeringens förslag: Bestämmelsen i 16 § patientjournallagen reglerar patientens rätt att få del av journalhandlingar inom enskild hälso- och sjukvård. I samband med införandet av biobankslagen tillkom ett nytt andra stycke i 16 § patientjournallagen. Enligt detta stycke ska en journalhandling som rör en viss patient, om patienten samtyckt till utlämnandet, också lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material om den patienten från en biobank enligt 4 kap. 1 § biobankslagen. Vidare upplyses om att det i fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen. Frågan om utlämnande prövas på samma sätt som frågor om utlämnande av journalhandling på begäran av patienten enligt 16 § första stycket patientjournallagen, dvs. av den som är ansvarig för journalhandlingen.

Anser denne inte att journalhandlingen kan lämnas ut, överlämnas frågan till Socialstyrelsen för prövning.

Regeringen delar utredningens uppfattning att patientdatalagens bestämmelser om journalföring endast bör avse de grundläggande reglerna. Specialregler bör finnas i särlagstiftning. Regeringen föreslår därför att den nu behandlade bestämmelsen flyttas till biobankslagen.

18. Överklagande

Regeringens förslag: Bestämmelserna i patientjournallagen om överklagande av Socialstyrelsens beslut om

1. utlämnande av en journalhandling,

2. att avslå en ansökan om förstöring av en patientjournal,

3. omhändertagande eller återlämnande av patientjournaler, förs över i sak helt oförändrade till patientdatalagen. Dock samlas dessa bestämmelser i ett särskilt kapitel om överklagande i patientdatalagen.

I patientdatalagen införs också en hänvisning till de bestämmelser om överklagande av myndighets beslut som gäller enligt personuppgiftslagen. Andra beslut enligt patientdatalagen får inte överklagas.

Utredningens förslag: Överensstämmer delvis med regeringens förslag med den ändringen att bestämmelserna om överklagande samlas i en och samma bestämmelse i ett särskilt kapitel.

Remissinstanserna: Remissinstanserna har inget att anföra mot utredningens förslag.

Skälen för regeringens förslag: I fråga om Socialstyrelsens beslut att inte lämna ut en journalhandling eller någon del av den till en patient inom den enskilda hälso- och sjukvården gäller i dag 16 § fjärde stycket patientjournallagen (1985:562) angående rätten att överklaga ett sådant beslut. Enligt denna bestämmelse gäller i tillämpliga delar 15 kap. 7 § sekretesslagen (1980:100). Bestämmelsen behandlades i prop. 1984/85:189 s. 49 och prop. 1991/92:104.

På ansökan av en patient eller någon annan som omnämns i en patientjournal gäller i dag att Socialstyrelsen får förordna att journalen helt eller delvis ska förstöras, se 17 § patientjournallagen. Enligt samma bestämmelse får Socialstyrelsens beslut om att avslå en ansökan om förstöring av en patientjournal överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Socialstyrelsens beslut om bifall till en sådan ansökan får inte överklagas. Bestämmelsen behandlades i prop. 1984/85:189 s. 49 f och prop. 1991/92:104.

Enligt 14 § patientjournallagen gäller för närvarande att Socialstyrelsens beslut i fråga om omhändertagande eller återlämnande av patientjournaler får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten. Bestämmelsen behandlades i prop. 1991/92:104 s. 20f.

Formen och innehållet i sak för överklagande av dessa beslut fungerar väl och det finns därför enligt regeringen inte skäl att ändra i dessa bestämmelser, utan de föreslås att föras in oförändrade i patientdatalagen. För att underlätta tillämpningen av lagen föreslås emellertid att de samlas och förs in under ett särskilt kapitel. För att göra bestämmelserna mera överskådliga anges även specifikt i det särskilda kapitlet vilka bestämmelser som får överklagas.

Patientdatalagen innehåller som nämnts tidigare enbart de särbestämmelser och förtydliganden som det bedömts föreligga behov av. I övrigt framgår det av 1 kap. 4 § patientdatalagen att personuppgiftslagen ska tillämpas. Följaktligen kan åtskilliga bestämmelser i personuppgiftslagen bli tillämpliga vid personuppgiftsbehandling hos hälso- och sjukvården.

Av tydlighetsskäl bör en upplysning om detta tas in i bestämmelsen om överklagande i patientdatalagen. Beslut som tas med tillämpning av personuppgiftslagen får överklagas enligt bestämmelserna som anges i 51-53 §§ samma lag. Andra beslut enligt patientdatalagen får inte överklagas.

19. Ikraftträdande- och övergångsbestämmelser

Regeringens förslag:Patientdatalagen och de ändringar som regeringen föreslår i andra författningar ska träda i kraft den 1 juli 2008.

När patientdatalagen träder i kraft ska patientjournallagen och vårdregisterlagen upphöra att gälla.

Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister ska inte börja tillämpas förrän den 1 juli 2009 ifråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare ska bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information om sådan personuppgiftsbehandling inte gälla beträffande sådana personuppgifter som behandlats före den 1 juli 2009.

Utredningens förslag: Överensstämmer delvis med regeringens förslag.

Remissinstanserna: Majoriteten av remissinstanserna har inget att anföra mot utredningens förslag.Datainspektionen konstaterar att integritetsskyddet kommer att vara beroende av olika arbetsinsatser.

Information till patienter och anställda blir en av vårdgivarnas främsta insatser. Tekniska och organisatoriska säkerhetsåtgärder kommer också att utgöra en viktig uppgift för vårdgivarna. Föreskriftsarbetet som förutsätts ske hos Socialstyrelsen är ytterligare en viktig del. Patientdatalagens ikraftträdande bör därför senareläggas för att ge behövligt utrymme för information, säkerhetsåtgärder och föreskriftsarbete. Svensk sjuksköterskeförening, SSF, anser beträffande tiden för ikraftträdandet av de föreslagna förändringarna: 1 januari 2008 respektive för nationella och regionala kvalitetsregister 1 januari 2009, att genomförandet bör ske vid samma tidpunkt. SSF ifrågasätter möjligheten att genomföra en lagändring redan den 1 januari 2008 eftersom en sammanhållen journalföring, även om lagen inte är tvingande, kräver ett omfattande utvecklingsarbete. SSF framhåller emellertid att det är viktigt att detta utvecklingsarbete intensifieras och att ekonomiska medel avsätts från vårdhuvudmännen och från nationell nivå.

Skälen för regeringens förslag:Patientdatalagen ersätter den reglering som nu finns i patientjournallagen (1985:562) och lagen (1998:544) om vårdregister. De båda sistnämnda lagarna ska därför upphöra att gälla samtidigt som patientdatalagen träder i kraft.

I dag regleras personuppgiftsbehandlingen i nationella och regionala kvalitetsregister av personuppgiftslagen. Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister innebär en skärpning av lagstiftningen jämfört med vad som gäller i dag, bl.a. genom att den en-

skilde ges rätt att motsätta sig registrering. Av det skälet anser regeringen att särskilda övergångsbestämmelser ska meddelas i fråga om sådana kvalitetsregister.

Verksamheten bör ges möjlighet att anpassa sina rutiner till den nya lagstiftningen, varför regeringen föreslår att patientdatalagens bestämmelser om nationella och regionala kvalitetsregister inte ska börja tillämpas förrän efter en viss övergångstid. Ett år uppskattas som en tillräcklig övergångstid. Regeringen föreslår därför att patientdatalagens bestämmelser om nationella och regionala kvalitetsregister inte ska börja tillämpas förrän den 1 juli 2009 ifråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande.

Vidare föreslår regeringen att patientdatalagens bestämmelser om den enskildes rätt att motsätta sig personuppgiftsbehandling i nationella och regionala kvalitetsregister och om information om sådan personuppgiftsbehandling inte ska gälla beträffande sådana personuppgifter som behandlats före den 1 juli 2009. Det innebär att redan insamlade personuppgifter får finnas kvar i kvalitetsregistren och att nämnda information endast behöver lämnas beträffande framtida personuppgiftsbehandling i registren.

För tydlighetens skull bör nämnas att regeringen inte föreslår några särskilda övergångsbestämmelser i fråga om patientdatalagens bestämmelser om sammanhållen journalföring. Det innebär att en vårdgivares uppgifter om en patient som har dokumenterats före patientdatalagens ikraftträdande endast får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring om lagens förutsättningar härför är uppfyllda.

Hänvisningar till S19

20. Ekonomiska konsekvenser, konsekvenser för små företag samt för domstolarnas arbetsbörda

Ekonomiska konsekvenser

Förslagen i denna proposition innebär att det införs en ny lag, patientdatalagen, som ska tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. Bestämmelserna i patientjournallagen och vårdregisterlagen förs över till den nya lagen. Genom förslagen åstadkoms en mer samlad reglering av personuppgiftsbehandlingen inom hälso- och sjukvården.

Förslagen om sammanhållen journalföring innebär en möjlighet för sjukvårdshuvudmännen och andra vårdgivare att på frivillig väg skapa system som medger elektronisk tillgång till varandras journaluppgifter i det direkta patientarbetet. Förslagen innebär alltså inte någon skyldighet för vårdgivare att delta i sådana system. Det är inte möjligt att förutse i vilken utsträckning system för sammanhållen journalföring kommer att skapas eller hur dessa kommer att utformas. Det är därmed inte heller möjligt att uppskatta kostnaderna för t.ex. de investeringar som kommer att krävas. Samtidigt kommer införandet av sammanhållen journalföring

att leda till effektivitetsvinster i form av minskad administration för hälso- och sjukvårdspersonalen samt förbättrade möjligheter för olika vårdgivare att samarbeta och därigenom undvika dubbelarbete. Förslagen leder också till förbättrad patientsäkerhet. Att beräkna storleken på dessa vinster är emellertid inte möjligt.

Förslagen beträffande inre sekretess innebär bl.a. en lagreglerad skyldighet för vårdgivare att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till sådana uppgifter om patienter, som förs helt eller delvis automatiserat. Vårdgivares ansvar i detta avseende är emellertid inte något nytt. Förslaget innebär enbart att kraven på vårdgivarna tydliggörs och bör därför inte medföra några ökade kostnader för dem.

Förslagen innebär vidare en lagreglerad skyldighet för vårdgivare att genomföra åtgärder som innebär att elektronisk åtkomst till sådana uppgifter om patienter, som förs helt eller delvis automatiserat, dokumenteras och kan kontrolleras. Av patientjournallagen och vårdregisterlagen följer redan ett ansvar för vårdgivare att självmant följa upp hur behörighetssystem fungerar och i vad mån obehörig åtkomst har skett. Förslagen innebär att kraven på vårdgivarna konkretiseras. Förslagen bör inte medföra några ökade kostnader.

I fråga om inre sekretess innebär regeringens förslag också att patienter ges möjlighet att få sina uppgifter spärrade från elektronisk tillgänglighet utanför den enhet där de vårdas. Bland en del vårdgivare förekommer detta redan. Hos andra kan de nuvarande elektroniska journalsystemen behöva anpassas till förslagen. Det är svårt att uppskatta i vilken utsträckning detta behöver ske och därmed vilka kostnader som kan uppstå.

Regeringens förslag innebär vidare att vårdgivare får medge enskilda direktåtkomst till sina journaluppgifter och andra patientuppgifter samt logglistor med anknytning till journalen. Förslagen innebär alltså ingen skyldighet för vårdgivarna. Det är svårt att uppskatta i vilken utsträckning sådan direktåtkomst kommer att anordnas.

Förslagen innebär också att vårdgivare åläggs att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till dennes patientuppgifter. I vilken utsträckning patienter kommer att begära att få sådan information är svårt att förutse.

Regeringens förslag i fråga om nationella och regionala kvalitetsregister innebär att dessa författningsregleras särskilt i förhållande till personuppgiftslagen. Förslagen innebär vidare att enskilda ges en rätt att slippa bli registrerade i sådana register. Detta förutsätter att de informeras. Informationsskyldighet följer redan i dag av personuppgiftslagen och innebär således ingen förändring. Regeringens förslag innebär inte något obligatorium för vårdgivare att föra sådana kvalitetsregister eller någon uppgiftsskyldighet gentemot registren.

Mot bakgrund av att det är frivilligt för sjukvårdens aktörer att bygga upp och delta i system som medger elektronisk tillgång till varandras journaluppgifter, är regeringens samlade bedömning att förslagen inte medför några ekonomiska konsekvenser för staten.

Konsekvenser för små företags villkor

Hälso- och sjukvården utförs i dag även av andra än landstingen, bl.a. privata aktörer. En del av dem är små företag som också berörs av förslagen. Det har inte visat sig vara möjligt att få fram uppgifter om hur stort antal vårdgivare inom vars verksamhet patientjournaler förs. Det är därmed inte heller möjligt att beräkna hur många privata vårdgivare det finns som kan tänkas beröras av förslagen. Regeringens förslag innebär dock inte någon skyldighet för små privata företag som bedriver hälso- och sjukvård att delta i sammanhållen journalföring eller att medge sina patienter direktåtkomst till journaluppgifter etc. och det är svårt att förutse i vilken utsträckning de kommer att välja att delta i system för sammanhållen journalföring.

De föreslagna skyldigheterna för vårdgivare att bestämma villkor för tilldelning av behörighet för elektronisk åtkomst till patientuppgifter och att genomföra åtgärder som innebär att elektronisk åtkomst till patientuppgifter dokumenteras och kan kontrolleras innebär att kraven i dessa avseenden tydliggörs och konkretiseras. Förslagen utgör integritetsskyddsregler och kraven bör vara desamma oavsett om vårdgivaren är ett landsting eller ett litet privat företag.

Detsamma gäller skyldigheten att på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till dennes patientuppgifter.

Konsekvenser för domstolarnas arbetsbörda

Domstolarnas arbetsbörda bedöms inte på något markant sätt öka till följd av regeringens förslag. I de delar av lagförslagen som handlar om möjligheter för en patient att överklaga sammanförs bestämmelserna från två befintliga lagar, vårdregisterlagen och patientjournallagen. Den enda egentliga förändringen som föreslås i förhållande till i dag gällande rätt när det gäller möjligheten att överklaga är att även närstående till en patient kan överklaga avslagsbeslut om att få en journalhandling utlämnad. Regeringens bedömning är därför att lagförslaget inte kommer att innebära att antalet överklaganden på något markant sätt ökar jämfört med i dag. De eventuella små kostnadsökningar som det kan bli fråga om för domstolarnas del får hanteras inom befintliga anslagsramar.

Andra konsekvenser

Enligt regeringens bedömning medför förslagen inte några konsekvenser för den kommunala självstyrelsen, för brottsligheten och det brottsförebyggande arbetet, för sysselsättning och offentlig service i olika delar av landet eller för jämställdheten mellan kvinnor och män eller för möjligheten att nå de integrationspolitiska målen.

21. Författningskommentar

21.1. Förslaget till patientdatalag

1 kap. Lagens tillämpningsområde m.m.

Lagens tillämpningsområde

1 §

Paragrafen behandlas närmare i avsnitt 6.2. I första stycket anges patientdatalagens tillämpningsområde. Lagen ska tillämpas vid behandling av personuppgifter inom hälso- och sjukvården. Det innebär till en början att den är tillämplig i en vårdgivares kärnverksamhet; alltså då vårdgivaren tillhandahåller hälso- och sjukvård respektive tandvård åt patienter. Vårdgivare och andra centrala begrepp i patientdatalagen definieras i 3 §. Förutom landsting och kommuner finns det privata vårdgivare som tillhandahåller hälso- och sjukvård. Hälso- och sjukvård förekommer också hos statliga myndigheter som t.ex. Kriminalvården och Totalförsvarets pliktverk. Till kärnverksamheten hör åtgärder för att förebygga, utreda och behandla sjukdomar och skador hos människor vare sig den verksamheten sker enligt hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129

)

om rättspsykiatrisk vård, smittskyddslagen

(2004:168), lagen (1944:133) om kastrering, lagen (1972:119) om fastställande av könstillhörighet i vissa fall eller enligt lagen (2006:351) om genetisk integritet m.m. Här ingår även annan närliggande patientverksamhet som insemination, abort, sterilisering, omskärelse, transplantationsingrepp på givare och blodgivning m.m. Till kärnverksamheten räknas vidare bl.a. administration och utveckling av verksamheten, se närmare härom 2 kap. 4 § samt 7 kap. 4 § om för vilka ändamål som personuppgiftsbehandling får äga rum. Personuppgiftsbehandling för den rent administrativa verksamheten utan direkt koppling till patientverksamheten – t.ex. personaladministration – faller dock utanför lagens tillämpningsområde. Detsamma gäller forskning, såvida det inte är fråga om en vårdgivares s.k. patientnära eller kliniska forskning som innefattar patientjournalföring eller annan dokumentation som hör till vården. Inte heller är patientdatalagen tillämplig vid utbildning t.ex. av blivande läkare och sjuksköterskor. I den del dessa deltar i den faktiska patientvården är patientdatalagen dock tillämplig. Lagen ska inte tillämpas av sådana myndigheter som agerar inom hälso- och sjukvårdssektorn men som inte bedriver patientvård, som t.ex. Socialstyrelsen, Läkemedelsverket, Smittskyddsinstitutet och Hälso- och sjukvårdens ansvarsnämnd. Även verksamhet vid sjukvårdshuvudmännens läkemedelskommittéer och patientnämnder faller utanför lagens tillämpningsområde. När det gäller personuppgiftsbehandlingen ersätter patientdatalagen (1998:544) om vårdregister.

Av första stycket framgår vidare att det i lagen finns bestämmelser om skyldighet att föra patientjournal. Dessa bestämmelser finns i första hand i 3 kap. och 9 kap. Bestämmelserna är med en del förändringar överförda från patientjournallagen (1985:562). Patientdatalagen innehåller således bestämmelser som rör både personuppgiftsbehandling inom hälso- och

sjukvården och bedrivande av verksamheten. Skälet till att bestämmelserna sammanförts i en lag är att de tar sikte på informationshanteringen i stort inom hälso- och sjukvården.

Av andra stycket framgår att vissa bestämmelser i patientdatalagen kan bli tillämpliga när det gäller avlidna personer. Patientjournallagen gäller i tillämpliga delar avlidna personer medan lagen om vårdregister omfattar bara uppgifter om personer som är i livet. Innebörden av andra stycket i förevarande paragraf är att de bestämmelser som överförts från patientjournallagen i tillämpliga delar omfattar också avlidna personer. Motsvarande gäller de bestämmelser som rör personuppgiftsbehandlingen i patientdatalagen. Bestämmelser av sistnämnt slag som ska tillämpas på avlidna är sådana som avser ändamål, sökbegrepp och åtkomst till uppgifter om avlidna. Däremot är patientdatalagens bestämmelser om samtycke inte tillämpliga på avlidna.

Lagens syfte

2 §

I paragrafen finns en mer övergripande regel som anger lagens syfte.

I första stycket slås fast att informationshanteringen inom hälso- och sjukvård ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet samt främjar kostnadseffektivitet. Bestämmelsen ger uttryck för att lagens syfte är att främja en god, säker och kostnadseffektiv vård.

I andra stycket, som har behandlats i avsnitt 9.3, anges att personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras. Formuleringen motsvarar i huvudsak 4 § patientjournallagen (1985:562) men har fått ett vidare tillämpningsområde i det att bestämmelsen inte bara avser journalföring utan utformning och övrig behandling av personuppgifter inom all verksamhet som regleras av patientdatalagen. Av paragrafen framgår vidare, till skillnad från 4 § patientjournallagen, att det inte bara är patientens integritet som ska respekteras. Hänsyn ska också tas till andra personer, exempelvis anhöriga, om vilka det kan finnas uppgifter hos hälso- och sjukvården.

I tredje stycket, som har behandlats i avsnitt 11, finns en regel om att dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem. Paragrafen motsvarar delvis 7 § första stycket patientjournallagen, som anses reglera den inre sekretessen, och 8 § lagen (1998:544) om vårdregister. Bestämmelsen i andra stycket har emellertid ett vidare syfte än att bara vara en reglering av den inre sekretessen. Den utgör generellt en garanti för att patienters och andras integritet ska respekteras då personuppgifter om dem hanteras och förvaras. Med hantering och förvaring avses här alla slags åtgärder som vidtas beträffande personuppgifterna. Bestämmelsen är tillämplig på alla dokumenterade personuppgifter. Den gäller således alla personuppgifter om exempelvis en patient, inte bara uppgifter som finns i manuella och elektroniska patientjournaler. Med personuppgifter avses all slags information som direkt eller indirekt kan hänföras till en fysisk person. Av 1 § andra stycket framgår att patientdatalagen i tillämpliga delar gäller även avlidna personer. Obehöriga personer kan vara såväl

utomstående, t.ex. andra patienter och anhöriga som råkar vistas på en sjukvårdsinrättning, som befattningshavare inom hälso- och sjukvården. När det gäller den sistnämnda kategorin utgör bestämmelsen en reglering av den inre sekretessen. En förutsättning för att en befattningshavare inom hälso- och sjukvården ska få ta del av uppgifter om en patient är att han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården, se 4 kap. 1 §. Först då är befattningshavaren behörig att få tillgång till uppgifterna. Angående den inre sekretessen se vidare 4 kap. 1 §.

Definitioner

3 §

Paragrafen innehåller definitioner av vissa i patientdatalagen centrala uttryck. Innebörden av uttrycket hälso- och sjukvård behandlas närmare i avsnitt 6.2.

Termerna journalhandling och patientjournal överensstämmer i sak med hur de definieras i 2 § patientjournallagen (1985:562). Uttrycken har dock fått en något annan och tydligare språklig utformning. Exempel på journalhandlingar är röntgenbilder, labbsvar och journalanteckningar. En patientjournal behöver, liksom i dag, inte härröra från en och samma vårdgivare.

Innebörden av uttrycket vårdgivare behandlas närmare i avsnitt 6.2. Med vårdgivare avses – med ett undantag – en fysisk eller juridisk person som yrkesmässigt bedriver hälso- och sjukvård. En vårdgivare kan vara en fysisk person som bedriver hälso- och sjukvårdsverksamhet i en enskild firma eller ett aktiebolag, en stiftelse, ett handelsbolag eller liknande. Sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, är egna juridiska personer och utgör självständiga vårdgivare. Inom den allmänna hälso- och sjukvården hos sjukvårdshuvudmännen är det den juridiska personen landstinget eller kommunen som är vårdgivare. Hos dessa vårdgivare är det dock personuppgiftsbehandlingen hos den nämnd eller annan myndighet som utövar ledningen av eller utför den faktiska hälso- och sjukvården som regleras av lagen. Härmed avses exempelvis både s.k. beställar- och utförarnämnder i ett landsting eller en kommun.

Undantaget i patientdatalagen från huvudregeln om att vårdgivaren ska vara en juridisk eller fysisk person avser individinriktad hälso- och sjukvård som tillhandahålls av statliga myndigheter. Sådan hälso- och sjukvård bedrivs parallellt med annan verksamhet som utgör myndighetens huvuduppgift, t.ex. hos universitet och högskolor, Statens institutionsstyrelse, Kriminalvården eller Totalförsvarets pliktverk. Dessa statliga myndigheter behandlas som separata vårdgivare i patientdatalagens mening. Att några av begreppen i patientdatalagen inte definieras på exakt samma sätt som i Socialstyrelsens Termbank beror på att begreppen måste ansluta till patientdatalagens och närliggande lagars tillämpningsområden. Bestämmelser om sammanhållen journalföring finns i 6 kap.

Förhållandet till personuppgiftslagen

4 §

Paragrafen behandlas även i avsnitt 6.2. I paragrafen anges förhållandet mellan personuppgiftslagen (1998:204) och patientdatalagen på så sätt att personuppgiftslagen gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier om inget annat sägs i patientdatalagen eller i föreskrifter som meddelats med stöd av denna lag. Patientdatalagen innehåller således enbart de särbestämmelser och förtydliganden som det bedömts föreligga behov av. I övrigt ska personuppgiftslagen tillämpas. Följaktligen kan åtskilliga bestämmelser i personuppgiftslagen bli tillämpliga vid personuppgiftsbehandling hos hälso- och sjukvården. Det innebär exempelvis att de begrepp som används i patientdatalagen, t.ex. ”behandling” av personuppgifter och ”personuppgifter” har den innebörd som framgår av definitioner i 3 § personuppgiftslagen. När det gäller personuppgifter, se dock 1 § andra stycket patientdatalagen.

Vad som sägs i 8 § personuppgiftslagen om förhållandet till offentlighetsprincipen gäller också vid behandling av personuppgifter enligt patientdatalagen. Av samma paragraf följer att en myndighet utan hinder av personuppgiftslagen får arkivera och bevara allmänna handlingar. Den bestämmelsen gäller även på patientdatalagens tillämpningsområde. Vidare är 9 § personuppgiftslagen, som innehåller regler om grundläggande krav på den personuppgiftsansvariges behandling av personuppgifter, tillämplig då personuppgifter behandlas enligt patientdatalagen, dock med de begränsningar som kan följa av t.ex. särskilda bestämmelser om bevarande och gallring av journalhandlingar och andra uppgifter.

Vid sidan av bestämmelserna i 8 kap. patientdatalagen om utlämnande av journalhandlingar ska även 26 § personuppgiftslagen om tillgång till uppgifter genom s.k. registerutdrag och bestämmelsen om undantag från informationsskyldigheten i 27 § samma lag tillämpas. I 3032 §§personuppgiftslagen finns bestämmelser om säkerheten vid behandling av personuppgifter. Dessa bestämmelser gäller utöver patientdatalagens bestämmelser om informationssäkerhet. Av intresse är också 3335 §§personuppgiftslagen, som reglerar överföringen av personuppgifter till tredjeland. I den utsträckning den som är personuppgiftsansvarig utser ett personuppgiftsombud blir bestämmelserna i personuppgiftslagen om sådana ombud tillämpliga även på patientdatalagens område. Eftersom patientdatalagen saknar särskilda bestämmelser om upplysningar till allmänheten om behandlingar som inte har anmälts (42 § personuppgiftslagen) och om befogenheter för tillsynsmyndigheten vid tillsyn över behandlingen av personuppgifter (43–47 §§) gäller också dessa på patientdatalagens område.

Bestämmelsen i 49 § personuppgiftslagen om ansvar för överträdelser av olika bestämmelser i personuppgiftslagen får bara mycket begränsad betydelse vid behandling av personuppgifter på hälso- och sjukvårdens område. Ansvar kan inträda endast i händelse av överträdelse av de bestämmelser i personuppgiftslagen som blir tillämpliga i verksamheten,

t.ex. vid uppsåtligt eller grovt oaktsamt lämnande av osann uppgift i ett registerutdrag eller vid uppsåtlig eller grovt oaktsam överföring av personuppgifter till tredjeland i strid med 3335 §§personuppgiftslagen.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Kapitlets tillämpningsområde

1 §

Paragrafen har behandlats i avsnitt 6.2 och 7. Enligt paragrafen ska vissa grundläggande bestämmelser om personuppgiftsbehandling – nämligen bestämmelser om den enskildes inställning till personuppgiftsbehandling, ändamål för personuppgiftsbehandlingen, personuppgiftsansvar, personuppgifter som får behandlas och sökbegrepp – som finns intagna i detta kapitel tillämpas vid sådan behandling av personuppgifter som är helt eller delvis automatiserad. Bestämmelserna ska tillämpas inte bara på personuppgiftsbehandling i särskilda register eller databaser utan omfattar all helt eller delvis automatiserad behandling av personuppgifter som förekommer inom hälso- och sjukvården. Bestämmelserna ska vidare tillämpas på viss manuell behandling i register, nämligen om personuppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Viss vägledning om i vilka fall manuell behandling kan omfattas av patientdatalagen ges i RÅ 2001 ref. 35. Förhållandet till personuppgiftslagen (1998:204) behandlas i 1 kap. 4 § patientdatalagen, se författningskommentaren till sistnämnda bestämmelse.

Den enskildes inställning till personuppgiftsbehandling

2 §

Paragrafen har behandlats i avsnitt 7.4. Enligt paragrafen får som huvudregel personuppgiftsbehandling, som är tillåten enligt patientdatalagen, utföras även om den enskilde motsätter sig den. Bestämmelsen ska ses mot bakgrund av artikel 14 a dataskyddsdirektivet, som föreskriver att den enskilde åtminstone i vissa fall ska garanteras en rätt att motsätta sig en personuppgiftsbehandling, om inte annat föreskrivs i nationell lagstiftning. Här föreskrivs alltså som huvudregel i första stycket första meningen att personuppgiftsbehandling enligt patientdatalagen är tillåten även om den enskilde motsätter sig den. Av paragrafen framgår emellertid att det kan finnas bestämmelser som ger enskilda en möjlighet att med rättslig verkan motsätta sig en personuppgiftsbehandling som i och för sig regleras av patientdatalagen. I första stycket andra meningen görs en uttömmande uppräkning av sådana bestämmelser i patientdatalagen. I 4 kap. 4 § finns bestämmelser om att en patient har möjlighet att begränsa hälso- och sjukvårdspersonalens elektroniska åtkomst till uppgifter om patienten (inre sekretess). Av 6 kap. framgår att en patient på olika sätt har inflytande över huruvida uppgifter om patienten ska vara tillgängliga vid sammanhållen journalföring. I 7 kap. 2 § föreskrivs att en

patient kan motsätta sig att uppgifter om patienten behandlas i ett nationellt eller regionalt kvalitetsregister. Ytterligare exempel på bestämmelser om att en enskild kan motsätta sig personuppgiftsbehandling finns i förordningen (1986:198) om provtagning för infektion av HIV. Enligt förordningen kan en patient begära att få vara anonym vid provtagning. Förordningen ger alltså patienten en viss möjlighet att motsätta sig personuppgiftsbehandling av namn och personnummer.

3 §

Paragrafen har behandlats i avsnitt 7.4. Första stycket innebär ett klargörande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt patientdatalagen får ske om den enskilde uttryckligen har samtyckt till det och inte annat följer av 6 kap. 5 § patientdatalagen eller av annan lag eller av förordning. Paragrafen kan sägas ge uttryck för principen att en enskilds uttryckliga samtycke till en viss personuppgiftsbehandling normalt ska respekteras. Huvudregeln i förevarande paragraf innebär således exempelvis att personuppgifter kan samlas in och behandlas för ett ändamål som inte anges i patientdatalagens ändamålsbestämning, se 4 §, om den enskilde har lämnat ett uttryckligt samtycke till detta. Något skriftligt samtycke från den enskilde fordras i och för sig inte, men det kan många gånger vara lämpligt att ha ett sådant för att förebygga eventuella framtida tvister. Huvudregeln gäller dock inte om annat framgår av patientdatalagen, annan lag eller förordning. I andra meningen erinras om en sådan bestämmelse i patientdatalagen. Bestämmelsen i 6 kap. 5 § patientdatalagen att en patient inte kan samtycka till att den som arbetar hos en vårdgivare får bereda sig tillgång till personuppgifter som är tillgängliga genom sammanhållen journalföring annat än under de förutsättningar som anges i 6 kap. 3 och 4 §§.

Enligt andra stycket får regeringen meddela ytterligare undantag som upphäver verkan av den enskildes samtycke till personuppgiftsbehandling i strid mot patientdatalagen.

Ändamål med personuppgiftsbehandlingen

4 §

Paragrafen har utförligt behandlats i avsnitt 7.1. I paragrafens första stycke anges de primära ändamålen, alltså sådana ändamål som tar sikte på den egentliga kärnverksamheten inom hälso- och sjukvården. De primära ändamålen beskriver personuppgiftsbehandlingar som normalt äger rum i varje sjukvårdshuvudmans verksamhet. De angivna ändamålen avser inte bara den individinriktade hälso- och sjukvårdsverksamheten utan också sådana särskilda ändamål som faller vid sidan av den individinriktade verksamheten. Syftet med att ange ändamål är att slå fast en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas. Utgångspunkten är således att endast sådan personuppgiftsbehandling får äga rum som inryms i något eller några av de uppräknade ändamålen, se dock 5 §. Inom denna ram måste vårdgivaren i allmänhet bestämma mer konkreta och preciserade ändamål. Det följer av 9 § första stycket c personuppgiftslagen (1998:204) om att ändamålen ska vara

särskilda. Hur långt konkretionen och preciseringen ska sträcka sig får bedömas från fall till fall. Det är naturligtvis skillnad om ett enda gemensamt journal- och patientadministrativt system införs eller om ett tillfälligt uppföljningsregister inrättas. I det sistnämnda fallet bör uttryckligen bestämmas att registret får användas endast som underlag för den aktuella uppföljningen.

De ändamål som anges i punkterna 1 och 2 kan beskrivas som vårddokumentation. Att ändamålen tas upp i två punkter och inte i en enda har ingen saklig betydelse. Det är enbart av språkliga skäl som uppdelningen i två punkter har gjorts. Båda punkterna tar sikte på den individinriktade patientverksamheten. En viktig bas i denna informationshantering är patientjournalhanteringen och den administration som behövs av patientvården. Med administration i punkt 2 avses såväl patientrelaterad ekonomiadministration som annan administration som behövs för eller föranleds av vård i enskilda fall.

Punkt 3 avser annan dokumentation än vårddokumentation som hälso- och sjukvården är skyldig att utföra enligt olika författningar. Exempel härpå är dokumentation enligt lagen (1985:12) om kontroll av berusningsmedel på sjukhus och bestämmelsen om rapporteringsskyldighet till vårdgivare i 2 kap. 7 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område (Lex-Maria). Det finns vidare en rad författningar som föreskriver att hälso- och sjukvården ska lämna ut uppgifter till olika myndigheter. I allmänhet rör det sig här om utlämnande av uppgifter som primärt har samlats in som vårddokumentation. Uppgifterna kan då normalt tillhandahållas utan någon föregående bearbetning av dem. I dessa fall handlar det endast om en behandling för det ändamål som anges i 5 §, alltså behandling för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. Ibland kan emellertid uppgiftsskyldigheten förutsätta en viss särskild personuppgiftsbehandling där dokumentationen utformas utifrån hur uppgiftsskyldigheten ska fullgöras. I sådana fall är det inte fråga om en ren ”återanvändning” av redan insamlade personuppgifter. Personuppgiftsbehandling av nu beskrivet slag kan bli aktuell exempelvis då uppgiftsskyldighet ska fullgöras enligt 14 kap. 1 § socialtjänstlagen (2001:453) samt 4 och 6 §§ förordningen (2001:707) om patientregister hos Socialstyrelsen.

Punkten 4 avser kvalitetssäkring. Kravet på hälso- och sjukvården att kvalitetssäkra framgår av 31 § hälso- och sjukvårdslagen (1982:763), som föreskriver att kvaliteten inom hälso- och sjukvården systematiskt och fortlöpande ska utvecklas och säkras. I 16 § tandvårdslagen (1985:125) finns en motsvarande bestämmelse om kvalitetssäkring när det gäller tandvården. Att kvalitetssäkring tas upp som en särskild punkt beror bl.a. på den centrala roll som kvalitetssäkringsarbetet har inom hälso- och sjukvården. Kvalitetssäkringsarbete kan ske i många former och med olika metoder. En speciell form är verksamheten med hälso- och sjukvårdens kvalitetsregister.

Punkten 5 innebär att den personuppgiftsansvarige fortlöpande eller vid särskilda tillfällen kan administrera, planera, följa upp, utvärdera och utöva tillsyn av verksamheten på olika nivåer. Den administration och planering som avses här sker på ett mer övergripande plan än vad som avses med den patientadministration som omfattas av ändamålet vård-

dokumentation (punkterna 1 och 2). Punkten 5 gör det möjligt för hälso- och sjukvården att bedriva verksamhetsuppföljning med individuppgifter. Med utvärdering avses analys och värdering av kvalitet, effektivitet och resultat av en verksamhet i förhållande till de mål som bestämts för denna. Personuppgiftsbehandling får också förekomma för att vårdgivaren ska kunna bedriva tillsyn av sin verksamhet.

Enligt punkten 6 får personuppgifter behandlas för statistikändamål. Här åsyftas inte s.k. verksamhetsstatistik, som ryms inom ändamålet i punkt 5, utan annan statistik, exempelvis sådan som landstingen tar fram för att informera befolkningen om hälso- och sjukvårdsverksamheten.

Inget hinder möter mot att samköra personuppgifter i olika register eller datasystem inom hälso- och sjukvården, om samkörningen sker för något eller några av de ändamål som anges i paragrafen. Detsamma gäller om samkörningen sker för ändamål som inte är oförenliga med de ändamål som anges i första stycket, se 5 §.

I andra stycket erinras om att det finns särskilda bestämmelser om ändamålen med behandling av personuppgifter i nationella och regionala kvalitetsregister, se 7 kap. 4 och 5 §§.

5 §

Paragrafen har behandlats i avsnitt 7.1. I paragrafen regleras till en början sådant utlämnande av personuppgifter som redan finns i verksamheten därför att de har samlats in för primära ändamål, vanligtvis för vårddokumentation. Sådant uppgiftslämnande kan ske med stöd av 14 kap. 1 § sekretesslagen (1980:100), som föreskriver att sekretess inte hindrar att uppgift lämnas till en annan myndighet, om uppgiftsskyldighet följer av lag eller förordning. Ett annat exempel är 14 kap. 2 § sekretesslagen, som bl.a. tillåter myndigheter inom hälso- och sjukvården att under vissa förutsättningar lämna ut personuppgifter till andra myndigheter. Här kan också nämnas 15 kap. 5 § sekretesslagen, som innebär att en myndighet på begäran av en annan myndighet ska lämna ut uppgift som den förfogar över i den mån hinder inte möter på grund av bestämmelse om sekretess eller av hänsyn till arbetets behöriga gång. Vidare finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område bestämmelser om utlämnande av uppgifter, se 2 kap. 9 och 11 §§. Självklart ska bestämmelserna i 2 kap. tryckfrihetsförordningen om skyldigheten att lämna ut allmänna handlingar tillämpas före patientdatalagen, se 8 § personuppgiftslagen (1998:204).

I paragrafen klargörs vidare genom en uttrycklig hänvisning till personuppgiftslagen att den s.k. finalitetsprincipen gäller även vid personuppgiftsbehandling enligt patientdatalagen. Att finalitetsprincipen är tillämplig innebär att personuppgifter som redan finns i hälso- och sjukvårdsverksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen. Genom hänvisningen klargörs vidare att insamlade personuppgifter också får behandlas för historiska, statistiska eller vetenskapliga ändamål. Behandling för forskningsändamål, som har behandlats i avsnitt 16.1, av tidigare insamlade personuppgifter får således ske utan att det behöver anges som ett särskilt ändamål. Även om sådan personuppgiftsbehandling är tillåten gäller dock lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav

på etikprövning. Personuppgiftsbehandlingen inom forskningsprojekt regleras av personuppgiftslagen.

Personuppgiftsansvar

6 §

Paragrafen har behandlats i avsnitt 7.2. Enligt första stycket är en vårdgivare ansvarig för den behandling av personuppgifter som vårdgivaren utför. Med detta menas den personuppgiftsbehandling som sker inom ramen för vårdgivarens verksamhet och som vårdgivaren ansvarar för. Av definitionen av begreppet vårdgivare i 1 kap. 3 § framgår, när det gäller den hälso- och sjukvård som landstingen och kommunerna ansvarar för, att med vårdgivare avses den juridiska personen som sådan, dvs. landstinget och kommunen, inte den eller de myndigheter inom landstinget och kommunen som ansvarar för eller utför hälso- och sjukvård. Enligt förevarande paragraf är det emellertid inte landstinget eller kommunen som är personuppgiftsansvarig. I stället är det den myndighet, nämnd, som behandlar personuppgifterna som är personuppgiftsansvarig. Sådan myndighet omfattar också sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100), dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. När det gäller den enskilda hälso- och sjukvården avses med vårdgivare inte den enskilde yrkesutövaren utan den juridiska eller fysiska person som bedriver och ansvarar för hälso- och sjukvårdsverksamheten.

Av andra stycket, som endast avser att utgöra ett förtydligande av personuppgiftsansvaret enligt vad som gäller enligt första stycket, framgår att ansvaret omfattar sådana åtgärder som en vårdgivare eller myndighet inom ett landsting eller en kommun som ansvarar för hälso- och sjukvården vidtar i samband med att vårdgivaren eller myndigheten i enskilda fall utnyttjar sin möjlighet att via direktåtkomst söka bland och läsa uppgifter i sådan vårddokumentation som andra vårdgivare, eller andra myndigheter hos samma vårdgivare, är ansvariga för. Detta klargörande har betydelse främst i fråga om sådan åtkomst som förekommer vid sammanhållen journalföring, se avsnitt 10.5.

Av tredje stycket framgår att det finns särskilda bestämmelser om personuppgiftsansvar vid sammanhållen journalföring, 6 kap. 7 § och vid personuppgiftsbehandling i nationella och regionala kvalitetsregister, 7 kap. 7 §.

Personuppgifter som får behandlas

7 §

Paragrafen har behandlats i avsnitt 7.3. Enligt paragrafen får endast sådana personuppgifter som behövs för ändamål som anges i 4 § samlas in och vidare behandlas med stöd av patientdatalagen. Alla personuppgifter som behövs för det ändamål för vilket en behandling utförs får alltså behandlas. Kravet på att personuppgifterna ska behövas för att få behandlas innebär att endast sådana uppgifter som behövs för att uppfylla de aktuella ändamålen med personuppgiftsbehandlingen får behandlas. Uppgifter som inte behövs för ändamålen får alltså inte behandlas. De

personuppgifter som får behandlas enligt paragrafen gäller även sådana personuppgiftskategorier som särregleras i personuppgiftslagen (1998:204), dvs. känsliga personuppgifter, 13 §, personuppgifter om lagöverträdelser m.m. 21 § och uppgifter om personnummer, 22 §. I paragrafen nämns särskilt sådana personuppgifter som avses i 21 § personuppgiftslagen. Syftet med detta är att klargöra att uppgifter som avses i 21 § personuppgiftslagen endast får behandlas om det är absolut nödvändigt för ett sådant ändamål som avses i 2 kap. 4 § patientdatalagen. Syftet är också att reglera att även en privat vårdgivare ska kunna behandla personuppgifter av detta slag under förutsättning att det är absolut nödvändigt för ett sådant ändamål.

När det gäller frågan vilka personuppgifter som får behandlas måste även personuppgiftslagens grundläggande krav på att personuppgifterna ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen iakttas. Kraven innebär också att inte fler personuppgifter behandlas än vad som är nödvändigt med hänsyn till ändamålen med behandlingen samt att personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella, se 9 § e-g personuppgiftslagen. Ovidkommande eller onödigt många personuppgifter i förhållande till ändamålen får alltså inte behandlas. Inte heller får uppgifter som direkt pekar ut enskilda, t.ex. personnummer, användas om det är tillräckligt för ändamålet att använda uppgifter som bara indirekt kan härledas till en viss person.

Särskilt viktig är bestämmelsen i personuppgiftslagen att inte fler personuppgifter får behandlas än som är nödvändigt med hänsyn till ändamålen med behandlingen vid sammanhållen journalföring, som innebär att en vårdgivare under vissa förutsättningar har direktåtkomst till andra vårdgivares vårddokumentation, se 6 kap. Konstruktionen med direktåtkomst vid sammanhållen journalföring innebär att det normalt inte ska vara nödvändigt att ladda ner kopior av andra vårdgivares journalhandlingar och bifoga dem till den egna journalföringen. Om en sådan nedladdning och lagring inte bedöms som nödvändig, är den inte tillåten på grund av den aktuella bestämmelsen i personuppgiftslagen. Begreppen ”behövs” i förevarande paragraf och ”nödvändig” i personuppgiftslagen har i huvudsak samma innebörd. Om bevarande och gallring vid sammanhållen journalföring se 6 kap. 8 § patientdatalagen.

Sökbegrepp

8 §

Paragrafen, som i huvudsak motsvarar 7 § lagen (1998:544) om vårdregister, har behandlats i avsnitt 7.5. I första stycket anges som huvudregel att vissa personuppgifter inte får användas som sökbegrepp. Med sökbegrepp brukar man i den s.k. registerlagstiftningen avse begrepp som används som urvalskriterier för att söka fram handlingar som innehåller det aktuella begreppet eller för att med begreppet som utgångspunkt göra sammanställningar av olika slag. Till en början nämns känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204). Härmed avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt uppgifter som rör hälsa eller sexualliv.

Förbjudna sökbegrepp är vidare personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövande, se 21 § personuppgiftslagen. Inte heller får uppgifter om att någon fått bistånd eller varit föremål för andra insatser inom socialtjänsten eller enligt utlänningslagen (2005:716) användas som sökbegrepp.

I andra stycket föreskrivs vissa undantag från förbudet i första stycket. Det är således trots förbudet tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller enligt lagen (1991:1129) om rättspsykiatrisk vård. Uppgifter som rör hälsa kan behöva användas som sökbegrepp för att man snabbt och effektivt ska kunna finna relevanta journalanteckningar från en patients tidigare vårdtillfällen. Förutom i det individinriktade arbetet kan det vid t.ex. verksamhetsuppföljningar vara nödvändigt att göra sammanställningar utifrån sökkriterier som diagnoser och liknande. I sådana sammanhang kan det också vara nödvändigt att som sökbegrepp använda uppgifter om frihetsberövande inom psykiatrin och inom rättspsykiatrin. Även vid verksamhetsplanering – t.ex. då man undersöker framtida tillströmningar av olika patientkategorier – kan det vara nödvändigt att använda sökbegrepp som rör hälsa.

Enligt tredje stycket får regeringen, trots förbudet i första stycket, meddela föreskrifter om att en vårdgivare får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller uppgifter om att någon varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar. Bakgrunden till att etnicitet ska kunna få användas som sökbegrepp är att t.ex. en enskild vårdgivare kan behöva planera, utföra och följa upp hälso- och sjukvård som en del invandrargrupper behöver. Behov kan också uppstå att använda uppgifter av betydelse för smittskyddet samt uppgifter om bistånd och andra insatser inom socialtjänsten som sökbegrepp. Sammanställningar som grundar sig på åtgärder enligt utlänningslagen kan behöva göras för att landstingen ska kunna begära ersättning av staten för vårdinsatser åt asylsökande m.fl. enligt förordningen (1996:1357) om statlig ersättning för hälso- och sjukvård till asylsökande eller förordningen (2002:1118) om statlig ersättning för asylsökande m.fl.

3 kap. Skyldigheten att föra patientjournal

Inledande bestämmelse

1 §

Första stycket, som har behandlats i avsnitt 9.2, överensstämmer helt med 1 § första stycket patientjournallagen (1985:562), se prop. 1984/85:189 s. 35. I andra stycket finns en hänvisning till 6 kap. som innehåller bestämmelser om sammanhållen journalföring.

Syftet med en patientjournal

2 §

Paragrafen, som har behandlats i avsnitt 9.1, anger syftet med att föra patientjournal. Den har inte någon motsvarighet i patientjournallagen (1985:562). Tanken är att bestämmelsen ska vara till vägledning för vårdgivaren i deras informationshantering. Bestämmelsen ger uttryck för att syftet med att föra patientjournal främst är att bidra till en god och säker vård av patienten. En patientjournal ska även vara en informationskälla för patienten, för uppföljning och utveckling av verksamheten, för tillsyn och rättsliga krav, för uppgiftsskyldighet enligt lag samt för forskning.

Personer som är skyldiga att föra en patientjournal

3 §

Paragrafen, som har behandlats i avsnitt 9.2, överensstämmer helt med 9 § första stycket patientjournallagen (1985:562), se prop. 1984/85:189 s. 45f. Arbetsuppgifter, exempelvis journalföring, kan under vissa förutsättningar överlåtas till annan person än som nämns i paragrafen, se 2 kap. 6 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Den som delegerar en arbetsuppgift är ansvarig för att den som tar emot uppgiften kan fullgöra den. Den som får uppgiften genom delegering är själv ansvarig för hur den fullgörs.

Ansvar för uppgifter i en patientjournal

4 §

Paragrafens innehåll överensstämmer med 9 § andra stycket patientjournallagen (1985:562), men vissa språkliga förändringar har gjorts. Se prop. 1984/85:189 s. 46.

En patientjournals innehåll

5 §

Paragrafen, som har behandlats i avsnitt 9.3, anger vilken information som en patientjournal maximalt får innehålla. Paragrafen motsvarar i huvudsak 5 § lagen (1998:544) om vårdregister (se prop. 1997/98:108 s. 94) men gäller även vid manuellt förda journaler. Den här paragrafen innebär att en journal givetvis får innehålla alla de uppgifter som enligt patientdatalagen, annan lag eller annan författning ska antecknas i en patientjournal. Hit hör även sådana handlingar som inkommer från patienten eller andra i samband med vården och som innehåller uppgifter som rör vården av patienten. Av paragrafen följer vidare att även andra uppgifter som behövs för vårddokumentationen får antecknas i en journal. Uppgifter som inte behövs för vårddokumentation får däremot inte föras in i en journal, t.ex. uppgifter som kan vara bra att ha för andra ändamål.

6 §

Paragrafen, som har behandlats i avsnitt 9.3, överensstämmer i huvudsak med 3 § patientjournallagen (1985:562) och anger vilken information som en patientjournal minimalt ska innehålla. Paragrafen behandlades i prop. 1984/85:189 s. 38f samt i Socialutskottets betänkande SoU 1984/85:33 s. 9f. Bestämmelser om att en patientjournal ska innehålla uppgift om information och samtycke som har lämnats enligt lagen (2002:297) om biobanker i hälso- och sjukvården m.m. har flyttats från patientjournallagen till 3 kap. 7 § förstnämnda lag. Bestämmelser om signeringskrav finns i 10 och 12 §§. Kraven på att journalen ska innehålla de uppgifter som behövs för en god och säker vård innebär inget krav på att varje vårdgivare vid sammanhållen journalföring måste ha kompletta uppgifter. En av poängerna med den sammanhållna journalföringen är att dubbeldokumentation ska undvikas.

7 §

Paragrafen, som har behandlats i avsnitt 9.3, motsvarar i huvudsak 5 § lagen (1998:544) om vårdregister, men gäller även vid manuellt förda journaler. Bestämmelsen behandlades i prop. 1997/98:108 s. 72. Syftet med bestämmelsen är att ange hur mycket information som en patientjournal får innehålla. En patientjournal får innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal. Exempel på sådana författningar är 3 kap. 7 § lagen (2002:297) om biobanker i hälso- och sjukvården, 4 kap. 2 § smittskyddslagen (2004:168) och 2 § förordningen (1991:1472) om psykiatrisk tvångsvård och rättspsykiatrisk vård.

8 §

Bestämmelsen, som har behandlats i avsnitt 9.3, är ny. För att rättelse av en journaluppgift ska ske på patientens begäran krävs att patienten och den som ansvarar för uppgiften är ense om felaktigheten. En patients möjlighet att få journaluppgifter utplånade är i realiteten ganska små eller i vart fall omständliga, se 8 kap. 4 § om förstörande av patientjournal som motsvarar 17 § patientjournallagen (1985:562). Den här aktuella bestämmelsen kompletterar bestämmelserna om rättelse och journalförstöring. Den ger den enskilda patienten en möjlighet att markera att han eller hon har en avvikande uppfattning från vad som har antecknats i journalen. Det är fullt tillräckligt att det av anteckningen framgår att patienten har en avvikande uppfattning. Vilken uppfattning patienten har behöver således inte på grund av denna bestämmelse redovisas. Bestämmelsen innebär ingen rätt för patienten att själv skriva i sin journal eller bestämma vad som ska stå i den.

9 §

Paragrafen överensstämmer i sak med 3 § första stycket andra meningen patientjournallagen (1985:562), se prop. 1984/85:189 s. 39ff.

10 §

Paragrafen, som har behandlats i avsnitt 9.3, överensstämmer i sak med 3 § tredje stycket patientjournallagen (1985:562). Bestämmelsen tillkom vid behandlingen av prop. 1984/85:189 i Socialutskottet, se

SoU 1984/85:33 s. 9f. I 12 § ges regeringen eller den myndighet som regeringen bestämmer rätt att meddela föreskrifter om undantag från signeringskravet.

11 §

Paragrafen har behandlats i avsnitt 9.7 och 10.7. Första meningen motsvarar 7 § andra stycket patientjournallagen (1985:562), se prop. 1984/85:189 s. 43f. I andra meningen, som saknar motsvarighet i dag, finns ett undantag från dokumenteringskravet, nämligen om det är fråga om ett utlämnande genom direktåtkomst vid sammanhållen journalföring.

Med begreppet direktåtkomst avses i patientdatalagen att den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av och att mottagaren av informationen inte kan påverka innehållet i det informationssystem som informationen lämnas ut från. Begreppet används i patientdatalagen dels när det är fråga om ett sådant utlämnande över vårdgivargränser eller över en myndighetsgräns, dels när det är fråga om ett sådant utlämnande till den enskilde patienten. Bestämmelser om direktåtkomst har inte sekretessbrytande effekt i sig utan de måste - om andra myndigheter eller enskilda ska kunna medges direktåtkomst till sekretessbelagda uppgifter - kombineras med särskilda sekretessbrytande regler, se avsnitt 7.6. Undantaget från dokumenteringskravet blir tillämpligt vid sammanhållen journalföring, se 6 kap. En patient kan hos en vårdgivare, som deltar i ett sammanhållet journalföringssystem över vårdgivargränser, motsätta sig att uppgifterna om honom eller henne görs tillgängliga för övriga vårdgivare i systemet. Om patienten däremot inte motsätter sig detta, blir uppgifterna utlämnade i den mening som anges i paragrafen. Någon anteckning om ett sådant utlämnande behöver till följd av andra meningen inte göras i patientjournalen. Undantaget i andra meningen är också tillämpligt då en myndighet som bedriver hälso- och sjukvård inom ett landsting eller en kommun har direktåtkomst till personuppgifter till en annan sådan myndighet i samma landsting eller kommun, se 5 kap. 4 § andra stycket, samt när en enskild har direktåtkomst till uppgifter om sig själv som finns hos en vårdgivare, se 5 kap. 5 §. Att den enskilde medges direktåtkomst till uppgifterna innebär att uppgifterna anses utlämnade till denne.

12 §

I första stycket bemyndigas regeringen eller den myndighet regeringen bestämmer att meddela undantag från bestämmelsen att en patientjournal alltid ska innehålla uppgift om en patients identitet såvitt gäller provtagning för viss sjukdom och från bestämmelsen att en journalhandling ska, om inte synnerligt hinder möter, signeras av den som svarar för uppgiften. Det förstnämnda bemyndigandet motsvaras av 18 § 1 patientjournallagen (1985:562), se bl.a. SoU 1985/86:15 s. 31 och prop. 1991/92:104. Det andra bemyndigandet, som har behandlats i avsnitt 9.3, är nytt. Tanken är att Socialstyrelsen ska föreskriva när signering kan underlåtas utan risker för patientsäkerheten. En avvägning ska göras mellan nyttan av signering och det merarbete i vården som signeringskravet innebär.

Andra stycket motsvarar i huvudsak 19 § patientjournallagen, se prop. 1984/85:189 s. 51 och prop. 1991/92:104. När det gäller hantering och förvaring av journalhandlingar se 15 §.

Språket i patientjournaler

13 §

Paragrafen har behandlats i avsnitt 9.4. Den överensstämmer i sak med 5 § och 18 § 2 patientjournallagen (1985:562), se prop. 1984/85:189 s. 42f och 51 och prop. 1991/92:104.

Hantering av journalhandlingar

14 §

Paragrafen, som har behandlats i avsnitt 9.5 och 9.7, överensstämmer helt med 6 § patientjournallagen (1985:562), se prop. 1984/85:189 s. 44f. I 8 kap. 3 § finns bestämmelser om att en personuppgiftsansvarig på begäran av en registrerad ska rätta personuppgifter som inte har behandlats i enlighet med patientdatalagen. I 9 § första stycket h personuppgiftslagen (1998:204) finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ ska vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Rättelser av här berört slag får dock inte strida mot bestämmelserna i denna paragraf.

15 §

Paragrafen motsvarar delvis 19 § patientjournallagen (1985:562), se prop. 1984/85:189 s. 51 och prop. 1991/92:104. Paragrafen har behandlats i avsnitt 9.9. Journalens grundläggande syfte är att tillgodose patientens intresse av en god och säker vård. Journalen fyller också andra viktiga funktioner. Det är mot denna bakgrund nödvändigt att journalhandlingar hanteras och förvaras så att de skyddas mot förstörelse, skada och tillgrepp eller annan obehörig åtkomst. Härav följer bl.a. att journalhandlingarna måste förvaras i säkra lokaler med lämplig inredning. Brand- och vattenskador ska förebyggas. Tillgången till journaler måste vidare ordnas så att inte handlingarna tillgrips eller förstörs. För den allmänna hälso- och sjukvården finns motsvarande bestämmelser i arkivlagen (1990:782). Elektroniska journaler ska skyddas mot obehörig åtkomst. Det sistnämnda innebär inte bara att rutiner måste finnas för vem som ska få ha elektronisk åtkomst, hur åtkomsten ska kontrolleras etc. Sådana regler finns i 4 kap. Regler bör exempelvis finnas om att datorer ska låsas då ingen har tillsynen över dem för att förhindra att obehöriga kan ta del av journalinformation. Regler och råd av här berört slag finns i dag i Socialstyrelsens föreskrifter och allmänna råd (SOSFS 1993:20) om patientjournallagen. Närmare föreskrifter om hur journalhandlingar ska hanteras och förvaras förutsätts även fortsättningsvis tas in i författningar av lägre valör än lag. Därför innehåller paragrafen endast ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter i ämnet. I första hand bör det liksom i dag ankomma på Socialstyrelsen att

meddela sådana föreskrifter. Om föreskrifterna tar sikte på exempelvis generella krav på säkerhetsåtgärder vid personuppgiftsbehandling bör Socialstyrelsen samråda med Datainspektionen innan föreskrifterna beslutas. Enligt 50 § b personuppgiftslagen (1998:204) får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om vilka krav som ställs på den personuppgiftsansvarige vid behandling av personuppgifter. Regeringen har i personuppgiftsförordningen (1998:1191) bemyndigat Datainspektionen att meddela sådana föreskrifter, se 17 §. I avsnitt 17.5 behandlas Socialstyrelsens och Datainspektionens tillsynsansvar.

Skyldighet att utfärda intyg om vården

16 §

Paragrafen har behandlats i avsnitt 9.2. Den överensstämmer helt med 10 § patientjournallagen (1985:562), se prop. 1984/85:189 s. 47. Även uppgifter som finns tillgängliga genom den sammanhållna journalföringen får användas vid utfärdande av intyg, se 6 kap. Den som på patientens begäran ska utfärda intyg om vården får således under vissa förutsättningar bereda sig tillgång till uppgifter som finns tillgängliga i det sammanhållna journalföringssystemet. Detta gäller oavsett om intygsutfärdaren har en aktuell patientrelation med patienten i fråga eller ej, se 6 kap. 3 §.

Bevarande av journalhandlingar

17 §

Paragrafen, som har behandlats i avsnitt 9.6, innebär att ändring görs i förhållande till gällande rätt. I 8 § första stycket patientjournallagen (1985:562) föreskrivs att en journalhandling ska bevaras minst tre år efter det den sista uppgiften fördes in i handlingen. Enligt bestämmelsen får regeringen eller den myndighet som regeringen bestämmer föreskriva att vissa slags journalhandlingar ska bevaras minst tio år (se prop. 1984/85:189 s. 45

)

.

Enligt första stycket i paragrafen ska en journalhandling bevaras minst tio år efter det den sista uppgiften fördes in i handlingen. Bemyndigandet i första stycket gör det möjligt för regeringen eller den myndighet som regeringen bestämmer att meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än tio år. Genom att den lagstadgade bevarandetiden förlängs från tre till tio år torde dock bemyndigandet inte behöva utnyttjas i någon större utsträckning.

Ett exempel då bemyndigandet kan utnyttjas gäller den sammanhållna journalföringen. Det kan bli aktuellt att få meddela föreskrifter om att vårdgivare som deltar i sammanhållen journalföring ska bevara de journalhandlingar som vårdgivaren ansvarar för längre tid än tio år. En anledning till detta kan vara att minska risken för att andra vårdgivare, som bara har tillgång till uppgifterna genom direktåtkomst, ”tankar hem” och lagrar uppgifterna i sitt eget system. Det bör upplysas om att det i annan lag eller författning finns regler om att journalhandlingar ska bevaras under längre tid än tio år. Sådana regler finns exempelvis i 6 kap.

4 § och 7 kap. 6 § lagen (2006:351) om genetisk integritet m.m. och i 5 kap. 7 § Socialstyrelsens föreskrifter (SOSFS 2006:17) om blodverksamhet.

I andra stycket görs en hänvisning till 9 kap. 4 § om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen.

18 §

Paragrafen överensstämmer helt med 8 § andra stycket patientjournallagen (1985:562), se prop. 1984/85:189 s. 45 och prop. 1989/90:72.

Patientjournaler i krig m.m.

19 §

Paragrafen överensstämmer helt med 20 § patientjournallagen (1985:562), se prop. 1984/85:189 s. 52 och prop. 1991/92:104.

4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet

Inre sekretess

1 §

Paragrafen, som har behandlats i avsnitt 11, utgör en precisering av bestämmelsen i 1 kap. 2 § andra stycket såvitt gäller den inre sekretessen och motsvarar i huvudsak 7 § första stycket patientjournallagen (1985:562) se prop. 1984/85:189 och 8 § lagen (1998:544) om vårdregister, se prop. 1997/98:108. Paragrafen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. Bestämmelsen är således teknikoberoende och tillämplig på alla slags dokumenterade personuppgifter om en patient. Den som arbetar hos en vårdgivare får enligt paragrafen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Med vård avses även undersökning och behandling, se 1 § hälso- och sjukvårdslagen (1982:763). Regelns tillämpningsområde är inte begränsad enbart till hälso- och sjukvårdspersonal vid en viss enhet och dess arbete på enheten. Bestämmelsen har generell räckvidd och omfattar all personal oavsett var den tjänstgör och oavsett för vilka syften uppgifterna behövs. Regleringen kompletteras genom bestämmelserna i 2 §, som föreskriver ett uttryckligt ansvar för varje vårdgivare att begränsa personalens elektroniska åtkomst till uppgifter som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården. Den som olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling kan dömas för dataintrång enligt 4 kap. 9 c § brottsbalken. Straffbestämmelsen kan t.ex. bli tillämplig då någon använder sig av sin behörighet för att läsa uppgifter om en patient utan att detta behövs för arbetet. Läsning i utbildningssyfte för att eftersöka förebilder på lämpliga formuleringar har i rättspraxis bedömts i och för sig kunna utgöra dataintrång (RH 2002:36, det s.k. Blommanfallet).

Någon motsvarande straffbestämmelse om att olovligen bereda sig tillgång till en uppgift i pappersjournaler finns inte. Däremot kan, beroende på omständigheterna, andra bestämmelser i brottsbalken bli tillämpliga för sådana manuellt förda journaler, se t.ex. 4 kap. 9 § brottsbalken om intrång i förvar.

Hälso- och sjukvårdspersonal som bryter mot bestämmelserna om inre sekretess t.ex. genom att en person som tillhör hälso- och sjukvårdspersonalen obehörigen har tagit del av uppgifter i en patientjournal kan bli föremål för disciplinpåföljd enligt lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Detta gäller såväl elektroniskt som manuellt förda patientjournaler.

Vid behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier är också 48 § personuppgiftslagen (1998:204) tillämplig, se 10 kap. 1 § patientdatalagen om den personuppgiftsansvariges skyldighet att betala skadestånd till den enskilde för viss behandling av personuppgifter som skett i strid mot patientdatalagen.

Tilldelning av behörighet för elektronisk åtkomst

2 §

Paragrafen har behandlats i avsnitt 11. Enligt första stycket ska en vårdgivare bestämma villkoren för hur personalen ska tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter. Bestämmelsen motsvarar delvis 8 § lagen (1998:544) om vårdregister (vårdregisterlagen) och är tillämplig på elektronisk patientjournalföring och övrig elektronisk patientdokumentation. I stället för att som i 8 § vårdregisterlagen använda begreppet direktåtkomst ska dock begreppet elektronisk åtkomst användas. Begreppet direktåtkomst ska användas i patientdatalagen för att definiera sättet för det elektroniska utlämnandet. Direktåtkomst används vid sammanhållen journalföring samt när det är fråga om en speciell form av elektroniskt utlämnande av personuppgifter till en extern mottagare. När det gäller personalens möjligheter att elektroniskt och automatiskt bereda sig tillgång till personuppgifter som finns elektroniskt tillgängliga i en vårdgivares organisation används alltså i stället begreppet elektronisk åtkomst. Begreppen elektronisk åtkomst och direktåtkomst behandlas i avsnitt 7.6.

Av första stycket framgår att det alltså ingår i vårdgivarens ansvar att närmare bestämma villkoren för personalens åtkomst till uppgifterna. Detta gäller oavsett om landstinget eller kommunen bedriver hälso- och sjukvård genom en eller flera myndigheter. Vid sammanhållen journalföring, se 6 kap. 8 §, tilldelas behörighet enligt samma principer, nämligen att varje vårdgivare prövar sin personals åtkomst till andra vårdgivares journaluppgifter i den sammanhållna journalföringen. Behörigheten ska begränsas till vad som behövs för att befattningshavaren ska kunna utföra sina arbetsuppgifter inom hälso- och sjukvården. En vårdgivare måste först fastställa vilka behov som finns innan behörighetsrutinerna bestäms. Bestämmelsen innebär att en vårdgivare ska göra

aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Då villkoren för behörighetstilldelning bestäms måste också riskanalyser göras. Särskilt viktigt är detta då det gäller tillgängligheten till skyddade personuppgifter, främst sådana personuppgifter som blivit spärrmarkerade av Skatteverket, uppgifter om kända personer och uppgifter från vissa mottagningar som kan bedömas som särskilt känsliga i sammanhanget. En generös behörighetstilldelning innebär ofta en obefogad spridning av personuppgifter. Det räcker således inte att i efterhand kontrollera åtkomstlistor för att konstatera eventuella intrång. I stora, brett tillgängliga system ska normalt olika behörighetsnivåer för personalen finnas. Uppgifter bör lagras i olika ”skikt” så att åtkomsten av mer känsliga uppgifter kräver aktiva val. Sådan information får inte vara lika enkelt åtkomlig för personalen som mindre känslig information. Det ingår i varje vårdgivares ansvar att se till att alla anställda får full information om behörighetsreglerna. En närmare reglering som tar sikte på behörighetstilldelning ska finnas i författningar av lägre valör än lag, se andra stycket.

Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer meddelar närmare föreskrifter i ämnet. Det är förutsatt att Socialstyrelsen ska meddela dessa föreskrifter efter samråd med Datainspektionen.

Kontroll av elektronisk åtkomst

3 §

Paragrafen har behandlats i avsnitt 11. Av första stycket följer att en vårdgivare är skyldig att dokumentera personalens elektroniska åtkomst samt att systematiskt och fortlöpande kontrollera om obehörig åtkomst till uppgifter om patienter har förekommit. Angående termen elektronisk åtkomst se bl.a. författningskommentaren till 2 §. Skyldigheten att kontrollera elektronisk åtkomst gäller oavsett om landstinget eller kommunen bedriver hälso- och sjukvård genom en eller flera myndigheter. Genom att vårdgivaren blir skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlingshistoriken eller loggen) blir det möjligt att göra kontroller i efterhand. Det räcker emellertid inte att göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppgiftskontroller ska göras systematiskt och fortlöpande. När det gäller sammanhållen journalföring se kommentaren till 6 kap. 8 §. Av 8 kap. 5 § framgår att en patient har rätt att på begäran få information om vilken elektronisk åtkomst som har förekommit till elektroniskt behandlade uppgifter om honom eller henne.

Patientdatalagen anger inte närmare hur åtkomstkontrollerna ska ske. Sådana föreskrifter ska meddelas på myndighetsnivå. Av andra stycket framgår att ytterligare föreskrifter i ämnet får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det ska vara Socialstyrelsen som meddelar dessa föreskrifter efter samråd med Datainspektionen. Dessa föreskrifter bör omfatta inte bara hur kontroller ska utföras utan bör också närmare reglera omfattningen av åtkomstdokumentationen och hur länge den ska sparas. Bestämmelserna

kan röra när och av vem en slagning skett i ett elektroniskt system och när en utskrift från en journalhandling gjorts eller, vid sammanhållen journalföring, när en kopia av en journalhandling har laddats ner till en vårdgivare som använt direktåtkomst till annan vårdgivares journalhandling. Föreskrifterna kan också ta sikte på åtkomst via Internet.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 §

Paragrafen har behandlats i avsnitt 11 och 7.6. I första stycket ges patienter en rätt att begära att vårddokumentation spärras för elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Patienten ges genom denna regel ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet ska ses som ett utflöde av föreskriften i 2 a § hälso- och sjukvårdslagen (1982:763) om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Att hänsyn ska tas till patientens självbestämmande och integritet vid personuppgiftsbehandling framgår även av 1 kap. 2 § patientdatalagen som anger syftet med lagen. Det är en förtroendefråga att regleringen av personuppgiftsbehandlingen står i samklang med dessa principer. Spärren gäller endast om uppgiften behövs för vård. Det följer av att det i paragrafen talas om en annan vårdenhet och vårdprocess. Uppgifterna är däremot tillgängliga om vårdgivaren behöver dem exempelvis för kvalitetssäkring av hälso- och sjukvården eller för administration, planering etc. av verksamheten, jfr 2 kap. 4 § första stycket 4 och 5.

Begreppen vårdenhet eller vårdprocess är inte definierade i patientdatalagen. I Socialstyrelsens Termbank definieras vårdenhet som ”organisatorisk enhet som tillhandahåller hälso- och sjukvård”. Det anmärks att varje huvudman avgör avgränsningen i det enskilda fallet. Vårdprocess definieras i Termbanken som ”följd av aktiviteter eller åtgärder som utförs för en patient, avseende ett visst hälsoproblem, mellan inkommen vårdbegäran och avslag av vårdbegäran eller avslut av vårdåtagande”. Avgränsningen av en vårdprocess är således funktionell och inte organisatorisk såsom beträffande vårdenhet. En vårdprocess kan med andra ord inbegripa avgränsbara aktiviteter eller åtgärder hos olika vårdenheter som har ett funktionellt samband. Ofta utgör de privata vårdgivarna en enda enhet. Detta gäller dock inte Praktikertjänst AB, som bedriver verksamhet på många mottagningar spridda över landet. Mottagningarna bör kunna ses som olika enheter. Inom den allmänna hälso- och sjukvården är det naturligt att se varje vårdcentral som en enhet. Ett sjukhus är däremot normalt inte en enda enhet. Hur gränserna närmare ska dras inom en vårdgivares verksamhet bestäms ytterst av varje vårdgivare själv med utgångspunkt i vad som föreskrivs i denna paragraf. Det är självklart att gränserna – inom ramen för vad paragrafen föreskriver – ska dras på ett praktiskt och rimligt sätt för vårdgivaren så att verksamheten inte tyngs med onödig administration. Även inom en vårdenhet eller vårdprocess gäller naturligtvis att endast den befattningshavare ska anses behörig att ta del av uppgifter om en patient som deltar i

vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för sitt arbete.

En patient kan när som helst begära att uppgifterna spärras, alltså även efter det att uppgifterna har gjorts tillgängliga utanför vårdenheten eller vårdprocessen. Uppgifterna får då inte längre göras tillgängliga för andra vårdenheter eller vårdprocesser hos vårdgivaren.

Att uppgifter spärras innebär att de inte finns tillgängliga för andra vårdenheter alternativt vårdprocesser genom elektronisk åtkomst. Med elektronisk åtkomst avses enligt paragrafen personalens möjligheter att elektroniskt bereda sig tillgång till personuppgifter som finns tillgängliga inom vårdgivarens organisation. Någon prövning på förhand av huruvida uppgifterna bör lämnas till den som vill ha tillgång till dem görs bara av den som själv efterfrågar uppgifterna, se vidare avsnitt 7.6. Paragrafen är inte tillämplig när spärrade uppgifter görs tillgängliga för annan vårdenhet eller vårdprocess genom användning av exempelvis e-post eller på diskett och cd-rom. I sådana fall kan alltid den som har den efterfrågade informationen göra en prövning huruvida informationen bör tillhandahållas den som vill ha informationen. Om en patient har klargjort att han eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Att så är fallet får anses följa av den ovan redovisade bestämmelsen i 2 a § hälso- och sjukvårdslagen om respekten för patientens självbestämmande. I JO 1986/87 s. 198 framhåller JO med hänvisning bl.a. till patientens självbestämmande att patientens uttryckliga önskemål i frågan om hans eller hennes journaler ska lämnas mellan kliniker ska respekteras.

Enligt andra stycket har vårdnadshavare till ett barn inte rätt att spärra barnets uppgifter. Med barn avses den som är under 18 år. Avsikten med bestämmelsen är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få erforderligt skydd, 14 kap. 1 § socialtjänstlagen (2001:453). Detta skäl har ansetts väga över den integritetskränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter. I takt med barnets stigande ålder och utveckling får barnet självt spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslås inte några särskilda bestämmelser. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jfr. 6 kap. 11 § föräldrabalken.

Enligt tredje stycket får uppgift om att det finns spärrade uppgifter om en patient vara tillgänglig för andra vårdenheter eller vårdprocesser. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation. Detta skäl har ansetts väga över den integritetskränkning som kan uppstå till följd av att det framgår att det finns spärrade uppgifter. Av 5 § framgår att även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna får göras tillgänglig för andra vårdenheter eller vårdprocesser i situationer då patientens samtycke inte kan inhämtas och de spärrade uppgifterna kan antas ha

betydelse för att patienten ska kunna få vård och behandling som han eller hon oundgängligen behöver.

5 §

Paragrafen har behandlats i avsnitt 11. I första stycket föreskrivs att den spärr som en patient har begärt enligt 4 § första stycket under vissa förutsättningar kan hävas av behörig befattningshavare hos vårdgivaren. Vem som är behörig befattningshavare bestäms av vårdgivarna själva. Rätten att häva spärren är inte begränsad till någon viss vårdenhet eller vårdprocess hos vårdgivaren.

Spärren kan hävas när patienten själv samtycker till det. Här räcker det alltså inte med att patienten inte motsätter sig att behörig personal vid en annan vårdenhet eller vårdprocess tar del av uppgifterna. Det fordras ett samtycke från patientens sida. Det ska vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), dvs. det ska vara frivilligt, särskilt och otvetydigt. Angående dessa begrepps innebörd, se författningskommentaren till 6 kap. 3 §. Samtycket kan lämnas när som helst av patienten. Det behöver alltså inte ske i samband med något vårdtillfälle. Hänvisningen till enbart 4 § första stycket görs för att det beträffande barn, som inte uppnått mognadsgrad att själv kunna spärra sina uppgifter, inte finns spärrade uppgifter att häva, se 4 § andra stycket.

Vidare kan spärren forceras av en annan vårdenhet eller vårdprocess, t.ex. akutmottagningen, om informationen kan antas ha betydelse för den vård eller behandling som patienten oundgängligen behöver. En förutsättning härför är att något samtycke inte kan inhämtas. Det kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. Om patienten i ett sådant läge är oundgängligen i behov av vård eller behandling, får alltså spärren hävas av behörig befattningshavare vid en annan vårdenhet eller vårdprocess. Det ska i princip vara fråga om en allvarlig akutsituation, då patienten på grund av sitt hälsotillstånd eller andra skäl inte kan ta ställning till samtyckesfrågan och då uppgifterna bedöms vara av vital betydelse för de vård- eller behandlingsinsatser som omgående måste sättas in. Det ska alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten ska kunna lämna sitt samtycke. En patient som i denna situation vidhåller en spärr och alltså motsätter sig att någon utanför vårdenheten eller vårdprocessen tar del av uppgifterna, ska respekteras hur ogrundad eller irrationell patientens inställning än kan tyckas vara.

Av paragrafens andra stycke framgår att systemet i en sådan akutsituation ska vara så uppbyggt att uppgift om vid vilken eller vid vilka vårdenheter eller vårdprocesser som det finns spärrade uppgifter i första hand ska göras tillgängliga för den behörige befattningshavaren. Genom att befattningshavaren vet vid vilken eller vid vilka vårdenheter eller vårdprocesser som det finns spärrade uppgifter får han eller hon ytterligare underlag för att bedöma om de spärrade uppgifterna kan ha betydelse för den vård som patienten behöver. Därefter får befattningshavaren bereda sig tillgång till endast sådana uppgifter som kan antas ha betydelse för vården av patienten.

5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet

Bestämmelser i andra lagar

1 §

I paragrafen, som delvis motsvarar 15 § första stycket patientjournallagen (1985:562), erinras om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och hos sådana kommunala företag som avses i 1 kap. 9 § sekretesslagen (1980:100) och begränsningarna i denna rätt enligt tryckfrihetsförordningen och sekretesslagen. Med kommunala företag åsyftas här bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande. Bestämmelsen i 15 § första stycket patientjournallagen behandlades i prop. 1984/85:189 s. 47 och i prop. 1991/92:104 s. 3.

2 §

I paragrafen, som delvis motsvarar 12 § lagen (1998:544) om vårdregister (vårdregisterlagen), hänvisas till att bestämmelser om tystnadsplikt finns i lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, se t.ex. 2 kap. 8 § samma lag. Bestämmelsen i 12 § vårdregisterlagen behandlades i prop. 1997/98:108 s. 101.

Myndighets skyldighet att lämna uppgift ur journal upprättad inom enskild hälso- och sjukvård

3 §

Paragrafen motsvarar i sak 15 § andra stycket patientjournallagen (1985:562). Bestämmelsen behandlades i prop. 1991/92:104 s. 24f.

Utlämnande genom direktåtkomst

4 §

Paragrafen har behandlats i avsnitt 7.6 och 13.2. I paragrafens första stycke föreskrivs att en vårdgivare inte får lämna ut personuppgifter genom att medge direktåtkomst till personuppgifterna i annan utsträckning än som följer av lag eller förordning. Skälet till denna bestämmelse är att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter.

Direktåtkomst används i patientdatalagen för att beskriva en viss form av elektroniskt utlämnande till en extern mottagare och när den som är ansvarig för informationen inte har kontroll över vilka uppgifter som en mottagare vid ett visst tillfälle tar del av – automatiserad tillgång – och att mottagaren av informationen inte kan påverka innehållet i det informationssystem eller register som informationen lämnas ut från. Mottagaren har möjlighet att ta del av innehållet i t.ex. en elektronisk handling utan att för den skull kunna ändra i eller tillföra ny information till de uppgifter som utlämnaren ansvarar för. Se närmare om begreppets innebörd i avsnitt 7.6.

Enligt andra stycket får myndigheter som bedriver hälso- och sjukvård i ett landsting ha direktåtkomst till varandras personuppgifter. Mot-

svarande gäller för myndigheter som bedriver hälso- och sjukvård i en kommun. Bestämmelsen innebär således att uppgifter får lämnas ut i elektronisk form automatiserat, dvs. utan sekretessprövning i varje enskilt fall, mellan myndigheter som bedriver hälso- och sjukvård inom ett landsting eller en kommun. För att hälso- och sjukvårdsmyndigheter inom en vårdgivare ska kunna ges elektronisk tillgång till varandras personuppgifter enligt bestämmelserna i 4 kap. är det i praktiken en förutsättning att ett utlämnande genom direktåtkomst tillåts. Av 4 kap. 2 och 3 §§ följer att vårdgivaren ansvarar för tilldelningen av behörighet för och kontrollen av den elektroniska åtkomsten. Trots att vårdgivaren i vissa fall kan innefatta flera personuppgiftsansvariga myndigheter är det alltså alltid den som är personuppgiftsansvarig som ansvarar för om direktåtkomst medges till dess personuppgifter eller inte. Det förhållandet att direktåtkomst i ett visst fall medges inom en vårdgivarorganisation påverkar dock inte tillämpningen av de bestämmelser som innebär andra begränsningar av möjligheterna att i en specifik vårdsituation få tillgång till personuppgifter, t.ex. reglerna om spärrning av personuppgifter enligt 4 kap. Bestämmelsen om direktåtkomst har inte heller i sig någon sekretessbrytande verkan. Det följer dock av den föreslagna bestämmelsen i 7 kap. 1 § c sjätte stycket 1 sekretesslagen (1980:100) att uppgifter ska kunna lämnas ut mellan myndigheterna utan hinder av sekretess i dessa fall.

Vidare erinras i tredje stycket om att en enskild kan medges direktåtkomst till uppgifter om sig själv, 5 §, att direktåtkomst får förekomma vid sammanhållen journalföring, 6 kap., samt att en vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret, 7 kap. 9 §. I framtiden kan det bli aktuellt att tillåta direktåtkomst till personuppgifter i andra situationer. När det gäller annat elektroniskt utlämnande än direktåtkomst, se 6 §.

5 §

Paragrafen har behandlats i avsnitt 12.2. Av första stycket framgår att en enskild kan medges direktåtkomst till sådana uppgifter om sig själv som behandlas för ändamålet vårddokumentation och som får lämnas ut till honom eller henne. Paragrafen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direktåtkomst utan endast en möjlighet till detta. Paragrafen syftar till att en vårdgivare ska kunna ge en patient direktåtkomst till sin vårddokumentation. Inget hindrar att journaluppgifterna lämnas ut till den enskilde på medium för automatiserad behandling, se 6 §. Det är förutsatt att den som begär och medges åtkomst till sina journaluppgifter också informeras om vart han eller hon kan vända sig för att få hjälp att tyda journaluppgifterna. En direktåtkomst behöver inte innebära en tillgång till samtliga journaluppgifter om den enskilde. Direktåtkomsten kan av vårdgivaren begränsas till vissa uppgifter, t.ex. uppgifter om behandlande läkare, kontaktuppgifter till vårdgivare, diagnoser, överkänslighet och förskrivna läkemedel. Uppgifter som är särskilt känsliga för patienten bör undantas från direktåtkomsten. Den enskildes direktåtkomst till personuppgifter får givetvis inte avse uppgifter för vilka sekretess gäller i förhållande till honom eller henne, se 7 kap.3 och 6 §§sekretesslagen (1980:100). Det framgår av att det i paragrafen

föreskrivs att endast uppgifter som får lämnas ut kan omfattas av direktåtkomsten. Frågan om vilka uppgifter inom den allmänna hälso- och sjukvården som får lämnas ut ska prövas av den myndighet där uppgifterna förvaras, se 2 kap. 14 § tryckfrihetsförordningen. Myndighetens beslut att inte lämna ut uppgifter får överklagas av den enskilde hos domstol, 15 kap. 7 § sekretesslagen. När det gäller den enskilda hälso- och sjukvården finns bestämmelser som motsvarar bestämmelserna i 7 kap.3 och 6 §§sekretesslagen om när sekretess gäller i förhållande till den enskilde, se 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. I 8 kap. 2 § patientdatalagen föreslås en bestämmelse om rätten att få ta del av en journalhandling inom den enskilda hälso- och sjukvården. Socialstyrelsens beslut att inte lämna ut en journalhandling eller någon del av den får överklagas i enlighet med bestämmelserna i 15 kap. 7 § sekretesslagen, se hänvisningen i 10 kap. 2 § andra stycket patientdatalagen.

Då direktåtkomst innebär att någon sekretessprövning inte sker varje gång någon tar del av uppgifter om sig själv, måste sekretessfrågan prövas i samband med att vårdgivaren ger patienten direktåtkomst. Sekretessfrågan kan naturligtvis någon gång behöva omprövas efter det att direktåtkomst har medgetts. En sekretessprövning måste vidare göras varje gång som nya uppgifter görs tillgängliga för den enskilde. Den enskilde får under samma förutsättningar som gäller för direktåtkomst till uppgifter om den enskilde själv medges direktåtkomst till logglistor som avser elektronisk åtkomst till uppgifter om den enskilde.

Av andra stycket framgår att regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i första stycket. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det måste också finnas tekniska lösningar att spärra uppgifter som inte kan lämnas ut till en patient på grund av att sekretess gäller för dem i förhållande till patienten. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela sådana föreskrifter.

Utlämnande på medium för automatiserad behandling

6 §

Paragrafen, som innebär en avvikelse från 9 § lagen (1998:544) om vårdregister, har behandlats i avsnitt 7.6. Paragrafen tar sikte på utlämnande på medium för automatiserad behandling. Sådant utlämnande kan avse utlämnande genom e-post, diskett och cd-rom för att bara ta några exempel. Utmärkande för sådant utlämnande är att den som gör utlämnandet vid varje överföringstillfälle vidtar någon manuell aktivitet som kan jämställas med ett beslut om överföring och en sekretessprövning avseende den information som mottagaren får del av. Utlämnande av personuppgifter på medium för automatiserad behandling är en form av behandling av personuppgifter enligt 3 § personuppgiftslagen (1998:204) som är tillåten förutsatt att utlämnandet sker i enlighet med de ändamål som är bestämda för personuppgiftsbehand-

lingen och att kraven på en god informationssäkerhet upprätthålls. Direktåtkomst har ansetts vara en så integritetskänslig form av elektroniskt utlämnande att det anges i lagen när det får förekomma, se 4 §. När det gäller annat elektroniskt utlämnande på medium för automatiserad behandling finns däremot inga begränsningar i patientdatalagen. Av tydlighetsskäl föreskrivs i förevarande paragraf att en personuppgift kan lämnas ut på medium för automatiserad behandling under förutsättning att personuppgiften får lämnas ut. Det sistnämnda villkoret syftar på att uppgiften inte kan lämnas ut om sekretess gäller för uppgiften. Möjligheten att lämna ut en personuppgift på medium för automatiserad behandling innebär således inte att sekretessen bryts.

6 kap. Sammanhållen journalföring

Direktåtkomst till uppgifter hos en annan vårdgivare

1 §

I avsnitt 7.6 och 10 har de närmare förutsättningarna för en sammanhållen journalföring och innebörden av denna utvecklats. Reglerna om sammanhållen journalföring har samlats i 6 kap. Se även avsnitt 8 om en sammanhållen journal. I paragrafen föreskrivs att en vårdgivare – under de villkor som anges i 2 § detta kapitel – får ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare för ändamål som rör vårddokumentation. Beträffande forskningsändamål se avsnitt 16.1. Angående innebörden av direktåtkomst, se avsnitt 7.6.

Genom den sammanhållna journalföringen ges en tillgänglighet till uppgifter om patienter som i praktiken låter informationen följa patienterna i olika vårdkedjor och vårdprocesser. Varken denna paragraf eller någon annan paragraf i patientdatalagen styr över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Det är en fråga som vårdgivarna själva får bestämma över. Däremot måste naturligtvis systemen utformas och anpassas efter de särskilda krav som lagen uppställer för sammanhållen journalföring. Grundidén med sammanhållen journalföring är alltså att en vårdgivare under vissa förutsättningar kan få ta del av en annan vårdgivares vårddokumentation.

Tillgången till information sker genom att en vårdgivare gör de uppgifter om en patient som vårdgivaren registrerar om patienten tillgängliga för andra vårdgivare som deltar i det sammanhållna journalföringssystemet. Även om den som har direktåtkomst till uppgifter har möjlighet att kopiera och ”hämta hem” dessa från en annan vårdgivare till ett eget lokalt system, bör sådan kopiering och lagring undvikas. Risken är annars att den ”egna” journalen på sikt kommer att tyngas av svåröverskådlig information. I förlängningen kan då den sammanhållna journalföringen bli oanvändbar för hälso- och sjukvården. Det är också från integritetssynpunkt önskvärt att samma slags uppgifter inte lagras på mer än ett ställe. Ett syfte med den sammanhållna journalföringen är att onödig dubbeldokumentation ska undvikas. Självfallet kan det någon gång vara motiverat med denna typ av ”hemtankning”, men det bör alltså så långt som möjligt undvikas, jfr 2 kap. 7 §.

Direktåtkomsten behöver inte avse alla patientuppgifter utan kan omfatta endast delar av det som dokumenteras i en patientjournal eller andra patientuppgifter. Paragrafen medger således att vårdgivarna bygger upp system i vilket exempelvis bara vissa medicinska basfakta blir tillgängliga. Det kan röra sig om sammanhållen journalföring avseende läkemedel. Ett annat exempel är det nationella informationssystemet för patientjournalföring m.m. av vaccinationer som för närvarande utvecklas i Smittskyddsinstitutets projekt SVEVAC. Det är alltså möjligt att låta bara vissa vårdenheter delta i ett sammanhållet journalföringssystem. Paragrafen medger också att vårdgivarna skapar patientöversikter av olika slag, som innehåller bara vissa grundfakta om patienter, t.ex. identitetsuppgifter om patienten, patientens primärvårdskontakt på hemorten, provbunden diagnostik, förskrivna läkemedel, diagnoser och remissvar från röntgen.

Inom den allmänna hälso- och sjukvården gäller normalt sekretess enligt 7 kap. 1 c § sekretesslagen (1980:100) för de uppgifter som görs tillgängliga i den sammanhållna journalföringen. I 7 kap. 1 c § sjätte stycket 2 sekretesslagen föreslås emellertid ett undantag från sekretessen, som innebär att sekretessen inte hindrar att uppgifter lämnas till en myndighet som bedriver verksamhet som avses i första stycket eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Någon sekretessprövning ska alltså inte behöva göras då uppgifter registreras i exempelvis en elektronisk journal och därmed görs tillgängliga för andra vårdgivare i det sammanhållna journalsystemet. För den enskilda hälso- och sjukvården gäller tystnadspliktsbestämmelsen i 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Tystnadsplikten innebär ett förbud mot att obehörigen röja uppgifter om enskilds hälsotillstånd eller andra personliga förhållanden. Vid tolkningen av detta obehörighetsrekvisit brukar ledning sökas i sekretesslagens regler. Den bestämmelsen bör därför kunna tolkas på motsvarande sätt som 7 kap. 1 c § sjätte stycket 2 sekretesslagen när det gäller tillgängliggörande av uppgifter i sammanhållen journalföring. Till detta kommer den föreslagna regleringen i patientdatalagen som anger förutsättningarna för den sammanhållna journalföringen. Det innebär att en privat vårdgivare kan göra uppgifter tillgängliga, om de i detta kapitel angivna förutsättningarna är uppfyllda.

I avsnitt 10.3 diskuteras olika aspekter på hur bestämmelserna om allmänna handlingar i 2 kap. tryckfrihetsförordningen förhåller sig till reglerna om sammanhållen journalföring.

Patientens inflytande vid sammanhållen journalföring m.m.

2 §

Paragrafen, som har utformats i enlighet med Lagrådets förslag, har behandlats i avsnitt 7.6, 10.2 och 17.1. Av första stycket framgår att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem. Möjligheten omfattar emellertid inte uppgift om att det finns spärrade uppgifter om patienten och uppgift om vilken vårdgivare som har spärrat uppgifterna. Dessa uppgifter får göras tillgängliga, se andra

stycket. Bestämmelsen kräver inte att den enskilde ska lämna ett uttryckligt och informerat samtycke till att uppgifter om honom eller henne får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring utan innebär endast att patienten har en möjlighet att motsätta sig detta. Bestämmelsen ger uttryck för vad man kan kalla för en opt outmodell eller, om man så vill, en ordning i vilket ett tyst samtycke gäller för att journaluppgifter görs tillgängliga för andra vårdgivare. Att patienten kan motsätta sig ett tillgängliggörande innebär inte att han eller hon har rätt att motsätta sig att uppgifter journalförs i det elektroniska system som vårdgivaren använder. Det innebär bara att uppgifterna på den enskildes begäran spärras för tillgänglighet hos andra vårdgivare. En spärrning kan på patientens begäran avse samtliga uppgifter utom dem som anges i andra stycket eller bara vissa uppgifter. Inget hindrar att en spärrning kan göras endast i förhållande till någon eller vissa vårdgivare som deltar i det sammanhållna journalsystemet.

I det fall det är fråga om vårdgivare som bedrivs offentligt omfattas journalhandlingar och annan vårddokumentation av 2 kap. tryckfrihetsförordningens bestämmelser om allmänna handlingar. I och med att de spärrade uppgifterna inte är tekniskt tillgängliga för övriga vårdgivare är de inte att anse som förvarade och inkomna hos de offentligt drivna vårdgivarna och därmed inte heller allmänna handlingar hos dessa, se vidare i sistnämnda fråga avsnitt 10.3.

Att uppgifterna är spärrade innebär alltså att andra vårdgivare inte har någon direktåtkomst till uppgifterna. Den spärrade informationen kan inte läsas av extern personal.

Av andra stycket framgår att det i ett system för sammanhållen journalföring däremot får ingå uppgift om att det finns spärrade uppgifter. Syftet med detta är att kännedomen om att det finns spärrade uppgifter kan initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation. Även uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgänglig för andra vårdgivare som deltar i systemet med sammanhållen journalföring. De andra vårdgivarna får dock bara ta del av den sistnämnda uppgiften under de förutsättningar som anges i 4 §. Systemet ska därför vara uppbyggt på så sätt att andra vårdgivare ska kunna ta del av uppgift om att det finns spärrade uppgifter om en patient utan att ta del av uppgiften om vilken vårdgivare som har spärrat uppgifterna.

I tredje stycket föreskrivs att patienten innan uppgifterna om patienten görs tillgängliga för andra vårdgivare ska informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom ett sådant system. Att patienten på detta tidiga stadium ska informeras om den sammanhållna journalföringen bygger på respekten för patientens självbestämmande och integritet och att vården och behandlingen så långt som möjligt ska utformas och genomföras i samråd med patienten. Hur informationen ska lämnas överlåts åt varje personuppgiftsansvarig att bestämma. Något krav på att informationen ska ges i viss form – muntlig eller skriftlig – finns inte. Det är dock viktigt att den personuppgiftsansvarige utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Säkra rutiner ligger i den personuppgiftsansvariges eget intresse, eftersom denne – då det gäller information

till en registrerad vid personuppgiftsbehandling – anses ha bevisbördan för att obligatorisk information faktiskt har lämnats till patienten. När det gäller t.ex. patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.

Ibland kan naturligtvis inte informationen lämnas på ett så tidigt stadium som föreskrivs i paragrafen. Inom hälso- och sjukvården är det vanligt att patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling innan uppgifter om patienten registreras. Patienten kan vara medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Däremot ska informationen lämnas när patienten kan tillgodogöra sig den igen. Det är vidare inte nödvändigt att information lämnas vid varje kontakttillfälle med en patient under förutsättning att inget tvivel råder om att patienten är införstådd med vad den sammanhållna journalföringen innebär.

Patientdatalagen innehåller inga särskilda bestämmelser om hur icke beslutskompetenta personer ska informeras om sammanhållen journalföring. Frågan om information till sådana personer får hanteras på samma sätt som i dag. Det innebär att informationen kan behöva lämnas till någon behörig ställföreträdare eller någon nära anhörig. Inte heller finns det i lagen några särskilda regler om hur barn och ungdomar ska informeras. Huruvida informationen ska lämnas till en ställföreträdare, är ytterst en lämplighetsfråga som får lösas med hänsyn till bl.a. till den unges ålder och utveckling.

Av fjärde stycket framgår att uppgifterna genast ska spärras, om patienten motsätter sig sammanhållen journalföring, och att en patient när som helst kan begära att den vårdgivare som har spärrat uppgifterna häver spärren. En patient kan alltså begära att uppgifter om honom eller henne spärras även efter det att uppgifterna har gjorts tillgängliga för andra vårdgivare. Det bör normalt sett inte innebära någon olägenhet för patienten att uppgifterna spärras efter det att de har gjorts tillgängliga i det sammanhållna journalföringssystemet. Tanken är nämligen att vårdgivarna normalt inte ska ladda ner andra vårdgivares journalhandlingar för att bifoga dem till den egna journalföringen. Risken är annars att den ”egna” journalen på sikt kommer att tyngas av svåröverskådlig information. Det är inte heller från integritetssynpunkt önskvärt med en sådan kopiering, jfr 2 kap. 7 §. Det är den vårdgivare som lagt in spärren som ska häva den. Det fordras inte att patienten själv har kontakt med just den vårdgivare som lagt in spärren när patienten vill häva spärren. Det kan exempelvis ske i samband med att patienten senare besöker en annan vårdgivare. Om patienten då vill häva spärren, får den senare vårdgivaren meddela den vårdgivare som har spärrat uppgifterna att patienten vill ha spärren hävd. Patientens önskan att häva spärren bör dokumenteras på lämpligt sätt, exempelvis i patientens journal.

Enligt andra meningen i fjärde stycket har vårdnadshavare till ett barn inte rätt att spärra barnets uppgifter. Med barn avses den som är under 18 år. Skälet till detta är att öka vårdpersonalens möjligheter att upptäcka barn som far illa och att bedöma om anmälan ska göras till socialnämnden för att barnet ska få erforderligt skydd, se 14 kap. 1 § socialtjänstlagen (2001:453). Dessa skäl har ansetts väga över den integritets-

kränkning som kan uppstå till följd av att vårdnadshavare inte kan spärra sitt barns uppgifter. I takt med barnets stigande ålder och utveckling får barnet själv spärra uppgifterna. Beträffande barnets mognadsgrad att själv få avgöra om uppgifter ska spärras föreslås inte några särskilda bestämmelser. Barn och tonåringar bör hanteras på motsvarande sätt som i den övriga verksamheten inom hälso- och sjukvården. I takt med den underåriges stigande ålder och utveckling ska allt större hänsyn tas till barnets önskemål och vilja, jfr. 6 kap. 11 § föräldrabalken.

Av sista stycket framgår att ospärrade uppgifter om patienten ska göras tillgängliga för de vårdgivare som är anslutna till systemet. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av sistnämnda uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig och övriga uppgifters innehåll. Bestämmelsen, som har behandlats i avsnitt 10.4, har införts mot bakgrund av att handlingar med ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla vårdgivare som är anslutna till ett system med sammanhållen journalföring, se avsnitt 10.3. Bestämmelsen medför att en vårdgivare – utan att ta del av känsliga uppgifter – kan se om det finns ospärrade uppgifter avseende en person i systemet eller inte. Syftet med bestämmelsen är att en vårdgivande myndighet som är ansluten till ett system med sammanhållen journalföring ska kunna pröva om en begäran om utfående av en allmän handling avseende en viss person kan avslås redan på den grunden att det inte förvaras någon sådan handling hos myndigheten, utan att myndigheten ska behöva ta del av ospärrade uppgifter när förutsättningar för det saknas enligt patientdatalagen. Bestämmelsen kompletteras av en ny bestämmelse i 7 kap. 1 c § sekretesslagen (1980:100), se avsnitt 10.4. Enligt den bestämmelsen gäller absolut sekretess hos en vårdgivande myndighet för uppgift om enskilds personliga förhållanden om dessa uppgifter har gjorts tillgängliga hos myndigheten av en annan sådan myndighet eller av en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring och förutsättningarna för att myndigheten ska få behandla uppgiften enligt 6 kap.3 eller 4 §§patientdatalagen inte är uppfyllda. Sekretessbestämmelsen blir tillämplig om en slagning i systemet för sammanhållen journalföring visar att det finns ospärrade uppgifter avseende den person, som en begäran om utfående av allmänna handlingar avser, och vårdgivaren saknar befogenhet enligt patientdatalagen att ta del av uppgifterna. Eftersom uppgifterna i ett sådant fall omfattas av absolut sekretess behöver myndigheten inte ta del av uppgifterna för att avgöra sekretessfrågan.

3 §

I denna paragraf regleras när en vårdgivare, som är ansluten till ett sammanhållet journalföringssystem, får behandla en annan vårdgivares uppgifter om en patient som inte är spärrade. Av första stycket, som närmare har behandlats i avsnitt 10.2, framgår att tre villkor ska vara uppfyllda för att en vårdgivare ska få behandla ospärrade uppgifter som annan vårdgivare har registrerat, nämligen att de aktuella uppgifterna rör en patient som vårdgivaren har en aktuell patientrelation med, att uppgifterna kan antas ha betydelse för vården av den patienten samt att patienten samtycker till det.

Kravet att det ska finnas en aktuell patientrelation för att vårdgivaren ska få behandla uppgifterna ska inte uppfattas som någon regel om inre sekretess. Kravet anger endast en allmän förutsättning för när en vårdgivare över huvud taget får behandla uppgifter som vårdgivaren har tillgång till genom direktåtkomst till annan vårdgivares information som vårdgivaren medgetts genom den sammanhållna journalföringen. Huruvida en patientrelation över huvud taget föreligger med en enskild person är normalt enkelt att konstatera. En patientrelation anses vanligen som avslutad då en intagen sjukhuspatient skrivs ut såsom färdigbehandlad och det inte finns några inplanerade återbesök, efterkontroller eller liknande. Detsamma bör gälla om patienten skrivs ut för fortsatt vård eller uppföljning hos öppen primärvård i annan vårdgivares regi. Mer tveksamt kan det vara huruvida en husläkare, och därmed den vårdgivare husläkaren hör till, ska anses ha en ständig aktuell patientrelation med alla de personer som tecknat sig hos läkaren. Så bör normalt inte bedömas vara fallet, men beträffande sådana patienter som regelbundet och relativt frekvent besöker eller har kontakt med sin husläkare kan en annan bedömning göras. Av kravet på att det ska finnas en aktuell patientrelation följer att det inte är tillåtet för en vårdgivare att i en behandlingssituation med en patient söka efter och behandla journaluppgifter avseende en annan patient som vårdas hos en annan vårdgivare, t.ex. en nära släkting med samma sjukdomsdiagnos.

Ytterligare ett krav för att en vårdgivare ska få behandla uppgifter som inte är spärrade är att uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården. Denna regel innebär att en vårdgivare som deltar i ett sammanhållet journalföringssystem inte – med undantag från vad som anges i andra stycket – får utnyttja direktåtkomsten till andra vårdgivares uppgifter för andra syften än vård och behandling. Definitionen av hälso- och sjukvård framgår av 1 kap. 3 § i den föreslagna lagen. Med rekvisitet – förebygga, utreda eller behandla sjukdomar och skador – avses även åtgärder på grund av ett visst tillstånd som exempelvis infertilitet, se definitionen av hälso- och sjukvård som framgår av 1 kap. 3 § i den föreslagna lagen. Rekvisitet – kan antas ha betydelse – förutsätter att den som avser bereda sig tillgång till ospärrade uppgifter gör något aktivt ställningstagande till vilken betydelse uppgifterna kan ha. Det ska på goda grunder kunna antas att uppgifterna har någon betydelse. Samtidigt kan inte alltför stora krav ställas på en vårdgivare. För att ta ett exempel torde det normalt kunna antas sakna betydelse för den somatiska vården av en patient att ta del av vad som antecknats hos en psykiatrisk öppenvårdsmottagning i ett annat landsting för flera år sedan.

För att en vårdgivare ska få behandla ospärrade uppgifter krävs också att patienten samtycker till det. I den situationen räcker det således inte att patienten inte motsätter sig att vårdgivaren tar del av uppgifterna. Det fordras ett aktivt samtycke från patientens sida. Det ska vara ett sådant samtycke som avses i personuppgiftslagen (1998:204), dvs. det ska vara frivilligt, särskilt och otvetydigt. Kravet på att samtycket ska vara frivilligt ger uttryck för att den enskilde verkligen ska ha ett val. En registrerad kan vidare enligt personuppgiftslagen inte lämna ett giltigt generellt samtycke till personuppgiftsbehandling som inte är preciserad till något eller några ändamål. Det följer av kravet på att samtycket ska

vara särskilt. Att samtycket ska vara otvetydigt anses innebära att det inte får råda någon tvekan om att den registrerade godtar personuppgiftsbehandlingen. Det är lämpligt att samtycket dokumenteras även om det inte finns något formellt krav på detta. Samtycket ska givetvis föregås av att patienten får information om vad han eller hon samtyckt till. Inget hindrar att ett samtycke lämnas i förväg innan den aktuella patientrelationen har uppstått. Många gånger kan det vara en praktisk ordning att patienten redan i samband med att uppgifter om honom eller henne görs tillgängliga i ett sammanhållet journalsystem samtycker till att annan vårdgivare senare får ta del av uppgifterna. Detta är möjligt under förutsättning att samtycket är särskilt och otvetydigt. Ett praktiskt exempel på då samtycke kan lämnas i förväg är då patienten befinner sig i en vårdprocess som inbegriper flera olika vårdgivare och där patienten skickas runt mellan dessa i ett remissförfarande. Patientdatalagen innehåller inga särregler för vuxna patienter som tillfälligt eller varaktigt brister i sin beslutsförmåga eller om i vilken utsträckning ungdomar kan lämna samtycke. Se härom författningskommentaren till 2 §.

Av andra stycket framgår att en vårdgivare under vissa förutsättningar får behandla ospärrade uppgifter i ett sammanhållet journalföringssystem för att utfärda intyg om en patients vård, se avsnitt 10.2.

Paragrafens tredje stycke reglerar när vårdgivare får behandla sådana uppgifter som en vårdnadshavare inte har rätt att spärra enligt 2 § tredje stycket sista meningen. För att en vårdgivare ska få behandla sådana uppgifter om ett barn krävs att förutsättningarna som anges i 3 § är uppfyllda med undantag för förutsättningen om samtycke.

4 §

Paragrafen, som har utformats i enlighet med Lagrådets förslag, har behandlats i avsnitt 10.2. Om det finns spärrade uppgifter om en patient och det föreligger fara för patientens liv eller annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren enligt första stycket om patienten inte kan begära att spärren hävs enligt 2 § fjärde stycket, ta del av uppgiften om vilken eller vilka vårdgivare som har spärrat uppgifterna. Sistnämnda uppgift ska ligga till grund för vårdgivarens bedömning om spärren för uppgifterna om patienten ska hävas eller inte. Genom att vårdgivaren kan se vid vilken eller vilka vårdgivare som det finns spärrade uppgifter kan vårdgivaren bedöma om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Endast en spärr för uppgifter som kan antas ha sådan betydelse får hävas. Vårdgivaren ska i sådana fall begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren. Rekvisitet ”kan antas ha betydelse” förutsätter att den som avser bereda sig tillgång till uppgifterna gör något aktivt ställningstagande till vilken betydelse uppgifterna kan ha, se närmare därom i 3 § i författningskommentaren. Det bör vara den eller de behöriga befattningshavarna hos vårdgivaren som ges denna åtkomst respektive får behandla uppgifterna. Vem som är behörig befattningshavare bestäms av vårdgivaren.

Självfallet ska i första hand patienten själv begära att en spärr hävs eller att samtycke inhämtas. Det kan emellertid av olika skäl vara omöjligt. Med förutsättningarna att fara föreligger för patientens liv eller att det annars föreligger allvarlig risk för dennes hälsa avses att det i princip

ska vara fråga om en allvarlig situation då de spärrade uppgifterna bedöms vara viktiga för den vård eller behandling som omgående måste sättas in. Det ska alltså av hänsyn till patientsäkerheten inte vara möjligt att avvakta en tid för att patienten ska kunna häva spärren (en akut nödsituation). Patienten är kanske medvetslös eller alltför medtagen för att kunna ta ställning till frågan. Vidare kan saken brådska så att det inte finns någon tid att invänta att patienten häver spärren eller att inhämta samtycke. Det ska alltså vara sådana och liknande skäl som gör att patientens val att häva en spärr inte kan inväntas eller att samtycke inte kan inhämtas.

Av andra stycket framgår att motsvarande bestämmelser, som anges i första stycket, även ska gälla i akuta nödsituationer beträffande ospärrade uppgifter som har gjorts tillgängliga av andra vårdgivare i systemet med sammanhållen journalföring när patientens samtycke inte kan inhämtas enligt 3 §. Eftersom uppgifterna är ospärrade behöver dock inte enligt andra stycket sista meningen vårdgivaren som behandlar patienten i den akuta nödsituationen vända sig till andra vårdgivare med någon begäran, jfr. 4 § första stycket sista meningen.

Uppgifter som finns om en patient hos en vårdgivare kan även i undantagsfall lämnas till en annan vårdgivare utan att det är fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sammanhållet journalföringssystem. Exempelvis om en patient på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till ett utlämnande, kan uppgifter om en enskild utan hinder av sekretess under vissa förhållanden lämnas från en vårdgivare till en annan, se bestämmelsen som föreslås i 7 kap. 1 c § sjunde stycket sekretesslagen (1980:100).

5 §

Paragrafen har behandlats i avsnitt 10.2. I 2 kap. 3 § finns ett klargörande av att även sådan personuppgiftsbehandling som i och för sig inte är tillåten enligt patientdatalagen får utföras, om den enskilde uttryckligen har samtyckt till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller av förordning. I förevarande paragraf föreskrivs ett undantag från denna princip. Enligt undantaget får en vårdgivare inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det. Bland annat därför att direktåtkomst är en särskilt integritetskänslig form av elektroniskt utlämnande av personuppgifter, har det ansetts viktigt att den inte används för andra ändamål än de angivna, inte ens med patientens samtycke.

Personuppgiftsansvar vid sammanhållen journalföring

6 §

Paragrafen har behandlats i avsnitt 10.5. Enligt 2 kap. 6 §, den allmänna bestämmelsen i patientdatalagen om personuppgiftsansvar, är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommuner är enligt den paragrafen en myndighet personuppgiftsansvarig för den behandling av per-

sonuppgifter som myndigheten utför. Bestämmelsen är tillämplig även vid personuppgiftsbehandling vid sammanhållen journalföring. Regeln innebär bl.a. att den vårdgivare som gör en personuppgift tillgänglig för andra genom att uppgiften dokumenteras utan att spärras har personuppgiftsansvaret för att det sker på ett lagligt sätt. I ansvaret ingår att patienten i skede ett ges information om den sammanhållna journalföringen. Personuppgiftsansvaret omfattar även den fortsatta lagringen och det tillgängliggörande som sker därefter. Den vårdgivare som använder sin direktåtkomst och bereder sig tillgång till andra vårdgivares uppgifter för att söka efter och läsa personuppgifter är personuppgiftsansvarig för den personuppgiftsbehandling som detta innebär. I första stycket denna paragraf ges emellertid regeringen eller den myndighet som regeringen bestämmer möjlighet att vid behov närmare reglera personuppgiftsansvaret för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder. När det gäller sådana frågor torde – lite beroende på organisation och samarbetsformer i det enskilda fallet – regeln i 2 kap. 6 § innebära att ansvaret delas solidariskt mellan de samarbetande vårdgivarna. En sådan ordning framstår inte alltid som naturlig. Om exempelvis allas vårddokumentation lagras och behandlas i en gemensam databas som administreras av endast en av vårdgivarna, t.ex. ett landsting – som också i praktiken dikterar villkoren för de andra vårdgivarnas deltagande i systemet – kan det tala för att det aktuella landstinget bör anses ha ett personuppgiftsansvar för övergripande frågor. Eftersom det vidare inte alltid är helt klart hur det förhåller sig med personuppgiftsansvaret i övergripande frågor vid gränsöverskridande personuppgiftsbehandling, kan det finnas ett behov av en tydlig reglering av personuppgiftsansvaret i dessa frågor. Regeringen eller den myndighet som regeringen bestämmer bemyndigas därför att meddela föreskrifter när det gäller personuppgiftsansvaret för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

I andra stycket erinras om den allmänna bestämmelsen om personuppgiftsansvar i 2 kap. 6 § i den föreslagna lagen.

Behörighetstilldelning och åtkomstkontroll

7 §

I denna paragraf, som har behandlats i avsnitt 11, finns en hänvisning till 4 kap. 2 §, som ålägger en vårdgivare att bestämma villkor för tilldelning av behörighet för åtkomst till uppgifter om patienter som förs helt eller delvis automatiserat och till 4 kap. 3 §, som bl.a. ålägger en vårdgivare att genomföra åtgärder som innebär att åtkomsten till sådana uppgifter dokumenteras och kan kontrolleras. Av förevarande paragraf framgår att en vårdgivare har samma skyldigheter när det gäller direktåtkomst till andra vårdgivares patientuppgifter genom sammanhållen journalföring. Socialstyrelsen förutsätts efter samråd med Datainspektionen meddela närmare föreskrifter om behörighetstilldelning och åtkomstkontroll även vid sammanhållen journalföring.

Bevarande och gallring

8 §

Paragrafen har behandlats i avsnitt 10.6. Grundregeln om bevarande och gallring av patientjournaler finns i 3 kap. 17 §. Där föreskrivs att en journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. I vissa fall får föreskrivas om längre bevarandetid. För journalhandlingar som utgör allmänna handlingar gäller därutöver bl.a. arkivlagen (1990:782). Första stycket innebär att varje vårdgivare som deltar i ett sammanhållet journalföringssystem ansvarar för bevarandet av de ospärrade journaluppgifter som vårdgivaren själv gör tillgängliga i det sammanhållna journalföringssystemet. Sådant ansvar åvilar alltså inte en vårdgivare som endast har en potentiell tillgång till dessa uppgifter. Det innebär i princip att det är endast en, inte flera, vårdgivare som ansvarar för bevarandet och arkivbildningen av journalhandlingar. Detta gäller även om en vårdgivare bereder sig tillgång till en annan införande vårdgivares journalhandling, så länge inte journalhandlingen ”tankas hem” och lagras av den förstnämnde vårdgivaren. En tanke med den sammanhållna journalföringen är dock att en vårdgivare inte ska behöva hämta hem och lagra en annan vårdgivares journalhandlingar. Dubbeldokumentation ska undvikas. Ibland lär det dock för att patientsäkerheten ska tillgodoses vara nödvändigt att göra detta. En sådan åtgärd innebär att vårdgivaren framställer en ny handling. Bevarandet och hanteringen av den nya handlingen följer samma regler som gäller för övriga journalhandlingar som har sitt ursprung i den egna verksamheten.

Enligt andra stycket får en myndighet gallra journalhandlingar och andra handlingar som är tillgängliga för myndigheten endast genom direktåtkomst vid sammanhållen journalföring. Denna gallringsregel behövs bl.a. för att inte någon av de i en sammanhållen journalföring deltagande myndigheterna ska bli arkivansvarig för privata vårdgivares journalhandlingar eller andra handlingar som myndigheten potentiellt sett har tillgång till, jfr 3 § första stycket arkivlagen.

7 kap. Nationella och regionala kvalitetsregister

Inledande bestämmelse

1 §

I patientdatalagen finns vissa särbestämmelser som bara gäller för nationella och regionala kvalitetsregister. Dessa register och verksamheten knuten till dem har utförligt behandlats i avsnitt 15. I paragrafen definieras kvalitetsregister som en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. I patientdatalagen används alltså registerbegreppet för att beskriva här aktuella uppgiftssamlingar. Inom hälso- och sjukvården förs kvalitetsregister på olika nivåer. De kan föras lokalt av en vårdgivare men också gemensamt av flera vårdgivare. Särbestämmelserna, som finns intagna i detta kapitel, är bara tillämpliga på nationella och regionala kvalitetsregister. Med ett nationellt eller ett regionalt kvalitetsregister avses en automatiserad och

strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematisk och fortlöpande utveckla och säkra vårdens kvalitet. I sådana register samlas personuppgifter och annan information som rapporteras till registret från flera vårdgivare inom ett landsting, exempelvis landstinget och de privata vårdgivarna i landstinget, eller inom en eller flera av landets sex sjukvårdsregioner eller i hela landet. Utmärkande för dessa register är att de sammanställda uppgifterna kan användas för att på olika nivåer öka vårdens kvalitet genom jämförelser mellan olika vårdgivare. Särbestämmelserna i detta kapitel ska tillämpas på alla nationella och regionala kvalitetsregister. Det saknar således betydelse om statligt bidrag utgår till stöd för driften av registret. När det gäller sekretessfrågor som uppstår i samband med överföring av uppgifter i kvalitetsregisterrapporteringen, se den föreslagna bestämmelsen 7 kap. 1 c § sjätte stycket 3 i sekretesslagen (1980:100) och avsnitt 15.9. De lokala kvalitetsregistren omfattas alltså inte av särbestämmelserna i detta kapitel. De regleras av patientdatalagens allmänna bestämmelser, se bl.a. 2 kap. 4 § 4. I system där den elektroniska journalföringen är integrerad med kvalitetsregisterrapporteringen är patientdatalagens bestämmelser om journalföring och annan vårddokumentation tillämpliga på den personuppgiftsbehandling som sker på den lokala vårdinrättningen för vårddokumentationsändamål medan särbestämmelserna för nationella och regionala kvalitetsregister är tillämpliga i fråga om den del av hanteringen som utgör eller syftar till central hantering, bearbetning, lagring m.m. i kvalitetsregistret. Den närmare innebörden av ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet framgår av författningskommentaren till 4 §.

Den enskildes inställning till behandling i kvalitetsregister

2 §

Paragrafen har behandlats i avsnitt 15.5. Av första stycket framgår att en enskild har rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. I lagen uppställs inget krav på något samtycke från den enskilde i den mening som avses i personuppgiftslagen (1998:204) som förutsättning för personuppgiftsbehandling i ett nationellt eller regionalt kvalitetsregister. I stället ges den enskilde en möjlighet att motsätta sig personuppgiftsbehandlingen. Det är en ordning som i praktiken innebär att tyst samtycke räcker för personuppgiftsbehandling i ett kvalitetsregister. Inget hindrar naturligtvis en vårdgivare från att tillämpa en ordning där samtycke inhämtas. I många fall är det i hög grad lämpligt att det görs. Den enskilde ska som huvudregel före personuppgiftsbehandlingen informeras om rätten att motsätta sig den, se 3 §.

Av andra stycket följer att uppgifterna i registret ska utplånas, om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats. Syftet med att uppgifterna ska utplånas är att den enskildes rätt att motsätta sig personuppgiftsbehandlingen annars riskerar att bli rent illusorisk med hänsyn till att personuppgiftsbehandlingen kan komma att påbörjas redan innan den enskilde informerats om registret, se 3 § andra stycket. Att uppgifterna ska utplånas innebär att de ska förstöras så att de inte kan återskapas, se 8 kap. 3 § patientdatalagen och 28 § personuppgiftslagen.

Det räcker således inte med att överföra den elektroniska informationen till pappershandlingar.

Information

3 §

Paragrafen har behandlats i avsnitt 15.6. Av första stycket framgår att den enskilde ska informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Det är den personuppgiftsansvarige som ska se till att informationen lämnas. Vem som faktiskt ska lämna informationen regleras inte i lagen. Informationsskyldigheten följer av patientdatalagens allmänna bestämmelser i 8 kap. 6 § om information som ska lämnas till den enskilde. Informationen ska lämnas innan personuppgiftsbehandlingen påbörjas. Som framgår av andra stycket kan dock informationen lämnas efter det att personuppgiftsbehandlingen har påbörjats, om det inte är möjligt att lämna den tidigare. I paragrafen föreskrivs att informationen ska ha det innehåll som framgår av 8 kap. 6 §. Därutöver ska den enskilde upplysas om hans eller hennes rätt att när som helst få uppgifter om sig själv utplånade ur registret. Denna rätt innefattar bl.a. en rätt att motsätta sig behandlingen även sedan den har påbörjats, se 2 §. Vidare ska den enskilde upplysas om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än den enskilde själv eller hans eller hennes patientjournal, t.ex. om uppgifter inhämtas genom samkörning med andra register. Den enskilde ska också upplysas om huruvida och i så fall till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Det finns inga föreskrifter om hur informationen ska lämnas. Det har överlåtits åt varje personuppgiftsansvarig att bestämma. Det är förutsatt att varje personuppgiftsansvarig utarbetar rutiner för hur informationsskyldigheten ska fullgöras. Det åligger också den personuppgiftsansvarige att tillse att informationen är utformad på ett sätt som kan förstås av den enskilde. När det gäller patienter som inte talar svenska bör den personuppgiftsansvarige se till att någon översätter informationen eller att det finns skriftliga informationsblanketter på flera språk.

Av andra stycket framgår att personuppgiftsbehandlingen kan påbörjas, om det inte är möjligt att lämna informationen dessförinnan. Det kan vara omöjligt att lämna information på grund av patientens hälsotillstånd. I sådana situationer ska informationen lämnas så snart som möjligt därefter.

Kvalitetsregisters ändamål

4 §

Av paragrafen, som har behandlats i avsnitt 15.2, framgår till en början att ändamålsbestämmelserna 2 kap. 4 och 5 §§ inte är tillämpliga vid personuppgiftsbehandling i nationella och regionala kvalitetsregister. I 31 § hälso- och sjukvårdslagen (1982:763) föreskrivs att kvaliteten inom verksamheten systematiskt och fortlöpande ska utvecklas och säkras. Motsvarande bestämmelser om kvalitetssäkring finns även i 16 §

tandvårdslagen (1985:125). En speciell form av kvalitetssäkringsarbete är den som är knuten till kvalitetsregisterverksamheten. I denna paragraf slås fast att personuppgifter får behandlas i nationella och regionala kvalitetsregister för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Det ändamål som anges i paragrafen är det primära ändamålet med de nationella och regionala kvalitetsregistren. Ändamålet anger en yttersta ram för när personuppgifter får samlas in och fortsättningsvis behandlas i nationella och regionala kvalitetsregister. Eftersom det primära ändamålet är tämligen generellt utformat, är det förutsatt att det i sin tur bryts ner i mer preciserade ändamål. Att så sker är nödvändigt för att personuppgiftslagens (1998:204) krav på att ett ändamål ska vara särskilt uppfyllt. Det primära ändamålet är bestämmande för vilka personuppgifter som över huvud taget får behandlas i nationella och regionala kvalitetsregister, se 8 §. Av 5 § framgår att insamlade personuppgifter får behandlas också för vissa andra, efterkommande ändamål.

5 §

I paragrafen, som har behandlats i avsnitt 15.2, anges att personuppgifter i nationella och regionala kvalitetsregister som har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet också får behandlas för vissa andra, sekundära ändamål. Dessa sekundära ändamål är framställning av sådan statistik rörande hälso- och sjukvård som inte är en del av kvalitetssäkringsarbetet, forskning inom hälso- och sjukvårdsområdet, utlämnande till tredje man samt fullgörande av viss uppgiftsskyldighet.

Med statistik avses här sådan statistik som ska användas för andra ändamål än att förbättra vårdens kvalitet. Det kan röra sig om statistik som framställs för att ge särskilt underlag åt politiker och administratörer för planering av verksamheten inom hälso- och sjukvården eller för att informera allmänheten om verksamheten. Om statistiken syftar till kvalitetssäkring, exempelvis återrapporteringar som framställs i kvalitetssäkringsarbetet, omfattas det av det primära ändamålet kvalitetssäkring. Det sekundära ändamålet forskning medger att personuppgifter, som har samlats in för kvalitetssäkringsarbete, också får användas i forskning inom hälso- och sjukvårdsområdet. Till forskning är också att hänföra epidemiologiska studier. Att det i paragrafen talas om hälso- och sjukvårdsområdet innebär att forskningen kan avse även sådana frågor som inte uteslutande tar sikte på medicinsk forskning. Till hälso- och sjukvårdsområdet hör också exempelvis hälsoekonomiska frågor. Ändamålet forskning i paragrafen utgör inget undantag från lagen (2003:460) om etikprövning av forskning som avser människor och den lagens krav på etikprövning. Utlämnande till tredje man får förekomma bara om mottagaren av uppgifterna ska använda dem för att själv systematiskt och fortlöpande utveckla och säkra vårdens kvalitet, framställa statistik eller bedriva forskning inom hälso- och sjukvårdsområdet. Fullgörande av uppgiftsskyldighet kan avse uppgiftsskyldighet enligt 14 kap. 1 § sekretesslagen (1980:100) eller 2 kap.8 och 9 §§ lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område. Däremot utgör utlämnande med stöd av 15 kap. 5 § sekretesslagen inget sekundärt ändamål. Skälet härtill är att det är svårt att överblicka vilket uppgifts-

utlämnande som en tillämpning av 15 kap. 5 § sekretesslagen kan leda till. Utlämnande kan alltid ske enligt 2 kap. tryckfrihetsförordningen, se 8 § personuppgiftslagen (1998:204).

6 §

Paragrafen har behandlats i avsnitt 15.2. Av paragrafen framgår att de ändamål för vilka personuppgifter i ett nationellt eller regionalt kvalitetsregister får behandlas enligt 4 och 5 §§ är uttömmande. Det är av hänsyn till enskildas personliga integritet som inga andra ändamål är tillåtna. Detta innebär bl.a. att personuppgifter som redan har samlats in för att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet i ett visst avseende inte får behandlas för något annat ändamål, även om det nya ändamålet i och för sig inte kan anses som oförenligt med det ursprungliga, jfr 9 § första stycket d personuppgiftslagen (1998:204). Dock kan med den enskildes uttryckliga samtycke personuppgifter om honom eller henne behandlas för något annat ändamål än för vilka de har samlats in, se 2 kap. 3 §.

Personuppgiftsansvar

7 §

Paragrafen har behandlats i avsnitt 15.3. Enligt den grundläggande bestämmelsen i 2 kap. 6 § om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen är varje vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. I landsting och kommuner är dock en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Den bestämmelsen gäller i och för sig även personuppgiftsbehandling i nationella och regionala kvalitetsregister. I första stycket finns emellertid en särreglering av personuppgiftsansvaret för nationella och regionala kvalitetsregister. Regleringen innebär att för sådan personuppgiftsbehandling i nationella och regionala kvalitetsregister som sker på central nivå ska bara myndigheter få vara personuppgiftsansvariga. Den personuppgiftsbehandling som avses enligt paragrafen är central organisering, lagring, bearbetning eller annan central behandling. Personuppgiftsansvaret för administration och hantering av personuppgifter på central registernivå kan således inte ligga på någon enskild, exempelvis en specialistförening, se dock andra stycket. När det gäller annan personuppgiftsbehandling som vårdgivare utför i nationella och regionala kvalitetsregister – exempelvis insamling och rapportering – ska dock huvudregeln tillämpas, dvs. varje vårdgivare ansvarar för sin personuppgiftsbehandling.

I andra stycket finns ett undantag från huvudregeln i första stycket enligt vilket regeringen eller den myndighet som regeringen bestämmer får besluta om att även enskild verksamhet får vara personuppgiftsansvarig för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister. Möjligheten att få besluta om undantag har tillkommit av det skälet att det framstår som mindre lämpligt att stora samlingar av typiskt sett integritetskänsliga personuppgifter samlas i

enskild verksamhet utan att förutsättningarna för detta närmare övervägs i varje särskilt fall.

I tredje stycket finns en hänvisning till den grundläggande bestämmelsen om personuppgiftsansvar vid behandling av personuppgifter enligt patientdatalagen.

Personuppgifter som får behandlas

8 §

Paragrafen har behandlats i avsnitt 15.4. I första stycket föreskrivs att det bara är sådana uppgifter som får behandlas som behövs för det primära ändamålet att i nationella och regionala kvalitetsregister systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Någon närmare precisering än så finns alltså inte när det gäller vilka uppgifter som får tas in i ett nationellt eller regionalt kvalitetsregister, se dock andra och tredje styckena. Att endast uppgifter som behövs för det primära ändamålet får behandlas innebär att personuppgifter som inte direkt behövs för detta ändamål utan enbart skulle vara bra att ha i exempelvis framtida forskningsprojekt inte får samlas in och vidare behandlas.

Enligt andra stycket får en enskilds personnummer eller namn behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för ändamålet med behandlingen inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den enskilde. Paragrafen utgår alltså från förutsättningen att kvalitetsregister i första hand ska bygga på användningen av kodade personuppgifter eller indirekt utpekande personuppgifter, t.ex. ålder, kön och hemort i kombination med sjukdomsrelaterade uppgifter, i stället för direkt utpekande personuppgifter. Exempel på då behandling av personnummer kan vara tillåten är att registeruppgifterna ska samköras med andra register för kvalitetssäkringsändamål. Ett annat skäl kan vara att patienter ska följas upp över lång tid.

I tredje stycket föreskrivs att känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas endast om regeringen eller den myndighet som regeringen bestämmer för särskilt fall har medgett detta. Med känsliga personuppgifter avses enligt 13 § personuppgiftslagen uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse eller medlemskap i fackförening. Enligt den sistnämnda paragrafen är även personuppgifter som rör hälsa eller sexualliv känsliga personuppgifter. Uppgifter som rör hälsa får alltså behandlas i nationella och regionala kvalitetsregister, medan behandling av övriga känsliga personuppgifter kräver tillstånd av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att det blir Datainspektionen som, efter samråd med Socialstyrelsen, kommer att pröva dessa frågor. Av bestämmelserna i 2 kap. 3 §, som reglerar verkan av den enskilde registrerades uttryckliga samtycke, följer emellertid att andra känsliga personuppgifter än sådana som rör hälsa kan behandlas i ett kvalitetsregister utan stöd i förordning, om den enskilde uttryckligen samtycker till detta. Det är viktigt att det av informationen till den

enskilde i ett sådant fall klart framgår att ett uttryckligt samtycke omfattar just dessa slags personuppgifter.

Utlämnande genom direktåtkomst

9 §

Paragrafen, som har behandlats i avsnitt 15.7, ger en vårdgivare rätt att ha direktåtkomst till sådana personuppgifter i ett kvalitetsregister som vårdgivaren tidigare har rapporterat in till registret. Angående innebörden av begreppet direktåtkomst, se avsnitt 7.6. Tanken med direktåtkomst är att den ska kunna användas av den inrapporterande vårdgivaren för att göra t.ex. lokala uppföljningar av den egna verksamheten. Paragrafen behövs med hänsyn till föreskriften i 5 kap. 4 § att direktåtkomst är tillåten endast i den utsträckning som anges i lag eller förordning. Här anges således ett fall då direktåtkomst är tillåten.

Bevarande och gallring

10 §

Paragrafen har behandlats i avsnitt 15.8. Enligt första stycket ska personuppgifter i ett nationellt eller regionalt kvalitetsregister gallras när de inte längre behövs för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Kravet på gallring är uppfyllt om personuppgifterna avidentifieras så att de inte längre kan knytas till den enskilde. Handlar det om kodade uppgifter, kan det räcka med att kodnyckeln förstörs. Det får dock inte vara möjligt att med s.k. bakvägsidentifikation identifiera individerna. Informationen får inte heller på annat sätt indirekt kunna hänföras till en individ. Även i kvalitetsregister som förs fortlöpande och fylls på med nya personuppgifter, ska gallring regelbundet ske av äldre uppgifter så snart de inte längre behövs för verksamheten.

I andra stycket finns ett undantag från huvudregeln i första stycket om gallring. Enligt undantaget får arkivmyndigheten i det landsting eller den kommun till vilken den personuppgiftsansvariga myndigheten hör meddela föreskrifter om att personuppgifterna trots allt får bevaras under längre tid, om det sker för historiska, statistiska eller vetenskapliga syften.

Av tredje stycket framgår att regeringen eller den myndighet som regeringen bestämt kan meddela undantag från huvudregeln om gallring samtidigt som det med stöd av 7 § andra stycket föreskrivs att en enskild ska få vara personuppgiftsansvarig för den personuppgiftsbehandling som sker på central nivå.

8 kap. Rättigheter för den enskilde

Rätt att ta del av uppgifter

1 §

Paragrafen innehåller en erinran om den enskildes rätt att ta del av allmänna handlingar hos den allmänna hälso- och sjukvården och begränsningarna i denna rätt. En begäran om att få del av en allmän handling kan exempelvis aktualiseras om en patient begär att få en utskrift av en logglista enligt 2 kap. 13 § tryckfrihetsförordningen. Någon motsvarande rätt har inte patienter att få logglistor från den enskilda hälso- och sjukvården. I 5 § finns dock en bestämmelse som är tillämplig på både den allmänna och enskilda hälso- och sjukvården och som ålägger vårdgivare att lämna patienter information om den elektroniska åtkomst och direktåtkomst som förekommit till uppgifter om patienten.

2 §

Paragrafen har behandlats i avsnitt 12.1. Den överensstämmer med 16 § första och tredje styckena patientjournallagen (1985:562), se prop. 1984/85:189 och prop. 1991/92:104, dock med ett undantag. Enligt 16 § första stycket patientjournallagen ges patienten rätt att på begäran och efter att ha fått saken prövad få ta del av sin journal inom hälso- och sjukvården. Det är emellertid inte ovanligt att en yrkesutövare inom hälso- och sjukvården får en begäran från t.ex. en närstående som önskar ta del av en avliden patients journalhandlingar. Till skillnad från vad som föreskrivs i 16 § patientjournallagen föreslås därför i paragrafens första stycke patientdatalagen att även en närstående till patienten har rätt att få sin behörighet att få ta del av patientens journal prövad.

I 4 kap.4 a och 6 a §§ lagen (2002:297) om biobanker i hälso- och sjukvården m.m. föreslås bestämmelser om utlämnande av en journalhandling på begäran av den som fått tillgång till kodat humanbiologiskt material.

Rättelse

3 §

Paragrafen har behandlats i avsnitt 9.5 och 17.2. Den överensstämmer i princip med 13 § lagen (1998:544) om vårdregister. Den behandlades i prop. 1997/98:108 s. 87. Enligt första stycket är paragrafen tillämplig vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens (1998:204) bestämmelser om rättelse gäller enbart vid rättelse av personuppgifter som har behandlats i enlighet med personuppgiftslagen. Genom denna paragraf görs bestämmelserna i personuppgiftslagen tillämpliga även då uppgifter behandlats i strid mot patientdatalagen. Enligt andra stycket får en rättelse dock inte strida mot 3 kap. 14 §. Där föreskrivs bl.a. att uppgifter i en journalhandling inte får utplånas eller göras oläsliga i andra fall än då Socialstyrelsen enligt 8 kap. 4 § patientdatalagen beslutar att en patientjournal helt eller delvis

ska förstöras. I 9 § första stycket h personuppgiftslagen finns en bestämmelse om att den personuppgiftsansvarige på eget initiativ ska vidta alla rimliga åtgärder för att bl.a. rätta sådana personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålen med behandlingen. Inte heller en sådan rättelse får strida mot bestämmelserna i 3 kap. 14 §.

Förstörande av patientjournal

4 §

Paragrafen har behandlats i avsnitt 9.7. Paragrafens första stycke överensstämmer i stort med 17 § patientjournallagen (1985:562), se prop. 1984/85:189 s. 49f och prop. 1991/92:104. Bestämmelserna om överklagande i 17 § tredje och fjärde styckena har dock flyttats till ett särskilt kapitel i patientdatalagen, se avsnitt 18. Såsom Lagrådet har påtalat är Socialstyrelsen restriktiv när det gäller förstörande av patientjournaler. Som godtagbara skäl accepteras uppgifter som inte har med vården av patienten att göra och som därför inte bör stå i journalen, dvs. uppgifter som är helt ovidkommande för vårdsituationen. Om journalen innehåller felaktig uppgift som avser vården av patienten, ska en sådan uppgift i första hand ändras i stället för att strykas.

Enligt 17 § patientjournallagen ska alltid den som ansvarar för en journalhandling beredas tillfälle att yttra sig innan Socialstyrelsen slutligt prövar ansökan om förstöring. Ett yttrande från den som ansvarar för journalen har betydelse för bedömning av om uppgifterna behövs för patientens vård. Däremot kan det vara obehövligt att hämta in yttrande från vården vid fall då det är uppenbart att en ansökan om förstöring av uppgifter i patientjournalen kommer att avslås på grund av att det finns skäl från allmän synpunkt att bevara uppgifterna. Till detta kommer att förvaltningslagens (1986:223) regler om handläggning av ärenden även är tillämpliga. Av dessa skäl föreslås att skyldigheten att alltid bereda den som ansvarar för en journalhandling tillfälle att yttra sig innan beslut om förstöring, tas bort. I paragrafens andra stycke föreslås därför att den som ansvarar för en journalhandling får beredas tillfälle att yttra sig innan ansökan om förstöring slutligen prövas.

Att den som ansvarar för journalhandlingen får beredas tillfälle att yttra sig innan ansökan slutligt prövas innebär inget krav på att andra vårdgivare som är anslutna till ett system för sammanhållen journalföring ska få tillfälle att yttra sig.

Information

5 §

Paragrafen, som har behandlats i avsnitt 11.3, föreskriver i första stycket att en patient har rätt att få information om den direktåtkomst och elektroniska åtkomst som förekommit till patientens uppgifter. Närmare om direktåtkomst och elektronisk åtkomst, se avsnitt 7.6. Paragrafen är tillämplig inom både den allmänna och enskilda hälso- och sjukvården. Skyldigheten att lämna information är mer långtgående än den skyldighet som den allmänna hälso- och sjukvården har enligt tryckfrihets-

förordningen att lämna ut allmänna handlingar och 15 kap. 4 § sekretesslagen (1980:100) att lämna uppgifter ur allmänna handlingar. Avsikten är att informationen ska vara anpassad och klargörande för den enskilde i syfte att han eller hon enkelt ska kunna tillgodogöra sig den. Den information som lämnas måste alltså vara begriplig och vägledande för patienten när han eller hon själv ska bilda sig en uppfattning om huruvida åtkomsten varit befogad eller inte. Det bör t.ex. tydligt framgå när och från vilken enhet inom hälso- och sjukvården en slagning har skett. Vid sammanhållen journalföring bör vidare varje vårdgivare kunna redovisa vilken åtkomst till den egna verksamhetens journaluppgifter som har förekommit från andra vårdgivare. Även dessa andra mottagande vårdgivare bör kunna redovisa när direktåtkomst har använts. Hur informationen närmare ska utformas framgår dock inte av lagen. Den frågan har överlämnats till regeringen eller den myndighet som regeringen bestämmer, se andra stycket. Någon rätt för patienten att överklaga ett beslut med anledning av patientens begäran om information finns inte.

Enligt andra stycket får regeringen eller den myndighet som regeringen bestämmer meddela närmare föreskrifter om den information som ska ges till patienterna. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela dessa föreskrifter.

6 §

Paragrafen har behandlats i avsnitt 17.1. Första och andra styckena överensstämmer till stora delar med 11 § lagen (1998:544) om vårdregister. Sistnämnda bestämmelse behandlades i prop. 1997/98:108 s. 80. Vissa tillägg har dock gjorts. I punkten 4 nämns den uppgiftsskyldighet som kan följa av lag eller förordning, inte bara uppgiftsskyldighet som följer av lagen (1998:543) om hälsodataregister. Skälet härtill är att det finns en mängd andra föreskrifter som föreskriver uppgiftsskyldighet, se exempel härpå i författningskommentaren till 2 kap. 4 och 5 §§. Av informationen ska framgå vilka föreskrifter om uppgiftsskyldighet som kan bli aktuella. Det räcker således inte att allmänt informera om att uppgiftsskyldighet förekommer. Punkten 6, rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras och punkten 7 rätten enligt 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit, är nya. Punkten 10 om att information ska ges till den registrerade om rätten till skadestånd har utformats i enlighet med Lagrådets förslag.

Det bör åvila den personuppgiftsansvarige att skapa rutiner som garanterar att informationsskyldigheten fullgörs. Det krävs dock inte att vårdpersonalen i varje enskilt fall lämnar muntlig information innan personuppgiftsbehandlingen utan informationsskyldigheten kan fullgöras genom t.ex. broschyrer.

I tredje stycket hänvisas till andra bestämmelser i patientdatalagen som föreskriver att information ska lämnas. Enligt 6 kap. 2 § ska en patient informeras om vad sammanhållen journalföring innebär innan uppgifter om patienten görs tillgängliga för andra vårdgivare och om att patienten kan motsätta sig den sammanhållna journalföringen. I 7 kap. 3 § föreskrivs att den enskilde ska, utöver vad som sägs i första stycket, få viss

information innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister.

Andra rättigheter enligt denna lag

7 §

I 8 kap. finns bestämmelser som erinrar och föreskriver om rättigheter av olika slag för den enskilde. I denna paragraf erinras om andra bestämmelser i patientdatalagen som innebär rättigheter för den enskilde. Enligt 3 kap. 8 § ska anteckning göras i en patientjournal, om patienten anser att en uppgift i journalen är oriktig. Av 4 kap. 4 § framgår att en patient har rätt att begära att vårddokumentation spärras från elektronisk åtkomst för andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. I 6 kap. 2 § föreskrivs att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem och att patienten innan uppgifterna om honom eller henne görs tillgängliga för andra vårdgivare ska informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig den. Bestämmelserna i 7 kap. 2 och 3 §§ innebär att en enskild har rätt att inte bli registrerad i ett nationellt eller regionalt kvalitetsregister och att den enskilde ska informeras innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister.

9 kap. Omhändertagande och återlämnande av patientjournal

Förutsättningar för omhändertagande

1 §

Detta kapitel motsvarar 1113 §§patientjournallagen (1985:562). Bestämmelserna är tillämpliga på både manuella och elektroniska journalhandlingar. Ord som omhändertagande, handha och förvaras har behållits i lagtexten, även om de kanske närmast leder tanken till manuella handlingar, jfr betänkandet Ordning och reda bland allmänna handlingar, SOU 2002:97, som dock ännu inte lett till någon lagstiftning. Paragrafen har behandlats i avsnitt 9.8. Paragrafen överensstämmer med 11 § första och andra styckena patientjournallagen. Sistnämnda bestämmelse behandlades i prop. 1991/92:104 s. 22. Dock har regeln i paragrafens första stycke som hänvisar till patientdatalagen eller de föreskrifter som meddelats med stöd av lagen ändrats. Då avsikten är att även verkställighetsföreskrifter ska meddelas, vilka då kommer att beslutas med stöd av regeringsformen och inte den föreslagna lagen föreskrivs i paragrafen i stället ”eller föreskrifter som meddelats i anslutning till lagen.”

Förutsättningar för återlämnande

2 §

Paragrafen har behandlats i avsnitt 9.8. Paragrafen överensstämmer helt med 11 § tredje stycket patientjournallagen (1985:562), se prop. 1991/92:104 s. 23.

Ansvaret för omhändertagna journaler

3 §

Paragrafen har behandlats i avsnitt 9.8. Paragrafen överensstämmer helt med 12 § första stycket patientjournallagen (1985:562), se prop. 1991/92:104 s. 24.

Bevarande av omhändertagna journaler

4 §

Paragrafen har behandlats i avsnitt 9.8. Paragrafen överensstämmer helt med 12 § andra stycket patientjournallagen (1985:562), se prop. 1991/92:104 s. 24.

Verkställighet av beslut om omhändertagande

5 §

Paragrafen har behandlats i avsnitt 9.8. Paragrafen överensstämmer helt med 13 § patientjournallagen (1985:562), se prop. 1991/92:104 s. 20f.

10 kap. Skadestånd och överklagande

Skadestånd

1 §

Paragrafen har behandlats i avsnitt 17.3. Den överensstämmer i sak med 14 § lagen (1998:544) om vårdregister. Den behandlades i prop. 1997/98:108 s. 86. Den är tillämplig vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Personuppgiftslagens (1998:204) bestämmelser om skadestånd gäller enbart vid överträdelser av den lagen. Genom denna paragraf görs bestämmelserna tillämpliga även då uppgifter behandlas i strid mot patientdatalagen. Enligt 48 § personuppgiftslagen ska den personuppgiftsansvarige ersätta den registrerade för skada och kränkning av den personliga integriteten som en behandling av personuppgifter i strid med lagen har orsakat. Således är det den personuppgiftsansvarige som även enligt patientdatalagen har det skadeståndsrättsliga ansvaret för en behandling av personuppgifter som stått i strid med lagen. Som framgår av 2 kap. 6 § är det i landsting och kommuner en myndighet som är personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. Talan om eventuellt skadestånd ska dock väckas mot den juridiska personen, dvs. landstinget eller kommunen. Vid sammanhållen journalföring ska patientdatalagens allmänna regler om personuppgiftsansvar gälla. Det innebär att myndigheter inom hälso- och sjukvården liksom privata vårdgivare är personuppgiftsansvariga för den behandling av personuppgifter som de utför. Regeringen får emellertid meddela föreskrifter om vem som ska ha personuppgiftsansvar när det gäller

övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring. Förslaget innebär att det överlämnas åt de privata vårdgivarna, landstingen och kommunerna att inom lagens ramar närmare bestämma samarbetsformer, teknisk organisering, omfattning och andra parametrar vid sammanhållen journalföring. Det är av vikt för den enskilde att personuppgiftsansvaret tydliggörs i detta hänseende så att han eller hon snabbt kan få klart för sig mot vem ett eventuellt skadeståndskrav kan riktas.

Om bestämmelser som avser verksamhetsregleringen i patientdatalagen inte följs, kan skadeståndsskyldighet uppstå till följd av reglerna i skadeståndslagen (1972:207). Ett exempel härpå kan vara att någon anteckning inte görs om att en patient anser att en uppgift rörande honom eller henne i en journal är oriktig eller missvisande, se 3 kap. 8 §.

Överklagande

2 §

Paragrafen har behandlats i avsnitt 18.

Paragrafens första stycke överensstämmer i sak med 17 § tredje och fjärde styckena patientjournallagen (1985:562), se prop. 1984/85:189 s. 49f och prop. 1991/92:104, och med 14 § patientjournallagen. Sistnämnda paragraf behandlades i prop. 1991/92:104 s. 20f.

Paragrafens andra stycke överensstämmer helt med 16 § fjärde stycket patientjournallagen, se prop. 1984/85:189 s. 49 och prop. 1991/92:104.

Paragrafens tredje stycke innehåller beträffande sådan behandling av personuppgifter som avses i 1 kap. 4 § patiendatalagen en upplysning om att också personuppgiftslagen (1998:204) innehåller bestämmelser om överklaganden. Sedan den 1 januari 2007 innehåller personuppgiftslagen bl.a. en ny bestämmelse (52 §) om överklagande av myndigheters beslut om information enligt 26 § den lagen, om rättelse och underrättelse till tredje man enligt 28 §, om information enligt 29 § andra stycket och om upplysningar enligt 42 § samma lag.

Av vad som framgår av fjärde stycket får övriga beslut enligt denna lag inte överklagas. Ett exempel på det är Socialstyrelsens beslut som innebär ett bifall till en ansökan om att en patientjournal helt eller delvis ska förstöras, jfr med 17 § patientjournallagen där detta uttryckligen anges.

1. Bestämmelserna i den nya lagen träder i kraft den 1 juli 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) ska upphöra att gälla. Bestämmelserna behandlas närmare i avsnitt 19. Patientdatalagen ersätter den reglering som nu finns i patientjournallagen och vårdregisterlagen. De båda sistnämnda lagarna ska därför upphöra att gälla samtidigt som patientdatalagen träder i kraft.

2. Bestämmelserna i 7 kap. ska inte börja tillämpas förrän den 1 juli 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.

I dag regleras personuppgiftsbehandlingen i nationella och regionala kvalitetsregister av personuppgiftslagen (1998:204). Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister innebär en skärpning av lagstiftningen jämfört med vad som gäller i dag genom att personuppgifter inte får behandlas i ett nationellt eller regionalt kvalitetsregister om den enskilde motsätter sig det. Genom denna övergångsbestämmelse ges verksamheten en möjlighet att under en övergångsperiod anpassa sig till den nya lagstiftningen.

3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009. Genom denna övergångsbestämmelse kommer bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i nationella och regionala kvalitetsregister och om information om sådan personuppgiftsbehandling inte att gälla beträffande sådana personuppgifter som har behandlats före ikraftträdandet. Det innebär att redan insamlade personuppgifter får finnas kvar i kvalitetsregistren och att nämnda information endast behöver lämnas beträffande framtida personuppgiftsbehandling i registren.

Hänvisningar till S21-1

21.2. Förslaget till lag om ändring i sekretesslagen (1980:100)

7 kap. 1 c §

Ändringarna innebär bl.a. att en ny bestämmelse om absolut sekretess förs in i ett nytt tredje stycke. Ändringarna innebär också att tre nya sekretessbrytande bestämmelser förs in i paragrafen. Dessa har, tillsammans med 7 kap. 1 c § femte stycket, samlats i paragrafens nya sjätte–sjunde stycken. Undantaget från sekretess enligt 7 kap. 1 § c tredje stycket om att uppgift om enskilds hälsotillstånd eller andra personliga förhållanden i omhändertagna patientjournaler får lämnas till hälso- och sjukvårdspersonal inom enskild hälso- och sjukvård har flyttats till paragrafens åttonde stycke. I nionde stycket, som är nytt, hänvisas till ytterligare sekretessbrytande bestämmelser i 14 kap. 2 § sekretesslagen. I övrigt har endast en språklig justering gjorts i nuvarande femte stycket första meningen (nya sjätte stycket punkten 4).

Av tredje stycket första meningen framgår att absolut sekretess ska gälla hos en myndighet som bedriver hälso- och sjukvård eller annan medicinsk verksamhet för uppgift om enskilds personliga förhållanden om uppgiften har gjorts tillgänglig för myndigheten av en annan sådan myndighet eller av en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring, och om förutsättningar för att myndigheten ska få behandla uppgiften enligt 6 kap. 3 eller 4 § patientdatalagen inte är uppfyllda. Om sådana förutsättningar föreligger eller myndigheten tidigare har behandlat uppgiften med stöd av nämnda bestämmelser gäller enligt tredje stycket andra meningen sekretess – i likhet med vad som gäller enligt första stycket – med ett omvänt skadrekvisit. Bestämmelsen, som har behandlats i avsnitt 10.4, har införts mot bakgrund av att handlingar med ospärrade uppgifter som huvudregel utgör allmänna handlingar hos alla vårdgivare som är anslutna till ett system med

sammanhållen journalföring, se avsnitt 10.3. Syftet med den nya sekretessbestämmelsen är att en vårdgivare, som enligt patientdatalagen saknar befogenhet att ta del av ospärrade uppgifter som en annan vårdgivare gjort tillgängliga för vårdgivaren, inte ska behöva ta del av dessa uppgifter för att kunna avgöra sekretessfrågan om uppgifterna begärs ut. Sekretessbestämmelsen kompletteras av en bestämmelse i 6 kap. 2 § fjärde stycket patientdatalagen av innebörd att en vårdgivare är skyldig att, när denne gör uppgifter om en patient tillgängliga i ett system med sammanhållen journalföring, införa en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Övriga vårdgivare ska kunna ta del av sistnämnda uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig och övriga uppgifters innehåll. Sistnämnda bestämmelse medför att en vårdgivare – utan att ta del av känsliga uppgifter – kan se om det finns ospärrade uppgifter avseende en person i systemet eller inte. Syftet med bestämmelsen är bl.a. att en vårdgivande myndighet som är ansluten till ett system med sammanhållen journalföring ska kunna pröva om en begäran om utfående av en allmän handling avseende en viss person kan avslås redan på den grunden att det inte förvaras någon sådan handling hos myndigheten, utan att myndigheten ska behöva ta del av ospärrade uppgifter när förutsättningar för det saknas enligt patientdatalagen. Den nya bestämmelsen om absolut sekretess kompletterar sistnämnda bestämmelse och blir tillämplig om en slagning i systemet för sammanhållen journalföring visar att det finns ospärrade uppgifter avseende den person, som en begäran om utfående av allmänna handlingar avser, och vårdgivaren saknar befogenhet enligt patientdatalagen att ta del av uppgifterna. Eftersom uppgifterna i ett sådant fall omfattas av den nya bestämmelsen om absolut sekretess behöver myndigheten, som tidigare nämnts, inte ta del av uppgifterna för att avgöra sekretessfrågan.

Enligt en ny bestämmelse i sjätte stycket punkten 1 hindrar sekretess enligt första stycket inte att uppgift lämnas från myndighet som bedriver verksamhet som avses i det stycket, dvs. hälso- och sjukvård eller annan medicinsk verksamhet, till en annan sådan myndighet i samma kommun eller landsting. Bestämmelsen har behandlats i avsnitt 13.1. Att kommunala företag som avses i 1 kap. 9 § sekretesslagen dvs. bolag, föreningar och stiftelser där kommuner eller landsting utövar ett rättsligt bestämmande inflytande, i detta sammanhang är att jämställa med myndigheter följer av nämnda paragraf. Enligt den nya bestämmelsen kommer det således bl.a. vara möjligt att utan hinder av sekretess lämna uppgifter mellan ett kommunalt bolag i vilket ett landsting äger mer än 50 procent av aktierna och den nämnd eller de nämnder i landstinget som fullgör landstingets uppgifter när det gäller hälso- och sjukvård. Undantaget från sekretessen gör det möjligt för ett landsting att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter. Regeln medför t.ex. ökade möjligheter till verksamhetsuppföljning inom landstinget. Undantaget från sekretess gäller däremot inte i förhållande till gemensamma nämnder inom vård- och omsorgsområdet, jfr lagen (2003:192) om gemensam nämnd inom vård- och omsorgsområdet, eller i förhållande till kommunalförbund, som är en särskild, offentligrättslig juridisk person för samarbete mellan kommuner. Även om ingen sekretess gäller mellan hälso- och sjukvårdsmyndigheter i

samma kommun eller landsting måste naturligtvis normalt en patients uttryckliga önskemål om att hans eller hennes journal inte ska lämnas till en annan hälso- och sjukvårdsmyndighet i kommunen eller landstinget respekteras på motsvarande sätt som gäller t.ex. mellan olika kliniker inom en myndighet. Det får anses följa av bestämmelsen i 2 a § hälso- och sjukvårdslagen (1982:763) om att verksamheten ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. I den mån uppgifterna behandlas enligt patientdatalagen träder även den lagens och personuppgiftslagens (1998:204) skyddsregler in. Som framgått av avsnitt 11.3 torde det exempelvis räcka för flertalet befattningshavare som arbetar med t.ex. verksamhetsuppföljning att de får tillgång till uppgifter som endast indirekt kan härledas till enskilda patienter. Elektronisk åtkomst till kodnycklar, personnummer och andra uppgifter som pekar ut enskilda patienter bör på detta område kunna vara starkt begränsat till enstaka befattninghavare.

Enligt en ny bestämmelse i sjätte stycket punkten 2 hindrar sekretess enligt första stycket inte att en uppgift lämnas till en myndighet som bedriver verksamhet som avses i första stycket eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Skälet till att regeringen ersatt den i kommitténs lagförslag använda formuleringen ”myndighet inom hälso- och sjukvården” med ”myndighet som bedriver verksamhet som avses i första stycket” är att begreppet ”hälso- och sjukvård” har en snävare innebörd i sekretesslagen än i patientdatalagen. För att täcka in all sådan verksamhet som omfattas av begreppet ”hälso- och sjukvård” enligt patientdatalagen (jfr 1 kap. 3 § sistnämnda lag) hänvisas därför i 7 kap. 1 c § sjätte stycket punkten 1 sekretesslagen till sådan verksamhet som avses i första stycket, dvs. verksamhet ”inom hälso- och sjukvården” och ”annan medicinsk verksamhet”. Bestämmelsen har behandlats i avsnitt 10.4. Sammanhållen journalföring har behandlats i avsnitt 10.1–10.2. Sammanhållen journalföring enligt patientdatalagen innebär att myndigheter som bedriver hälso- och sjukvård i den mening begreppet används i den lagen och privata vårdgivare kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. I patientdatalagen uppställs olika villkor för att sådan direktåtkomst ska få förekomma. Om villkoren är uppfyllda, får journalhandlingarna och andra personuppgifter hos en vårdgivare göras tillgängliga för andra vårdgivare som deltar i systemet med sammanhållen journalföring. För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra någon sekretessprövning i varje enskilt fall, föreskrivs i den nya bestämmelsen ett undantag från sekretessen. Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett bl.a. genom patientdatalagens regler om patientens inflytande vid sådan journalföring och den bestämmelse om absolut sekretess hos en vårdgivare för sådana ospärrade uppgifter som vårdgivaren saknar befogenhet att ta del av enligt patientdatalagen, som föreslås i förevarande paragrafs tredje stycke första meningen.

Enligt en ny bestämmelse i sjätte stycket punkten 3 hindrar sekretess enligt första stycket inte att en uppgift lämnas till ett nationellt eller

regionalt kvalitetsregister enligt patientdatalagen. Bestämmelsen har behandlats i avsnitt 15.9. I patientdatalagen finns särskilda bestämmelser om nationella och regionala kvalitetsregister. Sådana register syftar till att systematiskt och fortlöpande utveckla och säkra hälso- och sjukvårdens kvalitet. Kvalitetsarbetet bedrivs normalt på det sättet att någon – oftast en hälso- och sjukvårdsmyndighet inom ett landsting eller en kommun, se 7 kap. 7 § patientdatalagen – samlar in och analyserar patientbundna data om diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister. Inrapporteringen från de medverkande till den som ansvarar för registret innebär oftast att personuppgifter korsar sekretessgränser. För att sekretessen inte ska förhindra inrapporteringen föreskrivs i den nya bestämmelsen ett undantag från sekretessen.

Bestämmelserna i sjätte stycket punkten 4 och 5 motsvarar de undantag från sekretessen som tidigare fanns i 1 c § femte stycket.

I sjunde stycket finns ett undantag från sekretessen som har behandlats i avsnitt 13.1. Undantaget innebär att en uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd får lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- eller sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. En förutsättning för detta är att den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att uppgiften lämnas ut. Av paragrafen framgår att den enskildes samtycke i första hand ska utverkas. Bestämmelsen kan bli tillämplig först om den enskilde på grund av demens eller annat hälsorelaterat skäl inte kan samtycka. Viljan hos den patient som klart och utan inflytande av allvarlig psykisk störning eller liknande motsätter sig ett uppgiftslämnande ska alltid respekteras. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, ska det ske med urskillning och varsamhet.

I ett nytt nionde stycke erinras om de begränsningar i sekretessen enligt förevarande paragraf som finns i 14 kap. 2 § sekretesslagen. Utöver de sekretessbrytande bestämmelserna i sistnämnda paragraf, som direkt tar sikte på sekretessen enligt förevarande paragraf, kan det förstås förekomma att sekretessen bryts enligt någon generellt tillämplig sekretessbrytande bestämmelse, t.ex. 14 kap. 4 § som reglerar verkan av en enskilds samtycke till utlämnande av uppgifter. Som framgått av avsnitt 10.4 föreslås en konsekvensändring i 14 kap. 2 § med anledning av den nya bestämmelsen om absolut sekretess som föreslås i tredje stycket första meningen i förevarande paragraf. Konsekvensändringen innebär att hänvisningen till 7 kap. 1 c § i 14 kap. 2 § ändras på så sätt att de sekretessbrytande bestämmelserna i den paragrafen inte bryter sekretessen enligt förevarande paragrafs tredje stycke första meningen.

9 kap. 4 §

I paragrafen, som har behandlats i avsnitt 15.10, har – förutom en språklig justering – gjorts ytterligare en begränsning i den absoluta statistiksekretessen. Begränsningen avser uppgifter som avser avlidna och som rör dödsorsak eller dödsdatum. De aktuella uppgifterna finns i Socialstyrelsens dödsorsaksregister. Till Socialstyrelsen ska anmälan enligt 4 kap.2 och 5 §§begravningslagen (1990:1144) göras om bl.a.

dödsorsak vid alla konstaterade dödsfall avseende personer som är folkbokförda i Sverige. Sekretess gäller hos Socialstyrelsen enligt förevarande paragraf för uppgifter i dödsorsaksregistret. Ändringen i paragrafen innebär att uppgift som avser en avliden och som rör dödsorsak eller dödsdatum får lämnas ut om den behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen och om det står klart att uppgiften kan röjas utan att den enskilde eller närstående till den enskilde lider skada eller men. Med tanke på att uppgifterna hos mottagarna kommer att omfattas av hälso- och sjukvårdsekretessen i 7 kap. 1 c § sekretesslagen torde Socialstyrelsens sekretessprövning många gånger utmynna i bedömningen att de aktuella uppgifterna kan lämnas ut.

14 kap. 2 §

I paragrafen görs konsekvensändringar i de sekretessbrytande bestämmelserna i femte, sjätte och nionde styckena med anledning av den nya bestämmelsen om absolut sekretess i 7 kap. 1 c § tredje stycket första meningen. Ändringarna innebär att hänvisningarna i nämnda stycken i nu aktuell paragraf till 7 kap. 1 c § ändras så att de inte avser tredje stycket första meningen i den paragrafen.

Hänvisningar till S21-2

21.3. Förslaget till lag om ändring i lagen (2001:499) om omskärelse av pojkar

2 §

I paragrafen har endast den ändringen gjorts att ordet patientdatalagen har ersatt ordet patientjournallagen (1985:562).

21.4. Förslaget till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

3 kap. 7 §

Paragrafen har behandlats i avsnitt 9.3. Föreskriften om vad patientjournalen ska innehålla har flyttats från 3 § tredje stycket 6 patientjournallagen (1985:562) till förevarande bestämmelse. Förutom att uppgifter om information och samtycke m.m. enligt 1–6 §§ lagen om biobanker i hälso- och sjukvården m.m. ska antecknas i provgivarens patientjournal kan även komma i de fall då personuppgifter lämnas ut, dokumentation om information och samtycke, att ske i det personregister som kommer att förvaras i anslutning till den nya biobanken hos huvudmannen, jfr. prop. 2001/02:44 s. 75.

4 kap. 4 a §

Paragrafen har behandlats i avsnitt 17.6. Paragrafen motsvarar 16 § andra stycket patientjournallagen(1985:562).

4 kap 6 a §

Paragrafen motsvarar 16 § tredje och fjärde styckena patientjournallagen (1985:562).

Ikraftträdandet och övergångsbestämmelser

Ikraftträdandet och övergångsbestämmelserna har behandlats i avsnitt 19. De nya bestämmelserna och ändringarna i sekretesslagen (1980:100), lagen (2001:499) om omskärelse av pojkar och lagen (2002:297) om biobanker i hälso- och sjukvården m.m. träder i kraft den 1 juli 2008.

Hänvisningar till S21-4

Sammanfattning av betänkandet Patientdatalag (SOU 2006:82)

Inledning

Utredningens förslag innefattar en sammanhängande reglering av personuppgiftsbehandlingen inom hälso- och sjukvården i en helt ny lag, patientdatalagen. Den föreslagna regleringen innebär att patientjournallagen (1985:562) och lagen (1998:544) om vårdregister (vårdregisterlagen) ersätts av den nya lagen. I denna lag, som gäller för alla vårdgivare oavsett huvudmannaskap, regleras bl.a. sådana frågor som skyldigheten att föra patientjournal, inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet, utlämnande av uppgifter och handlingar genom direktåtkomst eller på annat elektroniskt sätt samt nationella och regionala kvalitetsregister. Härutöver föreslår utredningen ändringar i bl.a. sekretesslagstiftningen på hälso- och sjukvårdens område.

Författningsförslagen har delvis karaktär av ramlagstiftning, som anger vilka grundläggande principer som ska gälla för informationshanteringen avseende uppgifter om patienter inom all hälso- och sjukvård. Den närmare regleringen i vissa generella frågor ska således kunna meddelas i förordning eller, efter regeringens bemyndigande, i myndighetsföreskrifter. Förslagen kan ses som en del av den process som nu pågår för att med bl.a. hjälp av IT få till stånd en bättre samverkan mellan hälso- och sjukvårdens aktörer och en starkare patientorientering i verksamheten. Den centrala utgångspunkten för förslagen är att skapa en reglering som möjliggör både en ökad patientsäkerhet och ett starkt integritetsskydd. Detta förutsätter att man inte överger principen om att hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och integritet. I förlängningen riskerar man annars att medborgarnas förtroende för hälso- och sjukvården minskar.

I det följande sammanfattas de olika delarna i utredningens lagförslag.

Förslaget till patientdatalag

Lagens tillämpningsområde, m.m.

Patientdatalagen gäller i vårdgivares kärnverksamhet

Patientdatalagen ska tillämpas vid behandling av personuppgifter i vårdgivares kärnverksamhet som avser tillhandahållande av hälso- och sjukvård inklusive tandvård åt patienter. Med vårdgivare avses statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

All automatiserad behandling och viss manuell behandling av personuppgifter omfattas

Tillämpningsområdet för patiendatalagen omfattar all helt eller delvis automatiserad behandling av personuppgifter samt manuell behandling av personuppgifter som ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier. Regleringen är således inte begränsad till särskilda datoriserade register, databaser eller andra elektroniska uppgiftssamlingar inom hälso- och sjukvården. Vissa särbestämmelser finns dock beträffande nationella och regionala kvalitetsregister, se nedan. Patientdatalagen kompletterar personuppgiftslagen (1998:204), vilket innebär att när reglering saknas i patientdatalagen kommer personuppgiftslagens bestämmelser att vara tillämpliga. Vissa bestämmelser i lagen, bl.a. sådana som rör dokumentation m.m. i patientjournaler, gäller även om behandlingen sker helt manuellt utan att personuppgifterna ingår i eller avses ingå i någon strukturerad uppgiftssamling. I tillämpliga delar gäller lagen också vid behandling av uppgifter om avlidna.

Personuppgiftslagens regler gäller när verksamhet inte omfattas av patientdatalagen

Personuppgiftsbehandling i verksamhet som faller utanför patientdatalagens tillämpningsområde regleras precis som i dag av personuppgiftslagen. Till sådan verksamhet hör t.ex. verksamhet vid patientnämnder eller läkemedelskommittéer. Även hos en vårdgivare som omfattas av lagens tillämpningsområde förekommer personuppgiftsbehandling som faller utanför lagens tillämpningsområde. Så är exempelvis fallet i den rent administrativa verksamheten som saknar direkt koppling till patientverksamheten. Sådan särskild personuppgiftsbehandling som sker uteslutande för forskningsändamål eller utbildningsändamål faller också utanför patientdatalagens tillämpningsområde.

Ändamål för personuppgiftsbehandlingen, m.m.

Ändamål

De ändamål för vilka personuppgifter enligt den föreslagna lagen får samlas in och även i övrigt behandlas inom hälso- och sjukvården är:

1. patientjournalföring och annan dokumentation som behövs i och för vården av patienter eller som behövs för administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall (Vårddokumentation),

2. utförande av annan dokumentation som följer av lag, förordning eller annan författning,

3. systematisk och fortlöpande utveckling och säkring av hälso- och sjukvårdens kvalitet (Kvalitetssäkring),

4. administration, planering, uppföljning, utvärdering och tillsyn av hälso- och sjukvårdsverksamheten och

5. framställning av statistik rörande hälso- och sjukvård

Dessutom får personuppgifter som behandlas för ändamål enligt punkterna 1–5 behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller den s.k. finalitetsprincipen i 9 § första stycket d personuppgiftslagen. Det innebär att personuppgifter som redan finns i hälso- och sjukvårdsverksamheten får behandlas för andra ändamål än dem för vilka de har samlats in under förutsättning att de nya ändamålen är förenliga med de tidigare ändamålen.

Samkörning

Några särskilda bestämmelser om samkörning föreslås inte. Samkörning är alltså tillåten förutsatt bl.a. att den faller inom ramen för något eller några av de ändamål som anges i patientdatalagen.

Personuppgiftsansvar

I patientdatalagen anges att en vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommuner är en myndighet personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför. I lagen finns också vissa särskilda bestämmelser om personuppgiftsansvar vid sammanhållen journalföring och vid registerföring i nationella och regionala kvalitetsregister.

Personuppgifter som får behandlas

Endast sådana personuppgifter som behövs för det ändamål för vilket personuppgiftsbehandlingen utförs får behandlas enligt patientdatalagen. I lagen klargörs att uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen får behandlas även i privata vårdgivares verksamhet. I övrigt föreslås inga särbestämmelser om sådana personuppgiftskategorier som särregleras i personuppgiftslagen.

Den enskildes inställning till personuppgiftsbehandlingen

I patientdatalagen föreskrivs att personuppgiftsbehandling enligt lagen får ske även om den enskilde motsätter sig personuppgiftsbehandlingen. Undantag från denna huvudregel kan gälla enligt lag eller förordning. Några sådana undantag följer av patientdatalagen. Dessa undantag avser situationer, förenklat uttryckt, då den enskilde ges möjlighet att förhindra att uppgifter om honom eller henne sprids inom hälso- och sjukvården. Vidare klargörs att även sådan personuppgiftsbehandling som går utöver vad patientdatalagen tillåter får utföras, om den enskilde uttryckligen samtycker till det och inte annat följer av andra bestämmelser i patientdatalagen eller av annan lag eller förordning.

Begränsningar för sökbegrepp

Känsliga personuppgifter som avses i 13 § personuppgiftslagen samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får enligt patientdatalagen inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

Undantag från förbuden gäller dock i fråga om uppgifter som rör hälsa eller uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård. Sådana uppgifter får alltså användas som sökbegrepp, om det behövs för något tillåtet ändamål. Vidare kan, om regeringen föreskriver om det, ett landsting eller en kommun få använda personuppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

En ny reglering av patientjournalföringen

Utredningen föreslår att åtskilliga bestämmelser i patientjournallagen förs över i huvudsak oförändrade till patientdatalagen. Detta gäller bestämmelserna om krav på journalföring, om vem som är skyldig att föra patientjournal, om skyldigheten att på begäran av patienten utfärda intyg om vården, om rättelse av journaluppgifter, om journalförstöring, om anteckning i journalen när en journalhandling lämnas ut, om omhändertagande av patientjournaler inom den enskilda hälso- och sjukvården, om återlämnande av omhändertagna journaler, om utlämnande av uppgifter ur omhändertagna journalhandlingar, om bevarande av journalhandling och om signeringskrav. Det föreslås dock en bestämmelse som bemyndigar regeringen, eller den myndighet som regeringen bestämmer, att meddela föreskrifter om undantag från signeringskravet. Även vissa av bestämmelserna i patientjournallagen om vilka uppgifter en patientjournal ska innehålla föreslås föras över till patientdatalagen. Patientjournallagens bestämmelser om att journalhandlingar som upprättas inom hälso- och sjukvården som huvudregel ska vara skrivna på svenska språket förs över till patientdatalagen.

Utredningen föreslår vidare att det i patientdatalagen införs en bestämmelse om hur mycket information som en patientjournal får innehålla. Bestämmelsen motsvarar nuvarande reglering i vårdregisterlagen om vad ett vårdregister får innehålla. Utredningen föreslår också att det ska antecknas i patientjournalen, om en patient anser att en uppgift i journalen är oriktig eller missvisande.

En bestämmelse som delvis motsvarar patientjournallagens bestämmelse om att uppgifter i journalhandlingar som upprättas inom hälso- och sjukvården ska utformas så att patientens integritet respekteras finns också i patientdatalagen. I patientdatalagen har bestämmelsen dock fått ett vidare tillämpningsområde och gäller all utformning av personuppgifter, således inte bara vid journalföring.

En sammanhållen journal?

Utredningen har bl.a. haft i uppdrag att analysera förutsättningarna för och nyttan av en för samtliga vårdgivare – inom hela Sverige eller inom ett landstingsområde – sammanhållen patientjournal för varje patient. Enligt vår bedömning saknas i dag, trots den snabba utveckling som äger rum på IT-området, grundläggande förutsättningar att införa en för samtliga vårdgivare sammanhållen journal för varje patient. Någon lagstiftning om en skyldighet att journalföra i ett sammanhållet system är därför inte genomförbar och kan inte föreslås. Utredningen bedömer inte heller att det nu skulle vara lämpligt att införa ett sådant obligatoriskt totalsystem. Enligt utredningens bedömning är det även osäkert om och i så fall när en sammanhållen patientjournal av mera begränsat slag skulle kunna genomföras. I linje med detta föreslås inte att det ska införas någon skyldighet att på något område föra journal över vårdgivargränser. Utredningen avvisar också en nyordning som skulle innebära att patienten äger sin journal eller att journalen inte längre ska vara knuten till den vårdgivare inom vars verksamhet journalföringen sker.

Sammanhållen journalföring

Direktåtkomst för vårdgivare – sammanhållen journalföring

Utredningen föreslår att det i patientdatalagen införs en reglering som innebär att vårdgivare – under vissa förutsättningar – kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. Direktåtkomst innebär att uppgifter lämnas ut till en extern mottagare, i detta fall en annan vårdgivare, genom att behörig personal hos den senare vårdgivaren får en möjlighet att på eget initiativ elektroniskt bereda sig tillgång till och ta del av utlämnarens uppgifter. Denna reglering gör det möjligt för sjukvårdshuvudmännen och privata vårdgivare att på frivillig väg bygga upp olika slags system för sammanhållen journalföring. Genom den sammanhållna journalföringen ges en tillgänglighet till patientuppgifter som i praktiken låter informationen följa patienterna i olika vårdkedjor och vårdprocesser. Syftet med denna ordning är i första hand att genom utnyttjande av IT öka patientnyttan i form av ökad patientsäkerhet. Patientdatalagen styr däremot inte över vilka slags tekniska lösningar eller vilken organisatorisk uppbyggnad som väljs för sammanhållen journalföring. Enligt utredningens bedömning hindrar inte tryckfrihetsförordningen att hälso- och sjukvårdens myndigheter deltar i sammanhållen journalföring.

Patientens inflytande vid sammanhållen journalföring

Utredningen utgår från att patienten måste ges ett inflytande när det gäller andra vårdgivares möjlighet att få tillgång till uppgifter om patienten via sammanhållen journalföring. Två utgångspunkter har därvid gällt. Den ena är att inflytandet ska utformas med hänsyn till respekten för patientens självbestämmande och integritet och att vården och behand-

lingen så långt möjligt ska utformas och genomföras i samråd med patienten. Den andra utgångspunkten har varit att hitta lösningar som är praktiskt smidiga och enkla att tillämpa. De får inte föranleda en administrativ börda eller annat betydande merarbete i hälso- och sjukvårdspersonalens dagliga arbete.

Med dessa utgångspunkter ges patienten redan vid det aktuella vårdtillfället som journalförs eller då uppgifter annars dokumenteras (skede 1) en rätt att – efter att ha blivit informerad om vad sammanhållen journalföring innebär – motsätta sig att vårddokumentation rörande honom eller henne görs tillgänglig för andra vårdgivare. Om patienten motsätter sig att uppgifterna görs tillgängliga via sammanhållen journalföring, ska uppgifterna spärras för tillgänglighet för hälso- och sjukvårdspersonal m.fl. hos andra vårdgivare. Direktåtkomst får således inte förekomma till spärrade uppgifter. Det sagda utesluter emellertid inte att uppgifter som finns om en patient i undantagsfall kan lämnas till en annan vårdgivare. Då är det emellertid inte fråga om att uppgifter görs tillgängliga genom direktåtkomst i ett sammanhållet journalföringssytem utan att uppgifter lämnas ut på annat sätt, exempelvis muntligen, se förslaget till 7 kap. 1 d § andra stycket sekretesslagen (1980:100). Ett system för sammanhållen journalföring får däremot innehålla information om att det finns spärrade uppgifter. Sådan information kan i enskilda vårdsituationer initiera en önskvärd dialog mellan patienten och läkaren eller annan vårdpersonal. En spärr kan när som helst hävas på begäran av patienten.

Patienten ges vidare en rätt att själv bestämma om en vårdgivares hälso- och sjukvårdspersonal ska få ta del av en annan vårdgivares vårddokumentation som finns tillgänglig i den sammanhållna journalföringen (skede 2). Det handlar här om uppgifter som inte har spärrats av patienten. Normalt kommer patientens inställning i frågan att inhämtas i anslutning till att patienten har en inledande kontakt med en ny vårdgivare.

För att en vårdgivare i skede 2 ska få bereda sig tillgång till ospärrade uppgifter genom sammanhållen journalföring krävs att uppgifterna kan antas ha betydelse för vården av patienten och att patienten samtycker till det. Om patientens samtycke inte kan inhämtas, får uppgifterna tas fram genom direktåtkomst om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Att patientens samtycke inte kan inhämtas kan bero på att patienten är medvetslös eller alltför medtagen för att kunna ta ställning till frågan om vårdgivaren ska få bereda sig tillgång till uppgifterna. Vidare kan saken brådska så att det inte finns någon tid att inhämta samtycke. En patient som motsätter sig att vårdgivaren använder direktåtkomsten ska alltid respekteras.

Den sammanhållna journalföringen får i princip inte användas för andra syften än den individinriktade patientvården. Det innebär att direktåtkomsten till andra vårdgivares uppgifter inte får användas för exempelvis kvalitetssäkring och annan medicinsk eller ekonomisk uppföljning av hälso- och sjukvården samt forskning. För allmänhetens förtroende för den nya ordningen med sammanhållen journalföring är det av vikt att den gränsöverskridande direktåtkomsten bara används för syften och i situationer som den enskilde kan förutse och ha kontroll över.

Bestämmelserna om sammanhållen journalföring reglerar sammanfattningsvis bara ett visst sätt att göra patientjournaler elektroniskt tillgängliga över organisatoriska och formella gränser utan föregående sekretessprövning (se nedan) i varje enskilt fall då direktåtkomsten används. Uppgifterna kan alltid begäras ut på annat sätt, varvid en sedvanlig sekretessprövning måste göras.

Personuppgiftsansvar vid sammanhållen journalföring

Även vid sammanhållen journalföring ska patientdatalagens allmänna regel om personuppgiftsansvar gälla, dvs. att varje myndighet inom hälso- och sjukvården eller privat vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. Regeringen får dock meddela föreskrifter om personuppgiftsansvar vid sammanhållen journalföring när det gäller övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder.

Inre sekretess m.m.

Hälso- och sjukvårdspersonalens rätt att ta del av uppgifter om patienter

Den som arbetar hos en vårdgivare får enligt patientdatalagen ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården. Bestämmelsen omfattar både manuellt och elektroniskt förda patientjournaler och annan dokumentation om patienter. I lagen föreskrivs också att dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga – exempelvis befattningshavare inom hälso- och sjukvården som inte behöver uppgifterna för sitt arbete – inte får tillgång till dem. Med hantering och förvaring avses alla slags åtgärder som vidtas beträffande personuppgifterna.

Krav vid elektronisk patientjournalföring och övrig elektronisk patientdokumentation

När det gäller elektronisk patientjournalföring och övrig elektronisk patientdokumentation finns i patientdatalagen en bestämmelse om elektronisk åtkomst som delvis motsvarar nuvarande reglering i 8 § vårdregisterlagen men som ställer tydligare krav på vårdgivaren i fråga om behörighetssystem m.m. Vårdgivaren ska bestämma villkoren för hur personalen ska tilldelas behörighet för elektronisk åtkomst till uppgifter om patienter i vårdgivarens verksamhet. Reglerna innebär att en vårdgivare ska göra aktiva och individuella behörighetstilldelningar utifrån analyser av vilken närmare information olika personalkategorier och olika slags verksamheter behöver. Särskild uppmärksamhet ska ägnas åt tillgängligheten till skyddade personuppgifter. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen ska meddela dessa föreskrifter efter samråd med Datainspektionen.

Skyldighet att dokumentera elektronisk åtkomst, m.m.

En skyldighet införs också för vårdgivaren att dokumentera och kontrollera elektronisk åtkomst. Genom att vårdgivaren är skyldig att dokumentera all elektronisk åtkomst (den s.k. behandlingshistoriken eller loggen) blir det möjligt att göra kontroller i efterhand. Det räcker emellertid inte att göra uppföljningskontroller i särskilda fall då misstanke kan finnas om obehörigt intrång. Uppföljningskontroller ska göras systematiskt och fortlöpande. Närmare bestämmelser får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen ska meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att få information om åtkomst

Den enskilde patienten ges rätt att på begäran få information om vilken direktåtkomst och elektroniska åtkomst som förekommit till elektroniskt behandlade uppgifter om honom eller henne. Närmare bestämmelser om den information som ska ges till patienten får meddelas av regeringen eller den myndighet som regeringen bestämmer. Det är förutsatt att Socialstyrelsen ska meddela dessa föreskrifter efter samråd med Datainspektionen.

En rätt för patienten att spärra tillgänglighet

Den enskilde patienten ges i patientdatalagen en rätt att begära att vårddokumentation spärras för elektronisk åtkomst från andra vårdenheter alternativt vårdprocesser utanför den till vilken uppgifterna hör. Patienten ges genom denna regel ett inflytande över tillgängligheten till uppgifter om honom eller henne inom en vårdgivares gränser. Denna möjlighet ska ses som ett utflöde av principen om att hälso- och sjukvård ska bygga på respekt för patientens självbestämmande och integritet och så långt det är möjligt utföras och genomföras i samråd med patienten. Spärren ska med patientens samtycke kunna hävas helt eller delvis, t.ex. i en enstaka vårdsituation. Spärren ska också kunna forceras, om patientens samtycke inte kan inhämtas och om informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver. Spärrade uppgifter kan i och för sig göras tillgängliga för annan vårdenhet eller vårdprocess på annat sätt än genom elektronisk åtkomst. Om en patient har klargjort att han eller hon inte vill att uppgifter om honom eller henne lämnas från en vårdenhet till en annan, torde dock något sådant uppgiftslämnande inte kunna förekomma annat än i nödliknande situationer. Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna. Information om att det finns spärrade uppgifter om barn kan ge anledning till extra vaksamhet samt övervägande om en anmälan enligt 14 kap. 1 § socialtjänstlagen (2001:453) ska göras till socialnämnden för att barnet ska få erforderligt skydd.

Direktåtkomst för patienten

Genom patientdatalagen får en vårdgivare medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamålet vårddokumentation. Direktåtkomsten innebär att den enskilde själv elektroniskt kan bereda sig tillgång till informationen. Regleringen innebär inget åliggande för en vårdgivare att tillhandahålla enskilda direktåtkomst utan endast en möjlighet till detta. Det är förutsatt att den som begär och medges åtkomst till sina uppgifter också informeras om vart han eller hon kan vända sig för att få hjälp med att tyda dessa. En direktåtkomst behöver inte innebära en tillgång till samtliga uppgifter om den enskilde. Den enskilde får också medges direktåtkomst till dokumentation avseende elektronisk åtkomst till uppgifter om den enskilde (den s.k. behandlingshistoriken eller loggen).

Regeringen, eller den myndighet som regeringen bestämmer, bemyndigas att meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid direktåtkomst. En direktåtkomst förutsätter att det finns tillräckligt säkra tekniska lösningar för att säkerställa identifieringen av den som efterfrågar uppgifter. Det är tänkt att Socialstyrelsen efter samråd med Datainspektionen ska meddela sådana föreskrifter.

Verksamhetsuppföljning

Verksamhetsuppföljning är av central betydelse för hälso- och sjukvårdens utveckling. Med verksamhetsuppföljning åsyftar utredningen i princip samma sak som avses med ”uppföljning, utvärdering och kvalitetssäkring” i 4 § 2 vårdregisterlagen. Verksamhetsuppföljning kan ta sikte på en mängd olika faktorer inom hälso- och sjukvården, t.ex. mätning av uppnådda behandlingsresultat och patienttillfredsställelse eller mätning av insatta resurser i form av kostnader för varje insats eller annan uppföljning av kostnadseffektivitet, produktivitet etc. Verksamhetsuppföljning kan vidare ske på olika nivåer i hälso- och sjukvården.

Utredningens förslag innebär sammantaget ökade möjligheter när det gäller medicinsk, ekonomisk och annan verksamhetsuppföljning inom hälso- och sjukvården jämfört med i dag. Verksamhetsuppföljning är enligt patientdatalagen ett primärt ändamål och olika uppgifter om patienter kan samköras så länge det sker inom de ramar som ges av patientdatalagen och sekretesslagstiftningen. Vidare innebär patientdatalagen att myndigheter som bedriver hälso- och sjukvård i samma landsting får ha direktåtkomst till varandras personuppgifter. Som framgår nedan föreslår utredningen också att hälso- och sjukvårdssekretessen inte ska hindra att uppgifter lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Även uppföljning av hälso- och sjukvårdens samverkan med kommunernas omsorgsverksamhet underlättas genom regleringen i patientdatalagen jämfört med den nuvarande regleringen i vårdregisterlagen. Utredningen föreslår också vissa bestämmelser om verksamhetsuppföljning genom nationella och regionala kvalitetsregister, se nedan.

Nationella och regionala kvalitetsregister

Ändamål för behandling av personuppgifter i ett kvalitetsregister

Det är en central uppgift inom hälso- och sjukvården att systematiskt och fortlöpande utveckla och säkra verksamhetens kvalitet. Inom hälso- och sjukvården förekommer olika metoder att mäta och utveckla kvaliteten i verksamheten. En metod är att samla och analysera patientbundna data om diagnoser, åtgärder och behandlingsresultat m.m. i datoriserade kvalitetsregister. Utredningen har haft i uppdrag att föreslå en författningsreglering av personuppgiftsbehandlingen i nationella kvalitetsregister inom hälso- och sjukvården.

I patientdatalagen finns vissa särbestämmelser som gäller för kvalitetsregister till vilka personuppgifter har samlats in från flera vårdgivare och som möjliggör jämförelser inom hälso- och sjukvården på nationell respektive regional nivå. I lagen regleras uttömmande för vilka ändamål som personuppgifter i sådana kvalitetsregister får behandlas. Personuppgifter får samlas in och behandlas för det övergripande och primära syftet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet. Insamlade personuppgifter får därutöver även behandlas för vissa andra ändamål, nämligen bl.a. framställning av statistik eller forskning inom hälso- och sjukvårdsområdet.

Personuppgifter som får behandlas

I patientdatalagen förtydligas att det bara är sådana uppgifter som behövs för det primära ändamålet kvalitetssäkring av vård som får tas in i ett nationellt eller regionalt kvalitetsregister.

Vidare anges i lagen att den registrerades personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det för kvalitetssäkringsändamålet inte är tillräckligt att behandla kodade personuppgifter eller personuppgifter som endast indirekt utpekar den registrerade.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen och som inte rör hälsa samt personuppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

I patientdatalagen införs en bestämmelse som – till skillnad från vad som i dag gäller enligt personuppgiftslagen – ger den enskilde en rätt att slippa bli registrerad i ett nationellt eller regionalt kvalitetsregister. Denna rätt gäller även efter det att personuppgiftsbehandlingen har påbörjats. Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifter om den enskilde som registrerats utplånas ur registret.

Allmänna frågor och bestämmelser

Allmänna bestämmelser om information

Den som är personuppgiftsansvarig enligt patientdatalagen ska se till att den registrerade får information om personuppgiftsbehandlingen. Person-

uppgiftslagens bestämmeler om information gäller även vid behandling av personuppgifter enligt patientdatalagen. I 25 § personuppgiftslagen anges vilken information som den personuppgiftsansvarige självmant ska lämna till den registrerade. Denna informationsskyldighet preciseras i patientdatalagen.

Informationen ska innehålla upplysningar om vem som är personuppgiftsansvarig, ändamålet med behandlingen och vilka kategorier av uppgifter som behandlas. Informationen ska även innehålla upplysningar om den uppgiftsskyldighet som kan följa av lag eller förordning, de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen, rätten att i vissa fall begära att uppgifter spärras, rätten att få information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter, rätten att ta del av uppgifter enligt 26 § personuppgiftslagen, rätten enligt 28 § samma lag till rättelse av oriktiga eller missvisande uppgifter och rätten enligt 48 § samma lag till skadestånd. Vidare ska informationen innehålla upplysningar om vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling samt vad som gäller i fråga om bevarande och gallring. Slutligen ska informationen innehålla upplysningar om huruvida behandlingen är frivillig eller inte.

Information vid sammanhållen journalföring

I det fall en vårdgivare deltar i ett sammanhållet journalföringssystem ska den registrerade även informeras om vad den sammanhållna journalföringen innebär och om att han eller hon kan motsätta sig att hans eller hennes patientuppgifter görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Information om personuppgiftsbehandling i nationella och regionala kvalitetsregister

Den enskilde ska informeras om personuppgiftsbehandlingen i ett nationellt eller regionalt kvalitetsregister. Denna informationsskyldighet följer av patientdatalagens allmänna bestämmelse om information som ska lämnas den enskilde och av personuppgiftslagen. Därutöver föreslås att den registrerade särskilt ska upplysas om sin rätt att när som helst få uppgifter om sig själv utplånade från registret. Vidare ska den enskilde informeras om i vilken utsträckning personuppgiftsbehandlingen avser uppgifter inhämtade från annan källa än patientjournalen eller patienten själv, t.ex. om uppgifter inhämtas genom samkörning med andra register. Dessutom föreslås att den registrerade särskilt ska informeras om till vilka kategorier av mottagare personuppgifter kan komma att lämnas ut, t.ex. att det kan bli aktuellt att uppgifterna lämnas ut för forskningsändamål. Informationen ska lämnas innan personuppgiftsbehandlingen påbörjas eller, om det inte är möjligt, så snart det kan ske.

Rättelse

Personuppgiftslagens bestämmelser om rättelse gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som sker enligt patientdatalagen. I sistnämnda lag görs en hänvisning till personuppgiftslagens regler om rättelse.

När det gäller rättelse av uppgifter i journalhandlingar har patientdatalagens bestämmelser om rättelse av journaluppgifter företräde.

Skadestånd

Personuppgiftslagens bestämmelser om skadestånd gäller vid sådan behandling av personuppgifter som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier och som utförts i strid mot patientdatalagens bestämmelser om personuppgiftsbehandling. I sistnämnda lag görs en hänvisning till personuppgiftslagens regler om skadestånd.

Säkerhet

Personuppgiftslagens bestämmelser om säkerheten vid behandling och tillsynsmyndighetens befogenheter gäller också när personuppgifter behandlas enligt patientdatalagen. Därutöver anges i patientdatalagen vilka säkerhetsåtgärder som i vissa fall ska vidtas. Bestämmelser av sistnämnt slag rör bl.a. tilldelningen av behörighet för elektronisk åtkomst och kontrollen av denna.

Tillsynsmyndigheter

Datainspektionen är tillsynsmyndighet även då personuppgifter behandlas enligt patientdatalagen. Tillsynen över att journalföring sker på föreskrivet sätt ska dock alltjämt utövas av Socialstyrelsen.

Ikraftträdande- och övergångsbestämmelser

Patientdatalagen och de ändringar i andra författningar som föreslås ska träda i kraft den 1 januari 2008.

När patientdatalagen träder i kraft ska patientjournallagen och vårdregisterlagen upphöra att gälla. Patientdatalagens bestämmelser om nationella och regionala kvalitetsregister ska inte börja tillämpas förrän den 1 januari 2009 i fråga om sådana kvalitetsregister som börjat föras före patientdatalagens ikraftträdande. Vidare ska bestämmelserna om den enskildes rätt att motsätta sig personuppgiftsbehandling i sådana kvalitetsregister och om information

om sådan personuppgiftsbehandling inte gälla beträffande sådana personuppgifter som behandlats före den 1 januari 2009.

Förslaget till lag om ändring av sekretesslagen

Utredningen föreslår att det införs en sekretessbrytande bestämmelse som i praktiken undanröjer hälso- och sjukvårdssekretessen mellan olika myndigheter inom hälso- och sjukvården i samma landsting eller kommun. Syftet med undantaget är att sekretesslagstiftningen inte ska hindra organisationsförändringar inom hälso- och sjukvården. Undantaget gör det möjligt för exempelvis ett landsting att fritt välja sin organisation utan hänsyn till att sekretess i princip råder mellan myndigheter och kommer också att öka möjligheterna till verksamhetsuppföljning baserad på patientdata. Undantaget har tagits in i en ny paragraf, 7 kap. 1 d §, i sekretesslagen (1980:100).

Sammanhållen journalföring innebär, som sagts ovan, att myndigheter inom hälso- och sjukvården och privata vårdgivare under vissa förutsättningar kan få direktåtkomst till varandras elektroniska journalhandlingar och andra personuppgifter som behandlas för ändamål som rör vårddokumentation. För att den vårdgivare som gör uppgifter tillgängliga för andra vårdgivare vid sammanhållen journalföring inte ska behöva göra någon sekretessprövning i varje enskilt fall, föreslås ett undantag i den nya paragrafen 7 kap. 1 d § sekretesslagen från hälso- och sjukvårdssekretessen. Undantaget innebär att sekretessen inte hindrar att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Skyddet för den enskildes personliga integritet vid sammanhållen journalföring är tillgodosett genom patientdatalagens regler om bl.a. patientens inflytande vid sådan journalföring. Något motsvarande undantag som det i sekretesslagen behövs inte för den enskilda hälso- och sjukvården.

Ett undantag från hälso- och sjukvårdssekretessen föreslås också i 7 kap. 1 d § sekretesslagen som gör det möjligt att lämna uppgifter till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen

Utredningen har gjort bedömningen att det av patientsäkerhetsskäl behövs en bestämmelse om sekretessgenombrott inom vård- och omsorgsområdet för att en enskild ska kunna få nödvändig vård, omsorg etc. Utredningen föreslår därför att det införs ett undantag från hälso- och sjukvårdssekretessen som innebär att sekretess inte hindrar att en uppgift om en enskild som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område. En förutsättning för sådant uppgiftslämnande är att den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att uppgiften lämnas ut. Undantaget får inte tillämpas rutinmässigt. Då det i enskilda fall används, ska det ske med urskillning och varsamhet. Den enskildes samtycke ska i första hand utverkas. Undantagsbestämmelsen har tagits in i 7 kap. 1 d § sekretesslagen.

För att möjliggöra kvalitetsregisterförares långtidsuppföjning av vårdkvalitet, föreslås en utvidgning av undantagen från den absoluta statistiksekretessen i 9 kap. 4 § sekretesslagen att omfatta också uppgift om avlidna och som rör dödsorsak eller dödsdatum. Sådana uppgifter föreslås få lämnas ut för ändamålet kvalitetssäkring av hälso- och sjukvård som bedrivs genom nationella eller regionala kvalitetsregister, om det står klart att ett utlämnande kan ske utan att den enskilde eller någon närstående till den enskilde lider skada eller men.

En del ytterligare ändringar av i huvudsak redaktionell art föreslås i sekretesslagen.

Andra ändringsförslag

Utredningens förslag föranleder en del följdändringar i lagen (2001:499) om omskärelse av pojkar, lagen (2002:297) om biobanker i hälso- och sjukvården m.m. och lagen (2005:225) om rättsintyg i anledning av brott.

Författningsförslag i betänkandet Patientdatalag (SOU 2006:82)

1 Förslag till patientdatalag

Härigenom föreskrivs följande.

1 kap. Lagens tillämpningsområde m.m. Lagens tillämpningsområde

1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Respekt för enskildas integritet

2 § Personuppgifter skall utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Dokumenterade personuppgifter skall hanteras och förvaras så att obehöriga inte får tillgång till dem.

Definitioner

3 § I denna lag används följande beteckningar med nedan angiven betydelse.

Beteckning Betydelse

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård samt smittskydd enligt smittskyddslagen (2004:168).

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel, som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden och om vårdåtgärder.

Patientjournal En eller flera journalhandlingar som rör samma patient.

Sammanhållen journalföring En gemensam databas eller ett annat elektroniskt system, som gör det möjligt för en vårdgivare att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare.

Vård Vård, undersökning och behandling inom hälso- och sjukvården.

Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvård som myndigheten, landstinget eller kommunen har ansvar för samt annan juridisk eller fysisk person som yrkesmässigt bedriver hälso- och sjukvård.

Förhållandet till personuppgiftslagen

4 § Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter Kapitlets tillämpningsområde

1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.

Den enskildes inställning till personuppgiftsbehandling

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.

I 4 kap. 4 §, 6 kap. och 7 kap. 2 § finns bestämmelser om att en personuppgiftsbehandling inte är tillåten om patienten motsätter sig den eller inte samtycker till den.

3 § En behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras om den enskilde lämnat ett uttryckligt samtycke till

behandlingen. Det gäller dock inte om annat framgår av denna lag, annan lag eller förordning.

Av 6 kap. 5 § framgår att den enskilde i ett visst fall inte kan samtycka till en behandling av personuppgifter som inte är tillåten enligt denna lag.

Regeringen får föreskriva att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.

Ändamål för personuppgiftsbehandlingen

4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2. administration som rör patienter och som syftar till att bereda vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,

5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller

6. framställning av statistik rörande hälso- och sjukvård. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvalitetsregister.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgiftsansvar

6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

7 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas. Även en vårdgivare som inte är myndighet får behandla sådana uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204).

Sökbegrepp

8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 §

samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter som rör hälsa samt uppgifter om att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård.

Regeringen får föreskriva att ett landsting eller en kommun, utan hinder av vad som anges i första stycket, får använda uppgifter om etnicitet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

3 kap. Skyldigheten att föra patientjournal Inledande bestämmelse

1 § Vid vård av patienter skall föras patientjournal. Patientjournal skall föras för varje patient och får inte vara gemensam för flera patienter.

I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares uppgifter om patienter genom sammanhållen journalföring.

Personer som är skyldiga att föra patientjournal

2 § Skyldig att föra patientjournal är

1. den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke,

2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara skall utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,

3. den som är verksam som kurator i den allmänna hälso- och sjukvården.

Ansvar för uppgifter i patientjournal

3 § Den som för patientjournal svarar för sina uppgifter i journalen.

Patientjournalens innehåll

4 § En patientjournal får endast innehålla de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

5 § En patientjournal skall innehålla de uppgifter som behövs för en god och säker vård av patienten.

Om uppgifterna föreligger, skall en patientjournal alltid innehålla

1. uppgift om patientens identitet,

2. väsentliga uppgifter om bakgrunden till vården, Prop. 2007/08:126 Bilaga 2

3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,

4. väsentliga uppgifter om vidtagna och planerade åtgärder, och

5. uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.

Patientjournalen skall vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

6 § I lag eller förordning finns, för vissa fall, regler om att en patientjournal skall innehålla ytterligare uppgifter.

7 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, skall det antecknas i journalen.

8 § Uppgifter som skall antecknas enligt 5–7 § skall föras in i journalen så snart det kan ske.

9 § En journalanteckning skall om inte synnerligt hinder möter signeras av den som svarar för uppgiften.

10 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, skall det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

11 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva undantag från bestämmelsen i 5 § andra stycket 1 såvitt gäller provtagning för viss sjukdom och från bestämmelsen om signeringskrav i 9 §.

Regeringen, eller den myndighet som regeringen bestämmer, får också meddela ytterligare föreskrifter om en journalhandlings innehåll och utformning.

Språket i patientjournaler

12 § De journalhandlingar som upprättas inom hälso- och sjukvården skall vara skrivna på svenska språket, vara tydligt utformade och så långt möjligt förståeliga för patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att en sådan journalhandling får vara skriven på ett annat språk än svenska.

Hantering av journalhandlingar

13 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 3 §.

Vid rättelse av en felaktighet skall det anges när rättelsen har skett och vem som har gjort den.

14 § Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva hur journalhandlingar skall hanteras och förvaras.

Skyldighet att utfärda intyg om vården

15 § Den som enligt 2 § är skyldig att föra patientjournal skall på begäran av patienten utfärda intyg om vården.

Bevarande av journalhandlingar

16 § En journalhandling skall bevaras minst tre år efter det att den sista uppgiften fördes in i handlingen. Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva att vissa slags journalhandlingar skall bevaras minst tio år.

Om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns det särskilda föreskrifter i 9 kap. 4 §.

I lag finns, för vissa fall, regler om att journalhandlingar skall bevaras under en längre tid än minst tre år.

17 § För journalhandlingar som utgör allmän handling gäller, med de undantag som följer av 16 §, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.

Patientjournaler i krig m.m.

18 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst i en vårdgivares verksamhet Inre sekretess

1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Tilldelning av behörighet för elektronisk åtkomst

2 § En vårdgivare skall bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet skall begränsas till vad som behövs för att den enskilde skall kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om tilldelning av behörighet för åtkomst till uppgifter, som förs helt eller delvis automatiserat.

Kontroll av elektronisk åtkomst

3 § En vårdgivare skall genomföra åtgärder som innebär att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare skall genomföra systematiska och återkommande kontroller av om obehörig åtkomst till sådana uppgifter förekommer.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om dokumentation och kontroll enligt första stycket.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 § Personuppgifter, som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess, får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall skall uppgiften genast spärras.

Uppgift om att det finns spärrade uppgifter får dock vara tillgänglig för andra vårdenheter eller vårdprocesser liksom även uppgift om vilken vårdenhet eller vårdprocess som spärrat uppgifterna.

5 § En spärr enligt 4 § får hävas av en behörig befattningshavare hos vårdgivaren, om

– patienten samtycker till det, eller – patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet Bestämmelser i andra lagar

1 § Om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns bestämmelser i tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser som kan begränsa möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.

Myndighets uppgiftsskyldighet avseende journal upprättad inom enskild hälso- och sjukvård 3 § En myndighet som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

Utlämnande genom direktåtkomst

4 § Direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till personuppgifter som behandlas av annan sådan myndighet i samma landsting eller kommun. Ytterligare bestämmelser om direktåtkomst finns i denna lag i 5 §, 6 kap. och 7 kap. 9 §.

5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2. Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.

Regeringen, eller den myndighet som regeringen bestämmer, får föreskriva de krav på säkerhetsåtgärder som skall gälla vid sådan direktåtkomst.

Utlämnande på medium för automatiserad behandling

6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

6 kap. Sammanhållen journalföring Direktåtkomst till uppgifter hos en annan vårdgivare

1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till andra vårdgivares personuppgifter som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Uppgift om att det finns spärrade uppgifter får dock göras tillgänglig.

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, skall patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig den.

Om en patient motsätter sig sammanhållen journalföring, skall uppgifterna genast spärras. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.

3 § För att en vårdgivare skall få bereda sig tillgång till uppgifter som inte är spärrade enligt 2 § tredje stycket krävs att

1. uppgifterna rör en patient som det finns en aktuell patientrelation med,

2. uppgifterna kan antas ha betydelse för vården av patienten, och

3. patienten samtycker till det. Vårdgivaren får även bereda sig tillgång till sådana uppgifter om

1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,

2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 15 §, och

3. patienten samtycker till det. 4 § En vårdgivare får bereda sig tillgång till en annan vårdgivares uppgifter om en patient, om patientens samtycke inte kan inhämtas och uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver. Detta gäller endast om uppgifterna inte är spärrade enligt 2 § tredje stycket.

5 § En vårdgivare får inte bereda sig tillgång till uppgifter som är tillgängliga genom sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det.

Personuppgiftsansvar vid sammanhållen journalföring

6 § Regeringen får meddela föreskrifter om vem som skall ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

Behörighetstilldelning och åtkomstkontroll

7 § Vad som sägs i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.

Bevarande och gallring

8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 16 § att bevara en journalhandling endast den vårdgivare som ansvarar för handlingen.

Om en journalhandling eller annan handling är tillgänglig för en myndighet endast genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra den från sitt arkiv.

7 kap. Nationella och regionala kvalitetsregister Inledande bestämmelse

1 § Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare och vilka möjliggör jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Den enskildes inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.

Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, skall uppgifterna utplånas ur registret så snart det kan ske.

Information

3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister skall den som är personuppgiftsansvarig se till att den enskilde, utöver den information som skall lämnas enligt 8 kap. 5 §, får information om

1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,

2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, skall den lämnas så snart det kan ske.

Kvalitetsregisters ändamål

4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för

1. framställning av statistik,

2. forskning inom hälso- och sjukvårdsområdet,

3. utlämnande till den som skall använda uppgifterna för ändamål som anges i 4 § eller 1 och 2, och

4. fullgörande av annan uppgiftsskyldighet som följer av lag eller förordning än den enligt 15 kap. 5 § sekretesslagen (1980:100).

6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än dem som anges i 4 och 5 §§.

Personuppgiftsansvar

7 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central organisering, lagring, bearbetning eller annan central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.

Regeringen, eller den myndighet som regeringen bestämmer, får medge undantag från första stycket.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen, eller den myndighet som regeringen bestämmer, i enskilda fall medger det.

Utlämnande genom direktåtkomst

9 § En vårdgivare får ha direktåtkomst till de uppgifter i ett nationellt eller regionalt kvalitetsregister som vårdgivaren lämnat till registret.

Bevarande och gallring

10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister skall gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Om regeringen meddelat föreskrifter enligt 7 § andra stycket, får den också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

8 kap. Rättigheter för den enskilde Rätt att ta del av uppgifter

1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § En journalhandling inom enskild hälso- och sjukvård skall på begäran av patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

I fråga om överklagande av Socialstyrelsens beslut enligt andra stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).

Förstörande av patientjournal

3 § å ansökan av patienten eller någon annan som omnämns i en patientjournal får Socialstyrelsen förordna att journalen helt eller delvis skall förstöras. Förutsättningarna för detta är att

– godtagbara skäl anförs för ansökan, – patientjournalen eller den del därav som ansökan avser uppenbarligen inte behövs för patientens vård, och

– det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.

Innan ansökan slutligt prövas, skall den som ansvarar för en journalhandling som omfattas av ansökan beredas tillfälle att yttra sig.

Om Socialstyrelsen har avslagit en ansökan om förstöring av en patientjournal, får beslutet överklagas hos allmän förvaltningsdomstol. Om Socialstyrelsens beslut innebär bifall till en sådan ansökan, får beslutet inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Information

4 § En vårdgivare skall på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst som förekommit till uppgifter om patienten.

Regeringen, eller den myndighet som regeringen bestämmer, får meddela närmare föreskrifter om den information som skall ges till patienten.

5 § Den som är personuppgiftsansvarig enligt denna lag skall se till att den registrerade får information om personuppgiftsbehandlingen.

Informationen skall innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med behandlingen,

3. vilka kategorier av uppgifter som behandlas,

4. den uppgiftsskyldighet som kan följa av lag eller förordning,

5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

7. rätten enligt 4 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,

8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

9. rätten enligt 28 § personuppgiftslagen till rättelse av oriktiga eller missvisande uppgifter,

10. rätten enligt 48 § personuppgiftslagen till skadestånd vid behandling av personuppgifter i strid mot denna lag,

11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

12. vad som gäller i fråga om bevarande och gallring, samt

13. huruvida personuppgiftsbehandlingen är frivillig eller inte. Prop. 2007/08:126 Bilaga 2

I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som skall lämnas i vissa fall.

Rättelse

6 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om rättelse i 28 § personuppgiftslagen (1998:204). Detta gäller dock inte om åtgärderna skulle strida mot bestämmelserna i 3 kap. 13 §.

Skadestånd

7 § Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § gäller bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204).

Andra rättigheter enligt denna lag

8 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 7 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

9 kap. Omhändertagande och återlämnande av patientjournal Förutsättningar för omhändertagande

1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt föreskrifterna i denna lag eller enligt föreskrifter som meddelats med stöd av lagen, får Socialstyrelsen besluta att de skall tas om hand.

Socialstyrelsen får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om

– den som ansvarar för hanteringen av journalerna ansöker om det, och – det finns ett påtagligt behov av att journalerna tas om hand.

Förutsättningar för återlämnande

2 § En omhändertagen patientjournal skall återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Ansvaret för omhändertagna journaler

3 § Patientjournaler som omhändertagits enligt 1 § skall förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen skall i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna skall förvaras.

Bevarande av omhändertagna journaler

4 § Omhändertagna journalhandlingar skall bevaras minst tio år från det att de kom in till arkivmyndigheten.

Verkställighet av beslut om omhändertagande

5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.

Polismyndigheten skall lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

Överklagande

6 § Socialstyrelsens beslut i fråga om omhändertagande eller återlämnande av patientjournaler får överklagas hos allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Övergångsbestämmelser

1. Denna lag träder i kraft den 1 januari 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister upphör att gälla. 2. Bestämmelserna i 7 kap. skall inte börja tillämpas förrän den 1 januari 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.

3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 januari 2009.

2 Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs i fråga om sekretesslagen (1980:100)

dels att 7 kap. 1 c, 2, 3 och 6 §§, 9 kap. 4 §, 14 kap. 2 § samt 16 kap. 1 § skall ha följande lydelse, dels att det i lagen skall införas två nya paragrafer, 7 kap. 1 d och 1 e §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

7 kap.

1 c §

Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.

Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

En landstingskommunal eller kommunal myndighet som bedriver verksamhet som avses i första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Vidare får utan hinder

En myndighet inom en kommun eller ett landsting som bedriver verksamhet som avses i första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs.

av sekretessen uppgift lämnas till enskild enligt vad som föreskrivs i lagen ( 1988:1473 ) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen ( 1991:1129 ) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen ( 2006:351 ) om genetisk integritet m.m.

1 d §

Sekretess enligt 1 c § första stycket hindrar inte att en uppgift lämnas från en myndighet inom hälso- och sjukvården i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting. Sådan sekretess hindrar inte heller att en uppgift lämnas till en myndighet inom hälso- och sjukvården eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (0000:00) . Sekretessen hindrar inte heller att en uppgift lämnas till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen .

Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt 1 c § första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon skall få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

Sekretess enligt 1 c § första stycket hindrar inte heller att en uppgift lämnas till enskild enligt vad som föreskrivs i lagen ( 1988:1473 ) om undersökning

beträffande vissa smittsamma sjukdomar i brottmål, lagen ( 1991:1129 ) om rättspsykiatrisk vård, smittskyddslagen (2004:168) samt 6 och 7 kap. lagen ( 2006:351 ) om genetisk integritet m.m.

1 e §

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden. Utan hinder av sekretessen får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

2 §

Sekretessen enligt 1 c § gäller inte

Sekretessen enligt 1 c eller 1 e § gäller inte

1. beslut i ärende enligt lagstiftningen om psykiatrisk tvångsvård eller rättspsykiatrisk vård, om beslutet angår frihetsberövande åtgärd,

2. beslut enligt smittskyddslagen (2004:168), om beslutet angår frihetsberövande åtgärd,

3. beslut i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården,

4. beslut i fråga om omhändertagande eller återlämnande av patientjournal.

Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.

Beträffande anmälan i ärende om ansvar eller behörighet för personal inom hälso- och sjukvården gäller sekretess för uppgifter som avses i 1 c eller 1 e §, om det kan antas att den som uppgiften rör eller någon honom eller henne närstående lider betydande men om uppgiften röjs.

3 §

Sekretessen enligt 1 c § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans eller

Sekretessen enligt 1 c eller 1 e § gäller också i förhållande till den vård- eller behandlingsbehövande själv i fråga om uppgift om hans

hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

eller hennes hälsotillstånd, om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas till honom eller henne.

6 §

Sekretess gäller inom hälso- och sjukvården och annan verksamhet som avses i 1 c § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.

Sekretess gäller inom hälso- och sjukvården och annan verksamhet som avses i 1 c eller 1 e § samt inom socialtjänsten för anmälan eller annan utsaga av enskild om någons hälsotillstånd eller andra personliga förhållanden, om det kan antas att fara uppkommer för att den som har gjort anmälan eller avgivit utsagan eller någon honom eller henne närstående utsätts för våld eller annat allvarligt men om uppgiften röjs.

I fråga om uppgift i allmän handling gäller sekretessen i högst femtio år.

9 kap.

4 §

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den som uppgiften rör eller någon honom närstående lider skada eller men.

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kva-

litetsregister enligt patientdatalagen (0000:00) .

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.

14 kap.

2 §

Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för

1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,

2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller

3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.

Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.

Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.

Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.

För uppgift som omfattas av sekretess enligt 7 kap. 1 c–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller

3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

om inte annat följer av sjätte–åttonde styckena. Sekretess enligt 7 kap. 1 c §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

Sekretess enligt 7 kap. 1 c §, 1 e §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

1. enligt 3, 4 eller 6 kap. brottsbalken eller

1. enligt 3, 4 eller 6 kap. brottsbalken eller

2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

Sekretess enligt 7 kap. 4 § första stycket eller andra stycket första meningen hindrar vidare inte att uppgift, som angår misstanke om

1. överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),

2. överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller

3. icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),

till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.

Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.

Sekretess enligt 7 kap. 1 c § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Sekretess enligt 7 kap. 1 c §, 1 e § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Nuvarande lydelse

16 kap.

1 §

Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av

uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

3. denna lag enligt – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

7 kap. 1 c § såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke

Föreslagen lydelse

16 kap.

1 §

Att friheten enligt 1 kap. 1 § tryckfrihetsförordningen och 1 kap. 2 § yttrandefrihetsgrundlagen att meddela och offentliggöra uppgifter i vissa fall är begränsad framgår av 7 kap. 3 § första stycket 1 och 2, 4 § 1–8 samt 5 § 1 och 3 tryckfrihetsförordningen och av 5 kap. 1 § första stycket samt 3 § första stycket 1 och 2 yttrandefrihetsgrundlagen. De fall av uppsåtligt åsidosättande av tystnadsplikt, i vilka nämnda frihet enligt 7 kap. 3 § första stycket 3 och 5 § 2 tryckfrihetsförordningen samt 5 kap. 1 § första stycket och 3 § första stycket 3 yttrandefrihetsgrundlagen i övrigt är begränsad, är de där tystnadsplikten följer av – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

3. denna lag enligt – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

7 kap. 1 c eller 1 e § såvitt avser uppgift om annat än verkställigheten av beslut om omhändertagande eller beslut om vård utan samtycke

Denna lag träder i kraft den 1 januari 2008.

3 Förslag till lag om ändring i lagen (2001:499) om omskärelse av pojkar

Härigenom föreskrivs i fråga om lagen (2001:499) om omskärelse av pojkar att 2 § skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

2 §

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientjournallagen (1985:562).

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientdatalagen (0000:00).

Denna lag träder i kraft den 1 januari 2008.

4 Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 3 kap. 7 § och rubriken närmast före 4 kap. 6 § skall ha följande lydelse,

dels att det i lagen skall införas nya paragrafer, 4 kap. 4 a och 6 a §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

7 §

Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt.

Särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen (1985:562)

Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt i anslutning till biobanken samt i provgivarens patientjournal.

4 kap.

4 a §

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient skall lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till utlämnandet av journalhandlingen. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204) .

Vägran att lämna ut vävnadsprover

Vägran att lämna ut vävnadsprover m.m.

6 a §

Frågor om utlämnande av en journalhandling enligt 4 a § prövas av den som är ansvarig för patientjournalen. Anser denne att journalhandlingen eller någon del av den inte bör lämnas ut, skall han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

Ifråga om överklagande av Socialstyrelsens beslut enligt första stycket gäller i tillämpliga

delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100) .

Denna lag träder i kraft den 1 januari 2008.

5 Förslag till lag om ändring i lagen (2005:225) om rättsintyg i anledning av brott

Härigenom föreskrivs i fråga om lagen (2005:225) om rättsintyg i anledning av brott att 5 och 7 §§ skall ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 §

Ett rättsintyg får inte utfärdas utan den enskildes samtycke, om inte annat följer av andra eller tredje stycket. Ett rättsintyg som avser en målsägande får utfärdas utan samtycke

1. vid misstanke om brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år eller försök till brott för vilket inte är stadgat lindrigare straff än fängelse i två år,

2. vid misstanke om försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

3. vid misstanke om brott enligt 3, 4 eller 6 kap. brottsbalken eller brott som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor, mot någon som inte har fyllt arton år, eller

4. om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c § sekretesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.

4. om uppgifter, för vilka gäller sekretess enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, har lämnats ut till polismyndighet eller åklagarmyndighet efter samtycke från målsäganden.

Ett rättsintyg som avser den som är misstänkt för brott får utfärdas utan samtycke

1. i samband med kroppsbesiktning enligt 28 kap. rättegångsbalken, eller

2. om annan undersökning än kroppsbesiktning har ägt rum och det föreligger misstanke om sådant brott som avses i andra stycket 1–3.

7 §

Från en verksamhet där sekretess gäller enligt 7 kap. 1 c § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs för att ut-

Från en verksamhet där sekretess gäller enligt 7 kap. 1 c eller 1 e § sekretesslagen (1980:100) eller där personalen omfattas av tystnadsplikt enligt 2 kap. 8 § lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område skall det till Rättsmedicinalverket utan hinder av sekretessen eller tystnadsplikten lämnas ut sådana uppgifter som behövs

färda ett rättsintyg om för att utfärda ett rättsintyg om Prop. 2007/08:126 Bilaga 2

1. det begärs av Rättsmedicinalverket, och

2. uppgifterna angår misstanke om sådant brott som avses i 5 § andra stycket 1–3.

Bestämmelser om utlämnande av uppgifter till polismyndighet och åklagarmyndighet i vissa fall finns i 14 kap. 2 § sekretesslagen.

Denna lag träder i kraft den 1 januari 2008.

Förteckning över remissinstanser som avgett yttrande över betänkandet Patientdatalag (SOU 2006:82)

Riksdagens ombudsmän JO, Riksrevisionen, Hovrätten för Övre Norrland, Malmö tingsrätt, Kammarrätten i Stockholm, Länsrätten i Uppsala län, Justitiekanslern (JK), Rättsmedicinalverket, Kommerskollegium, Försäkringskassan, Socialstyrelsen, Läkemedelsverket, Hälso- och sjukvårdens ansvarsnämnd (HSAN), Smittskyddsinstitutet, Handikappombudsmannen (HO), Barnombudsmannen (BO), Stiftelsen för Vård- och Allergiforskning (Vårdalstiftelsen), Apoteket AB, Ekonomistyrningsverket (ESV), Datainspektionen, Statskontoret, Verket för förvaltningsutveckling (Verva), Vetenskapsrådet, Stiftelsen för Kunskaps- och Kompetensutveckling (KK-stiftelsen), Riksarkivet, Post- och telestyrelsen (PTS), Verket för innovationssystem (Vinnova), Kungliga Ingenjörsvetenskapsakademin (IVA), Cancerfonden Riksföreningen mot Cancer, Handikappförbundens samarbetsorgan (HSO), De Handikappades Riksförbund (DHR), Pensionärerna Riksorganisation (PRO), Sveriges Pensionärsförbund (SPF), Sveriges Kommuner och Landsting, Stockholms kommun, Nacka kommun, Uppsala kommun, Karlskrona kommun, Malmö kommun, Simrishamns kommun, Göteborgs kommun , Stenungsunds kommun, Gävle kommun, Ånge kommun, Östersunds kommun, Nordmalings kommun, Luleå kommun, Stockholms läns landsting, Uppsala läns landsting, Södermanlands läns landsting, Östergötlands läns landsting, Jönköpings läns landsting, Kronobergs läns landsting, Kalmar läns landsting, Blekinge läns landsting, Skåne läns landsting, Hallands läns landsting, Västra Götalands läns landsting, Värmlands läns landsting, Örebro läns landsting, Västmanlands läns landsting, Dalarnas läns landsting, Gävleborgs läns landsting, Västernorrlands läns landsting, Jämtlands läns landsting, Västerbottens läns landsting, Norrbottens läns landsting, Svenska läkaresällskapet, Karolinska institutet, Karolinska universitetssjukhuset, Universitetssjukhuset i Lund, Sahlgrenska universitetssjukhuset, Norrlands universitetssjukhus, Akademiska sjukhuset, Universitetssjukhuset i Linköping, Universitetssjukhuset MAS, Universitetssjukhuset i Örebro, eHälsoinstitutet vid Högskolan i Kalmar, Svenska försäkringsföreningen, Sveriges försäkringsförbund, Statens medicinsk-etiska råd (SMER), Vårdföretagarna, Carelink, Sjukvårdsrådgivningen SVR AB, Swedish Medtech, Svenska IT-företagens Organisation (IT-Företagen), Läkemedelsindustriföreningen (LIF), Swedish Standards Institute (SIS), SWEDAC, Svensk förening för medicinsk informatik (SFMI), Uppsala Clinical Research and Registry Center, EyeNet Sweden, Nationellt Kompetenscentrum för Ortopedi, Sveriges läkarförbund, Vårdförbundet, Svensk Sjuksköterskeförening (SSF), Svensk Barnmorskeförening, Akademikerförbundet SSR, Svenska Kommunalarbetareförbundet, Sveriges Kommunaltjänstemannaförbund (SKTF), Sveriges läkarsekreterarförbund, Sveriges Farmacevtförbund, Farmaciförbundet, Sveriges Psykologförbund, Förbundet Sveriges Arbetsterapeuter, Legitimerade Sjukgymnasters Riksförbund (LSR), Sveriges Tandläkarförbund, Privattandläkarföreningen, Optikerförbundet, Svenska KommunalPensionärernas Förbund (SKPF), Sveriges Pensionärers Riksförbund (SPRF), Riks-

förbundet PensionärsGemenskap (RPG), Demensförbundet, Reumatikerförbundet, Riksförbundet för Social och Mental Hälsa (RSMH) Svenska Psoriasisförbundet (PSO), Svenska Diabetesförbundet, Svenska Downföreningen , STROKE Riksförbundet, Stiftelsen Noaks Ark-Röda Korset, Föreningen HIV-Sverige, Strategigruppen för rationell antibiotikaanvändning och minskad antibiotikaresistens (Strama), Sveriges Pensionärsförbund, SPF, Svensk Förening för Allmänmedicin, SFAM, Svenska Föreningen för Barn- och Ungdomspyskiatri, Svensk Förening för medicicinsk Radiologi, SFMR, Tjänstetandläkarföreningen, Hjärnskadeförbundet hjärnkraft, Statens beredning för medicinsk utvärdering, SBU, Oberoende konsult i IT- och ledningsfrågor, Ledamot av Konsult kollegiet, Dahlin, Jan m.fl, Sveriges Sjukhuslärarförening, Riksföreningen för skolsköterskor.

Bilaga 3

Sammanfattning av promemorians lagförslag samt remitterad lagtext

Förslagen innebär att en ändring införs i 6 kap. 2 § fjärde stycket patientdatalagen och att en bestämmelse om absolut sekretess införs i 7 kap. 1 c § tredje stycket sekretesslagen (1980:100) samt att följdändringar införs i 14 kap. 2 § sekretesslagen.

1.1.1 Lagtext Förslag till patientdatalag

6 kap. Sammanhållen journalföring

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. Uppgift om att det finns spärrade uppgifter får dock göras tillgänglig.

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig den.

Om en patient motsätter sig sammanhållen journalföring, ska uppgifterna genast spärras. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren. En vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.

Om en patient inte motsätter sig sammanhållen journalföring ska uppgifterna om patienten göras tillgängliga för de vårdgivare som är anslutna till systemet. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Övriga vårdgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig och övriga uppgifters innehåll.

Förslag till lag om ändring i sekretesslagen (1980:100)

Nuvarande lydelse Föreslagen lydelse

7 kap. 1 c §1

Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande

1 Senaste lydelse 2007:1127.

av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.

Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.

Sekretess gäller hos en myndighet som bedriver verksamhet som avses i första stycket för uppgift om enskilds personliga förhållanden som gjorts tillgängliga av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring i patientdatalagen (2008:xxx), om förutsättningar för att myndigheten ska kunna behandla uppgiften enligt 6 kap. 3 eller 4 §§ nämnda lag inte är uppfyllda. Om sådana förutsättningar föreligger eller myndigheten behandlat uppgiften enligt nämnda lagrum tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men.

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden.

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

En landstingskommunal eller kommunal myndighet som bedriver verksamhet som avses i första stycket får lämna uppgift till annan

Sekretess enligt första stycket hindrar inte att en uppgift lämnas

1. från en myndighet, som bedriver verksamhet som avses i första stycket i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting,

2. till en myndighet som bedriver verksamhet som avses i första stycket eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen (2008:00) ,

3. till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen ,

4. från en myndighet som bedriver verksamhet som avses i första stycket inom en kommun eller ett

sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Vidare får utan hinder av sekretessen uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m. samt lagen (2006:496) om blodsäkerhet.

landsting till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs,

5. till enskild enligt vad som föreskrivs i lagen ( 1988:1473 ) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen ( 1991:1129 ) om rättspsykiatrisk vård, smittskyddslagen (2004:168) , 6 och 7 kap. lagen ( 2006:351 ) om genetisk integritet m.m. samt lagen ( 2006:496 ) om blodsäkerhet.

Om den enskilde på grund av sitt hälsotillstånd eller av annat skäl inte kan samtycka till att en uppgift lämnas ut, hindrar sekretess enligt första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

Utan hinder av sekretessen enligt tredje stycket får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

Ytterligare bestämmelser om undantag från sekretessen enligt första stycket, andra stycket, tredje stycket andra meningen och fjärde stycket finns i 14 kap. 2 §.

14 kap.

2 §2

Nuvarande lydelse Föreslagen lydelse

Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för

1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,

2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller

3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.

Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.

Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget skall hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.

Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.

För uppgift som omfattas av sekretess enligt 7 kap. 1 c-6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

Vad som föreskrivs i fjärde stycket gäller inte för uppgift som omfattas av sekretess enligt 7 kap. 1 c § tredje stycket första meningen. För uppgift som omfattas av sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket, 7 kap. 2–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,

2 Senaste lydelse 2007:243. Anmärkning: En ändring i 14 kap. 2 § har även föreslagits i lagrådsremiss x och x.

2. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller

3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

om inte annat följer av sjätte-åttonde styckena. Sekretess enligt 7 kap. 1 c §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

Sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

1. enligt 3, 4 eller 6 kap. brottsbalken eller

2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

Sekretess enligt 7 kap. 4 § första och tredje styckena hindrar vidare inte att uppgift, som angår misstanke om

1. överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),

2. överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller

3. icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),

till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.

Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.

Sekretess enligt 7 kap. 1 c § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde skall få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nöd-

vändig insats till skydd för det väntade barnet.

Remissinstanser som svarat på begränsad remiss om kompletterande bestämmelser avseende nya bestämmelser i 6 kap. 2 § patientdatalagen och 7 kap. 1 c § sekretesslagen

Riksdagens ombudsmän, Hovrätten för övre Norrland, Malmö tingsrätt, Kammarrätten i Stockholm, Socialstyrelsen, Hälso- och sjukvårdens ansvarsnämnd, Datainspektionen, Sveriges Kommuner och Landsting, Sveriges Läkarförbund, Vårdförbundet.

Lagrådsremissens lagförslag

1 Lagförslag

Regeringen har följande förslag till lagtext.

1.1 Förslag till patientdatalag

Härigenom föreskrivs följande.

1 kap. Lagens tillämpningsområde m.m.

Lagens tillämpningsområde

1 § Denna lag tillämpas vid vårdgivares behandling av personuppgifter inom hälso- och sjukvården. I lagen finns också bestämmelser om skyldighet att föra patientjournal.

Lagen gäller i tillämpliga delar även uppgifter om avlidna personer.

Syfte med lagen

2 §

Informationshantering inom hälso- och sjukvården ska vara organiserad så att den tillgodoser patientsäkerhet och god kvalitet av vården samt främjar kostnadseffektivitet.

Personuppgifter ska utformas och i övrigt behandlas så att patienters och övriga registrerades integritet respekteras.

Dokumenterade personuppgifter ska hanteras och förvaras så att obehöriga inte får tillgång till dem.

Definitioner

3 § I denna lag används följande uttryck med nedan angiven betydelse.

Uttryck Betydelse

Hälso- och sjukvård Verksamhet som avses i hälso- och sjukvårdslagen (1982:763), tandvårdslagen (1985:125), lagen (1991:1128) om psykiatrisk tvångsvård, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), lagen (1944:133) om kastrering, lagen (1972:119) om fastställande av könstillhörighet i vissa fall samt lagen (2006:351) om genetisk integritet m.m.

Journalhandling Framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel och som upprättas eller inkommer i samband med vården av en patient och som innehåller uppgifter om patientens hälsotillstånd eller andra personliga förhållanden eller om vidtagna eller planerade vårdåtgärder.

Patientjournal En eller flera journalhandlingar som rör samma patient.

Sammanhållen journalföring Ett elektroniskt system, som gör det möjligt för en vårdgivare eller en myndighet inom ett landsting eller en kommun att ge eller få direktåtkomst till personuppgifter hos en annan vårdgivare eller annan myndighet inom ett landsting eller en kommun.

Vårdgivare Statlig myndighet, landsting och kommun i fråga om sådan hälso- och sjukvårdsverksamhet som myndigheten, landstinget eller kommunen har ansvar för (offentlig vårdgivare) samt annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet (privat vårdgivare).

Förhållandet till personuppgiftslagen

4 §Personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter inom hälso- och sjukvården som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier, om inte annat följer av denna lag eller föreskrifter som meddelas med stöd av denna lag.

2 kap. Grundläggande bestämmelser om behandling av personuppgifter

Kapitlets tillämpningsområde

1 § Bestämmelserna i detta kapitel tillämpas vid sådan behandling av personuppgifter som avses i 1 kap. 4 §.

Den enskildes inställning till personuppgiftsbehandling

Bilaga 6

2 § Behandling av personuppgifter som är tillåten enligt denna lag får utföras även om den enskilde motsätter sig den. Det gäller dock inte i de fall som anges i 4 kap. 4 §, 6 kap. och 7 kap. 2 § denna lag eller om något annat framgår av annan lag eller förordning.

3 § Behandling av personuppgifter som inte är tillåten enligt denna lag får ändå utföras om den enskilde lämnat ett uttryckligt samtycke till behandlingen. Det gäller dock inte i de fall som anges i 6 kap. 5 § denna lag eller om något annat framgår av annan lag eller förordning.

Regeringen får meddela föreskrifter om att en behandling av personuppgifter som inte är tillåten enligt denna lag inte heller i andra fall får utföras trots att den enskilde lämnat samtycke till behandlingen.

Ändamål för personuppgiftsbehandlingen

4 § Personuppgifter får behandlas inom hälso- och sjukvården om det behövs för

1. att fullgöra de skyldigheter som anges i 3 kap. och upprätta annan dokumentation som behövs i och för vården av patienter,

2. administration som rör patienter och som syftar till att ge vård i enskilda fall eller som annars föranleds av vård i enskilda fall,

3. att upprätta annan dokumentation som följer av lag, förordning eller annan författning,

4. att systematiskt och fortlöpande utveckla och säkra kvaliteten i verksamheten,

5. administration, planering, uppföljning, utvärdering och tillsyn av verksamheten, eller

6. att framställa statistik om hälso- och sjukvården. I 7 kap. 4 och 5 §§ finns särskilda bestämmelser om ändamålen för behandling av personuppgifter i nationella och regionala kvalitetsregister.

5 § Personuppgifter som behandlas för ändamål som anges i 4 § får också behandlas för att fullgöra uppgiftslämnande som sker i överensstämmelse med lag eller förordning. I övrigt gäller 9 § första stycket d och andra stycket personuppgiftslagen (1998:204).

Personuppgiftsansvar

6 § En vårdgivare är personuppgiftsansvarig för den behandling av personuppgifter som den utför. I landsting och kommun är varje myndighet som bedriver hälso- och sjukvård personuppgiftsansvarig för den behandling av personuppgifter som myndigheten utför.

Personuppgiftsansvaret enligt första stycket omfattar även sådan behandling av personuppgifter som vårdgivaren, eller den myndighet i ett landsting eller en kommun som är personuppgiftsansvarig, utför när vårdgivaren eller myndigheten genom direktåtkomst i ett enskilt fall

bereder sig tillgång till personuppgifter om en patient hos en annan vårdgivare eller annan myndighet i samma landsting eller kommun.

I 6 och 7 kap. finns särskilda bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

7 § En vårdgivare får endast behandla sådana personuppgifter som behövs för de ändamål som anges i 4 §. Uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen (1998:204) får endast behandlas om det är absolut nödvändigt för ett sådant ändamål. Även en vårdgivare som inte är statlig myndighet, landsting eller kommun får under dessa förutsättningar behandla uppgifter om lagöverträdelser m.m. som avses i 21 § personuppgiftslagen.

Sökbegrepp

8 § Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) eller uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får inte användas som sökbegrepp. Inte heller får uppgifter om att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen (2005:716) användas som sökbegrepp.

Det är trots förbudet i första stycket tillåtet att som sökbegrepp använda uppgifter om

1. hälsa, eller 2. att någon varit föremål för tvångsingripande enligt lagen (1991:1128) om psykiatrisk tvångsvård eller lagen (1991:1129) om rättspsykiatrisk vård,

Regeringen får meddela föreskrifter om att en vårdgivare, trots förbudet i första stycket, får använda uppgifter om etnicitet eller uppgifter av betydelse för smittskyddet samt att någon fått bistånd eller andra insatser inom socialtjänsten eller varit föremål för åtgärder enligt utlänningslagen som sökbegrepp för att göra vissa slags sammanställningar.

3 kap. Skyldigheten att föra patientjournal

Inledande bestämmelse

1 § Vid vård av patienter ska det föras en patientjournal. En patientjournal ska föras för varje patient och får inte vara gemensam för flera patienter.

I 6 kap. finns bestämmelser om direktåtkomst till andra vårdgivares och myndigheters uppgifter om patienter genom sammanhållen journalföring.

Syftet med en patientjournal

Bilaga 6

2 § Syftet med att föra en patientjournal är i första hand att bidra till en god och säker vård av patienten.

En patientjournal är även en informationskälla för – patienten, – uppföljning och utveckling av verksamheten, – tillsyn och andra rättsliga krav, – uppgiftsskyldighet enligt lag, samt – forskning.

Personer som är skyldiga att föra en patientjournal

3 § Skyldig att föra en patientjournal är

1. den som enligt 3 kap. lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område har legitimation eller särskilt förordnande att utöva visst yrke,

2. den som, utan att ha legitimation för yrket, utför arbetsuppgifter som annars bara ska utföras av logoped, psykolog eller psykoterapeut inom den allmänna hälso- och sjukvården eller sådana arbetsuppgifter inom den enskilda hälso- och sjukvården som biträde åt legitimerad yrkesutövare,

3. den som är verksam som kurator i den allmänna hälso- och sjukvården.

Ansvar för uppgifter i en patientjournal

4 § Den som för patientjournal ansvarar för sina uppgifter i journalen.

En patientjournals innehåll

5 § En patientjournal får endast innehålla de uppgifter som behövs för de ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

6 § En patientjournal ska innehålla de uppgifter som behövs för en god och säker vård av patienten.

Om uppgifterna finns tillgängliga, ska en patientjournal alltid innehålla

1. uppgift om patientens identitet,

2. väsentliga uppgifter om bakgrunden till vården,

3. uppgift om ställd diagnos och anledning till mera betydande åtgärder,

4. väsentliga uppgifter om vidtagna och planerade åtgärder, och

5. uppgift om den information som lämnats till patienten och om de ställningstaganden som gjorts om val av behandlingsalternativ och om möjligheten till en förnyad medicinsk bedömning.

Patientjournalen ska vidare innehålla uppgift om vem som har gjort en viss anteckning i journalen och när anteckningen gjordes.

7 § En patientjournal får innehålla de uppgifter som enligt lag eller annan författning ska antecknas i en patientjournal.

8 § Om patienten anser att en uppgift i patientjournalen är oriktig eller missvisande, ska det antecknas i journalen.

9 § Uppgifter som ska antecknas enligt 6–8 §§ ska föras in i journalen så snart som möjligt.

10 § En journalanteckning ska, om det inte finns något synnerligt hinder, signeras av den som ansvarar för uppgiften.

11 § Om en journalhandling eller en avskrift eller kopia av handlingen har lämnats ut till någon, ska det dokumenteras i patientjournalen vem som har fått handlingen, avskriften eller kopian och när denna har lämnats ut. Detta gäller dock inte utlämnande genom direktåtkomst.

12 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om undantag från bestämmelsen i 6 § andra stycket 1 när det gäller provtagning för viss sjukdom och från bestämmelsen om signeringskrav i 10 §.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om en journalhandlings innehåll och utformning.

Språket i patientjournaler

13 § De journalhandlingar som upprättas inom hälso- och sjukvården ska vara skrivna på svenska språket, vara tydligt utformade och så förståeliga som möjligt för patienten.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att en sådan journalhandling får vara skriven på ett annat språk än svenska.

Hantering av journalhandlingar

14 § Uppgifter i en journalhandling får inte utplånas eller göras oläsliga i andra fall än som avses i 8 kap. 4 §.

Vid rättelse av en felaktighet ska det anges när rättelsen har skett och vem som har gjort den.

15 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om hur journalhandlingar ska hanteras och förvaras.

Skyldighet att utfärda intyg om vården

16 § Den som enligt 3 § är skyldig att föra patientjournal ska på begäran av patienten utfärda intyg om vården.

Bevarande av journalhandlingar

Bilaga 6

17 § En journalhandling ska bevaras minst tio år efter det att den sista uppgiften fördes in i handlingen. Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om att vissa slags journalhandlingar ska bevaras under längre tid än minst tio år.

Särskilda bestämmelser om bevarande av journalhandlingar som tagits om hand efter beslut av Socialstyrelsen finns i 9 kap. 4 §.

18 § För journalhandlingar som utgör allmänna handlingar gäller, med de undantag som följer av 17 § denna lag, arkivlagen (1990:782) samt de bestämmelser som meddelas med stöd av arkivlagen.

Patientjournaler i krig m.m.

19 § Regeringen får meddela särskilda föreskrifter om patientjournaler i krig, vid krigsfara eller under sådana utomordentliga förhållanden som är föranledda av att det är krig utanför Sveriges gränser eller av att Sverige har varit i krig eller krigsfara.

4 kap. Grundläggande bestämmelser om inre sekretess och elektronisk åtkomst inom en vårdgivares verksamhet

Inre sekretess

1 § Den som arbetar hos en vårdgivare får ta del av dokumenterade uppgifter om en patient endast om han eller hon deltar i vården av patienten eller av annat skäl behöver uppgifterna för sitt arbete inom hälso- och sjukvården.

Tilldelning av behörighet för elektronisk åtkomst

2 § En vårdgivare ska bestämma villkor för tilldelning av behörighet för åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat. Sådan behörighet ska begränsas till vad som behövs för att den enskilde ska kunna fullgöra sina arbetsuppgifter inom hälso- och sjukvården.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om tilldelning av behörighet för åtkomst till uppgifter som förs helt eller delvis automatiserat.

Kontroll av elektronisk åtkomst

3 § En vårdgivare ska se till att åtkomst till sådana uppgifter om patienter som förs helt eller delvis automatiserat dokumenteras och kan kontrolleras. Vårdgivare ska göra systematiska och återkommande kontroller av om någon obehörigen kommer åt sådana uppgifter.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om dokumentation och kontroll enligt första stycket.

Patientens möjlighet att begränsa elektronisk åtkomst för vårdsyfte

4 § Personuppgifter som dokumenterats för ändamål som anges i 2 kap. 4 § första stycket 1 och 2 hos en vårdenhet eller inom en vårdprocess får inte göras tillgängliga genom elektronisk åtkomst för den som arbetar vid en annan vårdenhet eller inom en annan vårdprocess hos samma vårdgivare, om patienten motsätter sig det. I sådana fall ska uppgiften genast spärras.

Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.

Uppgift om att det finns spärrade uppgifter får vara tillgänglig för andra vårdenheter eller vårdprocesser.

5 § En spärr enligt 4 § första stycket får hävas av en behörig befattningshavare hos vårdgivaren, om

1. patienten samtycker till det, eller

2. patientens samtycke inte kan inhämtas och informationen kan antas ha betydelse för den vård som patienten oundgängligen behöver.

Uppgift om vårdenheter eller vårdprocesser som spärrat uppgifterna ska i det fall som avses i 2 göras tillgängliga. Därefter får bara sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

5 kap. Grundläggande bestämmelser om utlämnande av uppgifter och handlingar samt viss uppgiftsskyldighet

Bestämmelser i andra lagar

1 § Bestämmelser om rätten att ta del av handlingar och uppgifter inom den allmänna hälso- och sjukvården finns i tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § I lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område finns bestämmelser som kan begränsa möjligheten att lämna ut uppgifter från den enskilda hälso- och sjukvården.

Myndighets skyldighet att lämna uppgift ur journal upprättad inom enskild hälso- och sjukvård

3 § En myndighet som enligt 9 kap. har hand om en patientjournal upprättad inom enskild hälso- och sjukvård har, om uppgift ur journalen begärs för särskilt fall, samma skyldighet att lämna uppgiften som den haft som ansvarat för journalen före överlämnandet till myndigheten.

Utlämnande genom direktåtkomst

4 § Utlämnande genom direktåtkomst till personuppgifter är tillåten endast i den utsträckning som anges i lag eller förordning.

Om ett landsting eller en kommun bedriver hälso- och sjukvård genom flera myndigheter, får en sådan myndighet ha direktåtkomst till person-

uppgifter som behandlas av någon annan sådan myndighet i samma landsting eller kommun.

Bilaga 6

Ytterligare bestämmelser om utlämnande genom direktåtkomst finns i denna lag i 5 §, 6 kap. och i 7 kap. 9 §.

5 § En vårdgivare får medge en enskild direktåtkomst till sådana uppgifter om den enskilde själv som får lämnas ut till honom eller henne och som behandlas för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Den enskilde får under samma förutsättningar medges direktåtkomst till sådan dokumentation som avses i 4 kap. 3 § första stycket första meningen.

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om de krav på säkerhetsåtgärder som ska gälla vid sådan direktåtkomst som avses i andra stycket.

Utlämnande på medium för automatiserad behandling

6 § Får en personuppgift lämnas ut, kan det ske på medium för automatiserad behandling.

6 kap. Sammanhållen journalföring

Utlämnande genom direktåtkomst till uppgifter hos en annan vårdgivare

1 § En vårdgivare får, under de förutsättningar som anges i 2 §, ha direktåtkomst till personuppgifter som behandlas av andra vårdgivare för ändamål som anges i 2 kap. 4 § första stycket 1 och 2.

Patientens inflytande vid sammanhållen journalföring m.m.

2 § Om en patient motsätter sig det, får uppgifter om patienten inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Uppgift om att det finns spärrade uppgifter får dock göras tillgänglig.

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig den.

Om en patient motsätter sig sammanhållen journalföring, ska uppgifterna genast spärras. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren. Vårdnadshavare till ett barn har dock inte rätt att spärra barnets uppgifter.

Ospärrade uppgifter om patienten ska göras tillgängliga för de vårdgivare som är anslutna till systemet. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Övriga vårdgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vårdgivare som gjort uppgiften tillgänglig och övriga uppgifters innehåll.

3 § För att en vårdgivare ska få behandla uppgifter som en annan vårdgivare gjort tillgängliga i systemet med sammanhållen journalföring enligt 2 § fjärde stycket krävs att

1. uppgifterna rör en patient som det finns en aktuell patientrelation med,

2. uppgifterna kan antas ha betydelse för att förebygga, utreda eller behandla sjukdomar och skador hos patienten inom hälso- och sjukvården, och

3. patienten samtycker till det. Vårdgivaren får även behandla sådana uppgifter om

1. uppgifterna rör en patient som det finns eller har funnits en patientrelation med,

2. uppgifterna kan antas ha betydelse för att utfärda sådant intyg som avses i 3 kap. 16 §, och

3. patienten samtycker till det. För att en vårdgivare ska få behandla sådana uppgifter som en vårdnadshavare inte har rätt att spärra enligt 2 § tredje stycket sista meningen krävs att första stycket 1 och 2 eller andra stycket 1 och 2 är uppfyllda.

4 § En vårdgivare får bereda sig tillgång till en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring om uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver och

1. patienten inte kan begära att spärren hävs enligt 2 § tredje stycket, eller

2. det finns ospärrade uppgifter om patienten och patientens samtycke inte kan inhämtas enligt 3 §.

Uppgift om hos vilken vårdgivare som det finns spärrade eller ospärrade uppgifter ska i sådana fall göras tillgänglig. Därefter får endast sådana uppgifter som kan antas ha betydelse för vården av patienten göras tillgängliga.

5 § En vårdgivare får inte behandla en annan vårdgivares uppgifter om en patient i systemet med sammanhållen journalföring under andra förutsättningar än dem som anges i 3 och 4 §§ även om patienten uttryckligen samtycker till det.

Personuppgiftsansvar vid sammanhållen journalföring

6 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om vem som ska ha personuppgiftsansvar för övergripande frågor om tekniska och organisatoriska säkerhetsåtgärder vid sammanhållen journalföring.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Behörighetstilldelning och åtkomstkontroll

7 § Bestämmelserna i 4 kap. 2 och 3 §§ gäller även för behörighetstilldelning och åtkomstkontroll vid sammanhållen journalföring.

Bevarande och gallring

Bilaga 6

8 § När patientjournaler är tillgängliga för flera vårdgivare genom sammanhållen journalföring gäller skyldigheten enligt 3 kap. 17 § att bevara en journalhandling bara den vårdgivare som ansvarar för handlingen.

Om en journalhandling eller annan handling är tillgänglig för en myndighet bara genom sammanhållen journalföring och myndigheten inte ansvarar för den, får myndigheten gallra den från sitt arkiv.

7 kap. Nationella och regionala kvalitetsregister

Inledande bestämmelse

1 § Bestämmelserna i detta kapitel gäller för nationella och regionala kvalitetsregister i vilka personuppgifter samlas in från flera vårdgivare.

Kvalitetsregistren ska möjliggöra jämförelser inom hälso- och sjukvården på nationell eller regional nivå. Med kvalitetsregister avses en automatiserad och strukturerad samling av personuppgifter som inrättats särskilt för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

Den enskildes inställning till behandling i kvalitetsregister

2 § Personuppgifter får inte behandlas i ett nationellt eller regionalt kvalitetsregister, om den enskilde motsätter sig det.

Om den enskilde motsätter sig personuppgiftsbehandlingen sedan den påbörjats, ska uppgifterna utplånas ur registret så snart som möjligt.

Information

3 § Innan personuppgifter behandlas i ett nationellt eller regionalt kvalitetsregister ska den som är personuppgiftsansvarig se till att den enskilde, utöver den information som ska lämnas enligt 8 kap. 6 §, får information om

1. rätten att när som helst få uppgifter om sig själv utplånade ur registret,

2. i vilken utsträckning personuppgifter inhämtas från någon annan källa än från den enskilde själv eller dennes patientjournal, och

3. vilka kategorier av mottagare som personuppgifter kan komma att lämnas ut till.

Om det inte är möjligt att lämna informationen innan personuppgiftsbehandlingen påbörjas, ska den lämnas så snart som möjligt.

Kvalitetsregisters ändamål

4 § I stället för vad som anges i 2 kap. 4 och 5 §§ gäller att personuppgifter i nationella och regionala kvalitetsregister får behandlas för ändamålet att systematiskt och fortlöpande utveckla och säkra vårdens kvalitet.

5 § Personuppgifter som behandlas för de ändamål som anges i 4 § får också behandlas för ändamålen

1. framställning av statistik,

2. forskning inom hälso- och sjukvården,

3. utlämnande till den som ska använda uppgifterna för ändamål som anges i 4 § eller 1 och 2, och

4. fullgörande av annan uppgiftsskyldighet som följer av lag eller förordning än den som anges i 15 kap. 5 § sekretesslagen (1980:100).

6 § Personuppgifter i nationella och regionala kvalitetsregister får inte behandlas för några andra ändamål än de som anges i 4 och 5 §§.

Personuppgiftsansvar

7 § Endast myndigheter inom hälso- och sjukvården får vara personuppgiftsansvariga för central behandling av personuppgifter i ett nationellt eller regionalt kvalitetsregister.

Regeringen eller den myndighet som regeringen bestämmer får besluta om undantag från första stycket.

I 2 kap. 6 § finns allmänna bestämmelser om personuppgiftsansvar.

Personuppgifter som får behandlas

8 § Endast sådana personuppgifter som behövs för ändamål som anges i 4 § får behandlas i ett nationellt eller regionalt kvalitetsregister.

En enskilds personnummer eller namn får behandlas i ett nationellt eller regionalt kvalitetsregister endast om det inte är tillräckligt för ändamål som anges i 4 § att använda kodade personuppgifter eller personuppgifter som endast indirekt kan hänföras till den enskilde.

Känsliga personuppgifter som avses i 13 § personuppgiftslagen (1998:204) och som inte rör hälsa samt uppgifter om lagöverträdelser m.m. som avses i 21 § samma lag får behandlas endast om regeringen eller den myndighet som regeringen bestämmer i enskilda fall medger det.

Utlämnande genom direktåtkomst

9 § En vårdgivare får ha direktåtkomst till de uppgifter som vårdgivaren lämnat till ett nationellt eller regionalt kvalitetsregister.

Bevarande och gallring

10 § Personuppgifter i ett nationellt eller regionalt kvalitetsregister ska gallras när de inte längre behövs för det ändamål som anges i 4 §.

En arkivmyndighet inom ett landsting eller en kommun får dock föreskriva att personuppgifter i ett nationellt eller regionalt kvalitetsregister som förs inom landstinget eller kommunen får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Om regeringen meddelat föreskrifter enligt 7 § andra stycket, får den också föreskriva att personuppgifter får bevaras för historiska, statistiska eller vetenskapliga ändamål.

Bilaga 6

8 kap. Rättigheter för den enskilde

Rätt att ta del av uppgifter

1 § Att en myndighet inom allmän hälso- och sjukvård under vissa förutsättningar är skyldig att lämna ut journalhandlingar och andra handlingar och uppgifter till en patient, framgår av tryckfrihetsförordningen och sekretesslagen (1980:100).

2 § En journalhandling inom enskild hälso- och sjukvård ska på begäran av patienten eller av en närstående till patienten så snart som möjligt tillhandahållas honom eller henne för läsning eller avskrivning på stället eller i avskrift eller kopia, om inte annat följer av 2 kap. 8 § andra stycket eller 9 § första stycket lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område.

Frågor om utlämnande av en journalhandling enligt första stycket prövas av den som är ansvarig för journalhandlingen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

Rättelse

3 § Bestämmelserna i 28 § personuppgiftslagen (1998:204) om den personuppgiftsansvariges skyldighet att på begäran av den registrerade rätta, blockera eller utplåna personuppgifter och att underrätta tredje man, till vilken uppgifterna har lämnats ut, ska gälla även då sådan behandling av personuppgifter som avses i 1 kap. 4 § skett i strid med denna lag.

Enligt 3 kap. 14 § får dock uppgifter i en journalhandling inte utplånas eller göras oläsliga i andra fall än som avses i 4 §.

Förstörande av patientjournal

4 § På ansökan av patienten eller någon annan som omnämns i en patientjournal får Socialstyrelsen besluta att journalen helt eller delvis ska förstöras. Förutsättningarna för detta är att

1. godtagbara skäl anförs för ansökan,

2. patientjournalen eller den del av den som ansökan avser uppenbarligen inte behövs för patientens vård, och

3. det från allmän synpunkt uppenbarligen inte finns skäl att bevara journalen.

Innan ansökan slutligt prövas får den som ansvarar för en journalhandling som omfattas av ansökan ges tillfälle att yttra sig.

Information

5 § En vårdgivare ska på begäran av en patient lämna information om den direktåtkomst och elektroniska åtkomst till uppgifter om patienten som förekommit.

Regeringen eller den myndighet som regeringen bestämmer får meddela närmare föreskrifter om den information som ska ges till patienten.

6 § Den som är personuppgiftsansvarig enligt denna lag ska se till att den registrerade får information om personuppgiftsbehandlingen.

Informationen ska innehålla upplysningar om

1. vem som är personuppgiftsansvarig,

2. ändamålet med behandlingen,

3. vilka kategorier av uppgifter som behandlas,

4. den uppgiftsskyldighet som kan följa av lag eller förordning,

5. de sekretess- och säkerhetsbestämmelser som gäller för uppgifterna och behandlingen,

6. rätten enligt 4 kap. 4 § att i vissa fall begära att uppgifter spärras,

7. rätten enligt 5 § att få information om den direktåtkomst och elektroniska åtkomst som förekommit,

8. rätten att ta del av uppgifter enligt 26 § personuppgiftslagen (1998:204),

9. rätten till rättelse och underrättelse av tredje man enligt 28 § personuppgiftslagen,

10. rätten enligt 48 § personuppgiftslagen till skadestånd vid behandling av personuppgifter i strid mot denna lag,

11. vad som gäller i fråga om sökbegrepp, direktåtkomst och utlämnande av uppgifter på medium för automatiserad behandling,

12. vad som gäller i fråga om bevarande och gallring, samt 13. huruvida personuppgiftsbehandlingen är frivillig eller inte. I 6 kap. 2 § och 7 kap. 3 § finns ytterligare bestämmelser om vilken information som ska lämnas i vissa fall.

Andra rättigheter enligt denna lag

7 § I denna lag finns föreskrifter om andra rättigheter för den enskilde i 3 kap. 8 §, 4 kap. 4 §, 6 kap. 2 § samt 7 kap. 2 och 3 §§.

9 kap. Omhändertagande och återlämnande av patientjournal

Förutsättningar för omhändertagande

1 § Om det på sannolika skäl kan antas att patientjournaler inom enskild hälso- och sjukvård inte kommer att handhas enligt föreskrifterna i denna lag eller enligt föreskrifter som meddelats i anslutning till lagen, får

Socialstyrelsen besluta att de ska tas om hand.

Socialstyrelsen får också besluta om omhändertagande av patientjournaler inom enskild hälso- och sjukvård, om

1. den som ansvarar för hanteringen av journalerna ansöker om det, och

2. det finns ett påtagligt behov av att journalerna tas om hand.

Bilaga 6

Förutsättningar för återlämnande

2 § En omhändertagen patientjournal ska återlämnas, om det är möjligt och det inte finns skäl för omhändertagande enligt 1 §. Beslut i fråga om återlämnande meddelas av Socialstyrelsen efter ansökan av den som vid beslutet om omhändertagande ansvarade för hanteringen av journalen.

Ansvaret för omhändertagna journaler

3 § Patientjournaler som omhändertagits enligt 1 § ska förvaras avskilda hos arkivmyndigheten i det landsting eller, i fråga om kommun som inte tillhör något landsting, den kommun där journalerna finns. Socialstyrelsen ska i varje beslut om omhändertagande ange hos vilken arkivmyndighet journalerna ska förvaras.

Bevarande av omhändertagna journaler

4 § Omhändertagna journalhandlingar ska bevaras minst tio år från det att de kom in till arkivmyndigheten.

Verkställighet av beslut om omhändertagande

5 § Ett beslut om omhändertagande av patientjournaler får verkställas även om det inte vunnit laga kraft, om inte något annat föreskrivits i beslutet.

Polismyndigheten ska lämna den hjälp som behövs för att verkställa ett beslut om omhändertagande av patientjournaler.

10 kap. Skadestånd och överklagande

Skadestånd

1 § Bestämmelserna om skadestånd i 48 § personuppgiftslagen (1998:204) gäller vid sådan behandling av personuppgifter enligt denna lag som är helt eller delvis automatiserad eller där uppgifterna ingår i eller är avsedda att ingå i en strukturerad samling av personuppgifter som är tillgängliga för sökning eller sammanställning enligt särskilda kriterier.

Överklagande

2 § Socialstyrelsens beslut om att avslå en ansökan om förstöring av en patientjournal enligt 8 kap. 4 § första stycket, samt i fråga om omhändertagande eller återlämnande av patientjournaler enligt 9 kap. 1 och 2 §§, får överklagas hos allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

I fråga om överklagande av Socialstyrelsens beslut enligt 8 kap. 2 § andra stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100).

Vid sådan behandling av personuppgifter som avses i 1 kap. 4 § finns ytterligare bestämmelser om överklagande i 5153 §§personuppgiftslagen (1998:204).

Övriga beslut enligt denna lag får inte överklagas.

1. Denna lag träder i kraft den 1 juli 2008, då patientjournallagen (1985:562) och lagen (1998:544) om vårdregister ska upphöra att gälla.

2. Bestämmelserna i 7 kap. ska inte börja tillämpas förrän den 1 juli 2009 i fråga om nationella och regionala kvalitetsregister som börjat föras före denna lags ikraftträdande.

3. Bestämmelserna i 7 kap. 2 och 3 §§ gäller inte för personuppgifter som behandlats i nationella och regionala kvalitetsregister före den 1 juli 2009.

Bilaga 6

1.2 Förslag till lag om ändring i sekretesslagen (1980:100)

Härigenom föreskrivs att 7 kap. 1 c §, 9 kap. 4 § och 14 kap. 2 §sekretesslagen (1980:100)1 ska ha följande lydelse,

Nuvarande lydelse Föreslagen lydelse

7 kap. 1 c §2

Sekretess gäller, om inte annat följer av 2 §, inom hälso- och sjukvården för uppgift om enskilds hälsotillstånd eller andra personliga förhållanden, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men. Detsamma gäller i annan medicinsk verksamhet, såsom rättsmedicinsk och rättspsykiatrisk undersökning, insemination, befruktning utanför kroppen, fastställande av könstillhörighet, abort, sterilisering, kastrering, omskärelse, åtgärder mot smittsamma sjukdomar och ärenden hos nämnd med uppgift att bedriva patientnämndsverksamhet.

Sekretess enligt första stycket gäller också i sådan verksamhet hos myndighet som innefattar omprövning av beslut i eller särskild tillsyn över allmän eller enskild hälso- och sjukvård.

Sekretess gäller hos en myndighet som bedriver verksamhet som avses i första stycket för uppgift om enskilds personliga förhållanden som gjorts tillgängliga av en annan vårdgivare enligt bestämmelserna om sammanhållen journalföring i patientdatalagen (2008:00) , om förutsättningar enligt 6 kap. 3 eller 4 §§ nämnda lag för att myndigheten ska få behandla uppgiften inte är uppfyllda. Om sådana förutsättningar föreligger eller myndigheten behandlat uppgiften enligt nämnda bestämmelser tidigare, gäller sekretess, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående till den enskilde lider men.

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra

Sekretess gäller i verksamhet som avser omhändertagande av patientjournal inom enskild hälso- och sjukvård för uppgift om enskilds hälsotillstånd eller andra

1 Lagen omtryckt 1992:1474. 2 Senaste lydelse 2007:1127.

personliga förhållanden. Utan hinder av sekretessen enligt tredje stycket får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

personliga förhållanden. Prop. 2007/08:126 Bilaga 6

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år.

Sekretess enligt första stycket hindrar inte att en uppgift lämnas

1. från en myndighet som bedriver verksamhet som avses i första stycket i en kommun eller ett landsting till en annan sådan myndighet i samma kommun eller landsting,

2. till en myndighet som bedriver verksamhet som avses i första stycket eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen ,

3. till ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen ,

En landstingskommunal eller kommunal myndighet som bedriver verksamhet som avses i första stycket får lämna uppgift till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs. Vidare får utan hinder av sekretessen uppgift lämnas till enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m. samt lagen (2006:496) om blodsäkerhet.

4. från en myndighet som bedriver verksamhet som avses i första stycket inom en kommun eller ett landsting till annan sådan myndighet för forskning och framställning av statistik eller för administration på verksamhetsområdet, om det inte kan antas att den enskilde eller någon närstående till den enskilde lider men om uppgiften röjs,

5. till en enskild enligt vad som föreskrivs i lagen (1988:1473) om undersökning beträffande vissa smittsamma sjukdomar i brottmål, lagen (1991:1129) om rättspsykiatrisk vård, smittskyddslagen (2004:168), 6 och 7 kap. lagen (2006:351) om genetisk integritet m.m. samt lagen (2006:496) om blodsäkerhet.

Om den enskilde på grund av sitt hälsotillstånd eller av andra skäl inte kan samtycka till att en

Bilaga 6

uppgift lämnas ut, hindrar sekretess enligt första stycket inte att en uppgift om honom eller henne som behövs för att han eller hon ska få nödvändig vård, omsorg, behandling eller annat stöd lämnas från en myndighet inom hälso- och sjukvården till en annan myndighet inom hälso- och sjukvården eller socialtjänsten eller till en enskild vårdgivare eller en enskild verksamhet på socialtjänstens område.

Utan hinder av sekretessen enligt tredje stycket får uppgift lämnas till hälso- och sjukvårdspersonal om uppgiften behövs för vård eller behandling och det är av synnerlig vikt att uppgiften lämnas.

Ytterligare bestämmelser om undantag från sekretessen enligt första stycket, andra stycket, tredje stycket andra meningen och fjärde stycket finns i 14 kap. 2 §.

9 kap.

4 §3

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan röjas utan

Sekretess gäller i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Detsamma gäller annan jämförbar undersökning som utförs av Riksrevisionen eller riksdagsförvaltningen eller, i den utsträckning regeringen föreskriver det, av någon annan myndighet. Uppgift som behövs för forsknings- eller statistikändamål och uppgift, som inte genom namn, annan identitetsbeteckning eller därmed jämförbart förhållande är direkt hänförlig till den enskilde, får dock lämnas ut, om det står klart att uppgiften kan

3 Senaste lydelse 2007:1212.

att den som uppgiften rör eller någon honom närstående lider skada eller men.

röjas utan att den enskilde eller någon närstående till den enskilde lider skada eller men. Detsamma gäller en uppgift som avser en avliden och som rör dödsorsak eller dödsdatum, om uppgiften behövs i ett nationellt eller regionalt kvalitetsregister enligt patientdatalagen (2008:00).

I fråga om uppgift i allmän handling gäller sekretessen i högst sjuttio år, såvitt angår uppgift om enskilds personliga förhållanden, och annars i högst tjugo år.

14 kap.

2 §4

Sekretess hindrar inte att uppgift i annat fall än som avses i 1 § lämnas till myndighet, om uppgiften behövs där för

1. förundersökning, rättegång, ärende om disciplinansvar eller skiljande från anställning eller annat jämförbart rättsligt förfarande vid myndigheten mot någon rörande hans deltagande i verksamheten vid den myndighet där uppgiften förekommer,

2. omprövning av beslut eller åtgärd av den myndighet där uppgiften förekommer, eller

3. tillsyn över eller revision hos den myndighet där uppgiften förekommer.

Sekretess hindrar inte att uppgift lämnas i muntligt eller skriftligt yttrande av sakkunnig till domstol eller myndighet som bedriver förundersökning i brottmål.

Sekretess hindrar inte att uppgift om enskilds adress, telefonnummer och arbetsplats eller uppgift i form av fotografisk bild av enskild lämnas till en myndighet, om uppgiften behövs där för delgivning enligt delgivningslagen (1970:428). Uppgift hos myndighet som driver televerksamhet om enskilds telefonnummer får dock, om den enskilde hos myndigheten begärt att abonnemanget ska hållas hemligt och uppgiften omfattas av sekretess enligt 9 kap. 8 § tredje stycket, lämnas ut endast om den myndighet som begär uppgiften finner att det kan antas att den som söks för delgivning håller sig undan eller att det annars finns synnerliga skäl.

Sekretess hindrar inte att uppgift som angår misstanke om brott lämnas till åklagarmyndighet, polismyndighet eller annan myndighet som har att ingripa mot brottet, om fängelse är föreskrivet för brottet och detta kan antas föranleda annan påföljd än böter.

För uppgift som omfattas av sekretess enligt 7 kap. 1 c–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §,

Vad som föreskrivs i fjärde stycket gäller inte för uppgift som omfattas av sekretess enligt 7 kap. 1 c § tredje stycket första

4 Senaste lydelse 2007:243.

Anmärkning: En ändring i 14 kap. 2 § har även föreslagits i lagrådsremisserna Ny vårdform inom den psykiatriska tvångsvården och Rattfylleri och sjöfylleri.

8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

meningen. För uppgift som omfattas av sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket, 7 kap. 2–6 och 34 §§, 8 kap. 8 § första stycket, 9 eller 15 § eller 9 kap. 4 eller 7 §, 8 § första eller andra stycket eller 9 § gäller vad som föreskrivs i fjärde stycket endast såvitt angår misstanke om

Bilaga 6

1. brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år,

2. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i två år eller

3. försök till brott för vilket inte är föreskrivet lindrigare straff än fängelse i ett år, om gärningen innefattat försök till överföring av sådan allmänfarlig sjukdom som avses i 1 kap. 3 § smittskyddslagen (2004:168),

om inte annat följer av sjätte–åttonde styckena. Sekretess enligt 7 kap. 1 c §, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

Sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket, 4 § eller 34 § hindrar inte att uppgift som angår misstanke om brott

1. enligt 3, 4 eller 6 kap. brottsbalken eller

2. som avses i lagen (1982:316) med förbud mot könsstympning av kvinnor,

mot någon som inte har fyllt arton år lämnas till åklagarmyndighet eller polismyndighet.

Sekretess enligt 7 kap. 4 § första och tredje styckena hindrar vidare inte att uppgift, som angår misstanke om

1. överlåtelse av narkotika i strid med narkotikastrafflagen (1968:64),

2. överlåtelse av dopningsmedel i strid med lagen (1991:1969) om förbud mot vissa dopningsmedel eller

3. icke ringa fall av olovlig försäljning eller anskaffning av alkoholdrycker enligt alkohollagen (1994:1738),

till den som inte fyllt arton år, lämnas till åklagarmyndighet eller polismyndighet.

Sekretess som avses i sjunde stycket hindrar vidare inte att uppgift som behövs för ett omedelbart polisiärt ingripande lämnas till polismyndighet när någon som kan antas vara under arton år påträffas av personal inom socialtjänsten under förhållanden som uppenbarligen innebär överhängande och allvarlig risk för den unges hälsa eller utveckling. Detsamma gäller om den unge påträffas när han eller hon begår brott.

Sekretess enligt 7 kap. 1 c § och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösnings-

Sekretess enligt 7 kap. 1 c § första stycket, andra stycket, tredje stycket andra meningen eller fjärde stycket och 4 § första och tredje styckena hindrar inte att uppgift om enskild, som inte fyllt

medel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

arton år eller som fortgående missbrukar alkohol, narkotika eller flyktiga lösningsmedel, eller närstående till denne lämnas från myndighet inom hälso- och sjukvården och socialtjänsten till annan sådan myndighet, om det behövs för att den enskilde ska få nödvändig vård, behandling eller annat stöd. Detsamma gäller i fråga om lämnande av uppgift om gravid kvinna eller närstående till henne, om det behövs för en nödvändig insats till skydd för det väntade barnet.

Denna lag träder i kraft den 1 juli 2008.

1.3 Förslag till lag om ändring i lagen (2001:499) om omskärelse av pojkar

Härigenom föreskrivs att 2 § lagen (2001:499) om omskärelse av pojkar ska ha följande lydelse.

Bilaga 6

Nuvarande lydelse Föreslagen lydelse

2 §1

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientjournallagen (1985:562).

När läkare utför omskärelse enligt denna lag eller när läkare eller sjuksköterska ombesörjer smärtlindring enligt denna lag gäller lagen (1998:531) om yrkesverksamhet på hälso- och sjukvårdens område, patientskadelagen (1996:799) och patientdatalagen (2008:00).

Denna lag träder i kraft den 1 juli 2008.

1 Senaste lydelse 2001:499.

1.4 Förslag till lag om ändring i lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

Härigenom föreskrivs i fråga om lagen (2002:297) om biobanker i hälso- och sjukvården m.m.

dels att 3 kap. 7 § ska ha följande lydelse,

dels att rubriken närmast före 4 kap. 6 § ska lyda ”Vägran att lämna ut vävnadsprover m.m.”,

dels att det i lagen ska införas två nya paragrafer, 4 kap. 4 a och 6 a §§, av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

3 kap.

7 §1

Uppgifter om information och samtycke m.m. enligt 1–6 §§ skall dokumenteras på lämpligt sätt.

Särskilda bestämmelser om sådan dokumentation finns i 3 § patientjournallagen (1985:562) .

Uppgifter om information och samtycke m.m. enligt 1–6 §§ ska dokumenteras på lämpligt sätt i anslutning till biobanken samt i provgivarens patientjournal.

4 kap.

4 a §

En journalhandling inom enskild hälso- och sjukvård som rör en viss patient ska lämnas ut på begäran av den som fått tillgång till kodat humanbiologiskt material från den patienten enligt 1 §, om patienten samtyckt till att journalhandlingen lämnas ut. I fråga om vissa känsliga personuppgifter finns föreskrifter i personuppgiftslagen (1998:204) .

6 a §

Frågor om utlämnande av en journalhandling enligt 4 a §

prövas av den som är ansvarig för patientjournalen. Anser den ansvarige att journalhandlingen eller någon del av den inte bör lämnas ut, ska han eller hon genast med eget yttrande överlämna frågan till Socialstyrelsen för prövning.

I fråga om överklagande av Socialstyrelsens beslut enligt

1 Senaste lydelse 2002:297.

första stycket gäller i tillämpliga delar bestämmelserna i 15 kap. 7 § sekretesslagen (1980:100) .

Bilaga 6

Denna lag träder i kraft den 1 juli 2008.

Lagrådets yttrande

Utdrag ur protokoll vid sammanträde 2008-03-06

Närvarande: F.d. justitierådet Bo Svensson, regeringsrådet Nils Dexe och f.d. justitieombudsmannen Nils-Olof Berggren.

Patientdatalag m.m.

Enligt en lagrådsremiss den 31 januari 2008 (Socialdepartementet) har regeringen beslutat att inhämta Lagrådets yttrande över förslag till

1. patientdatalag,

2. lag om ändring i sekretesslagen (1980:100),

3. lag om ändring i lagen (2001:499) om omskärelse av pojkar,

4. lag om ändring i lagen (2002:297) om biobanker i hälso- och sjuk-

vården m.m.

Förslagen har inför Lagrådet föredragits av departementssekreteraren Titti Palmqvist och ämnesrådet Eva Lenberg, biträdda av departementssekreteraren Martin Talvik.

Förslagen föranleder följande yttrande av Lagrådet:

Förslaget till patientdatalag

3 kap. 10 och 12 §§

Enligt de föreslagna bestämmelserna gäller ett signeringskrav beträffande en journalanteckning. Kravet gäller enligt 10 § om det inte finns något synnerligt hinder. Enligt 12 § första stycket får regeringen eller den myndighet regeringen bestämmer meddela föreskrifter bl. a. om undantag från bestämmelsen i 10 § om signeringskrav. Som framhålls i remissen är tanken att föreskrifter enligt 12 § skall användas när signering framstår som överflödig med hänsyn till patientsäkerheten. Grunderna för ett generellt undantag enligt 12 § är alltså av annan art än bedömningen enligt 10 § om huruvida synnerligt hinder föreligger.

6 kap. 2 §

I anslutning till synpunkter som Lagrådet uppmärksammats på under föredragningen vill Lagrådet anföra följande.

Av första stycket framgår att en patient har möjlighet att motsätta sig att uppgifter om honom eller henne görs tillgängliga för andra vårdgivare i ett sammanhållet journalföringssystem. Patientens möjligheter att motsätta sig bör emellertid inte omfatta uppgift om att det finns spärrade uppgifter om patienten och uppgift om vilken vårdgivare som har spärrat uppgifterna. En uppgift om att det finns spärrade uppgifter kan nämligen initiera en önskvärd dialog mellan en patient och hälso- och sjukvårdspersonal i en enskild vårdsituation. Även uppgift om vilken vårdgivare

som har spärrat uppgifterna kan vara av stort intresse för andra vårdgivare. De andra vårdgivarna bör dock bara få ta del av den sistnämnda uppgiften under vissa i patientdatalagen angivna förutsättningar. Regler härom bör tas in i ett nytt andra stycke.

I ett tredje stycke bör föreskrivas att patienten innan uppgifterna om honom eller henne görs tillgängliga för andra vårdgivare ska informeras om vad sammanhållen journalföring innebär och om att patienten kan motsätta sig att andra uppgifter än de som anges i det föreslagna andra stycket görs tillgängliga för andra vårdgivare genom ett sådant system.

Informationen kan inte alltid lämnas på ett så tidigt stadium som föreskrivs i det föreslagna stycket t.ex. om patientens hälsotillstånd omöjliggör att information lämnas om en personuppgiftsbehandling innan uppgifter om patienten registreras. Patienten kan vara medvetslös eller alltför fysiskt eller psykiskt medtagen för att kunna ta till sig information av det slag som här avses. Däremot ska informationen lämnas när patienten kan tillgodogöra sig den igen.

Mot denna bakgrund föreslår Lagrådet att paragrafen får följande lydelse:

2 § Om en patient motsätter sig det får andra uppgifter om patienten än dem som anges i andra stycket inte göras tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Uppgift om att det finns spärrade uppgifter om en patient samt uppgift om vilken vårdgivare som har spärrat uppgifterna får göras tillgängliga för andra vårdgivare genom sammanhållen journalföring. En annan vårdgivare får ta del av uppgift om vilken vårdgivare som har spärrat uppgifterna endast under de förutsättningar som anges i 4 §.

Innan uppgifter om en patient görs tillgängliga för andra vårdgivare genom sammanhållen journalföring, ska patienten informeras om vad den sammanhållna journalföringen innebär och om att patienten kan motsätta sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring.

Om en patient motsätter sig att andra uppgifter än dem som anges i andra stycket görs tillgängliga för andra vårdgivare genom sammanhållen journalföring ska uppgifterna genast spärras. Vårdnadshavaren till ett barn kan dock inte spärra uppgifter om barnet. En patient kan när som helst begära att den vårdgivare som har spärrat uppgifterna häver spärren.

Ospärrade uppgifter om patienten ska göras tillgängliga för de vårdgivare som är anslutna till systemet med sammanhållen journalföring. Det ska vidare införas en uppgift i systemet om att det finns ospärrade uppgifter om patienten. Andra vårdgivare ska kunna ta del av denna uppgift utan att ta del av uppgift om vilken vårdgivare som har gjort uppgiften tillgänglig och övriga uppgifters innehåll.

6 kap. 4 §

Av lagrådsremissen framgår att det skall finnas möjligheter för en patient att spärra uppgifter om sig själv, vilket får till följd att andra vårdgivare i det system med sammanhållen journalföring i vilken patientens uppgifter

annars skulle ha ingått inte får direkt tillgång till journalförda uppgifter om patienten. Denna spärr råder till dess patienten själv häver den. Man måste emellertid räkna med situationer då patienten inte själv kan häva spärren, exempelvis därför att han eller hon ligger medvetslös på grund av olycksfall eller sjukdom. I en sådan situation, när det föreligger fara för patientens liv eller det annars föreligger allvarlig risk för hans eller hennes hälsa, måste det finnas möjlighet att häva spärren. Det bör då vara den vårdgivare som lagt spärren som också har att pröva om spärren skall hävas. I praktiken bör det således gå till på det viset att den vårdgivare som har vårdansvaret för patienten tar del av den alltid tillgängliga uppgiften i den sammanhållna journalföringen om att det finns spärrade uppgifter om patienten. Om patientens tillstånd motiverar det går vårdgivaren vidare och tar del av uppgiften om vilken annan vårdgivare som har lagt spärren. Visar det sig att spärren har lagts exempelvis av en vårdgivare inom psykiatrin medan patienten vårdas för en somatisk sjukdom, kan det leda till att patientens aktuelle vårdgivare avstår från att försöka få spärren hävd. Men om han eller hon bedömer att de spärrade uppgifterna behövs för den vård han eller hon avser att ge patienten, måste vårdgivaren vända sig till den vårdgivare som har lagt spärren och begära att denne ger honom tillgång till de spärrade uppgifterna.

Den nu beskrivna ordningen bör framgå tydligare av lagtexten. I enlighet härmed förordar Lagrådet att paragrafen ges följande lydelse:

4 § Om det finns spärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patienten inte kan häva spärren enligt 2 § fjärde stycket, ta del av uppgift om vilken eller vilka vårdgivare som har spärrat uppgifterna. Om vårdgivaren med ledning av denna uppgift bedömer att de spärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren begära hos den vårdgivare som har spärrat uppgifterna att denne häver spärren.

Om det finns ospärrade uppgifter om en patient och det föreligger fara för dennes liv eller det annars föreligger allvarlig risk för dennes hälsa, får vårdgivaren, om patientens samtycke inte kan inhämtas enligt 3 §, ta del av uppgift om vilken eller vilka vårdgivare som har gjort uppgifterna tillgängliga. Om vårdgivaren med ledning av denna uppgift bedömer att de ospärrade uppgifterna kan antas ha betydelse för den vård som patienten oundgängligen behöver, får vårdgivaren behandla de ospärrade uppgifterna.

8 kap. 4 §

Under föredragningen har upplysts att Socialstyrelsen är restriktiv när det gäller förstörande av patientjournaler. Som godtagbara skäl accepteras uppgifter som inte har med vården av patienten att göra och som därför inte bör stå i journalen, dvs. uppgifter som är helt ovidkommande för vårdsituationen. Om journalen innehåller felaktig uppgift som avser vården av patienten, ska en sådan uppgift i första hand ändras istället för att strykas.

Lagrådet anser att denna restriktiva inställning bör avspeglas i lagtexten eller i vart fall komma till uttryck i författningskommentaren.

8 kap. 6 §

I paragrafens andra stycke finns i tretton punkter en precisering av vilken information som den personuppgiftsansvarige ska lämna till den registrerade. Enligt punkt 10 ska information lämnas om rätten enligt 48 personuppgiftslagen (1998:204) till skadestånd vid behandling av personuppgifter i strid med denna lag.

Rätten enligt 48 § personuppgiftslagen till skadestånd gäller emellertid endast vid behandling av personuppgifter vid överträdelser av den lagen. I 10 kap. 1 § patientdatalagen har det tagits in en särskild bestämmelse om skadestånd som avses gälla vid behandling av personuppgifter i strid med patientdatalagen. Hänvisningen i punkten 10 till ”48 § personuppgiftslagen” bör därför avse ”10 kap. 1 §”.

10 kap. 1 §

Av lagrådsremissen framgår att avsikten är att genom paragrafen göra 48 § personuppgiftslagen tillämplig på behandling av personuppgifter i strid med patientdatalagen.

Regeringens förslag till formulering av bestämmelsen i 10 kap. 1 § patientdatalagen följer visserligen vedertagen systematik beträffande registerförfattningar [se t.ex. 9 § lagen (2001:454) om behandling av personuppgifter inom socialtjänsten och förarbetena till den (prop. 2000/01:80)]. Se även Lagrådets yttrande över förslag till lag om behandling av personuppgifter i skatteförvaltningens beskattningsverksamhet m.fl. lagar (prop. 2000/01:33 s. 35). Lagrådet hade dessförinnan haft vissa invändningar mot den valda tekniken (se prop. 1997/98:136 s. 98 f och 78).

Enligt Lagrådets mening leder emellertid inte den föreslagna formuleringen till vad man vill uppnå. Lagrådet förordar att paragrafen utformas med utgångspunkt från 48 § personuppgiftslagen och ges följande lydelse:

Den personuppgiftsansvarige ska ersätta den registrerade för skada och kränkning av den personliga integriteten som en sådan behandling av personuppgifter som avses i 1 kap. 4 § i strid med denna lag har orsakat.

Ersättningsskyldigheten kan i den utsträckning det är skäligt jämkas, om den personuppgiftsansvarige visar att felet inte berodde på honom eller henne.

Förslaget till lag om ändring i sekretesslagenProp. 2007/08:126 Bilaga 7

7 kap. 1 c §

Enligt det föreslagna sjätte stycket 2 hindrar sekretessen enligt paragrafens första stycke inte att uppgift lämnas till myndighet eller till en enskild vårdgivare enligt vad som föreskrivs om sammanhållen journalföring i patientdatalagen. Något motsvarande undantag föreslås inte i anslutning till regeln i 2 kap. 8 § lagen (1998:763) om yrkesverksamhet inom hälso- och sjukvården, enligt vilken bestämmelse den som tillhör eller har tillhört hälso- och sjukvårdspersonalen inom den enskilda hälso- och sjukvården inte obehörigen får röja vad han eller hon i sin verksamhet har fått veta om en enskilds hälsotillstånd eller andra personliga förhållanden. Som obehörigt röjande anses inte att någon fullgör sådan uppgiftsskyldighet som följer av lag eller förordning. Det har ansetts naturligt att vid tolkningen av detta obehörighetsrekvisitet söka ledningen i sekretesslagens regler (remissen avsnitt 10.4). Enligt Lagrådets mening kan det sättas i fråga om inte denna begränsning i den straffsanktionerade tystnadsplikten bör framgå av lag.

Övriga lagförslag

Lagrådet lämnar övriga lagförslag utan erinran.

Socialdepartementet

Utdrag ur protokoll vid regeringssammanträde den 19 mars 2008

Närvarande: Statsministern Reinfeldt, statsråden Olofsson, Odell, Ask, Husmark Pehrsson, Leijonborg, Larsson, Erlandsson, Torstensson, Hägglund, Björklund, Littorin, Borg, Malmström, Billström, Adelsohn Liljeroth, Tolgfors, Björling

Föredragande: statsrådet Hägglund

Regeringen beslutar proposition 2007/08:126 Patientdatalag m.m.

Rättsdatablad

Författningsrubrik Bestämmelser som

inför, ändrar, upphäver eller upprepar ett normgivningsbemyndigande

Celexnummer för bakomliggande EGregler

Patientdatalag 2 kap. 3 och 8 §§, 3 kap. 12–13 §§, 15 §, 17 §, 19 §, 4 kap. 2– 3 §§, 5 kap. 5 §, 6 kap. 6 §, 7 kap. 7 § och 10 §, 8 kap. 5 §